パスワードは古い？｢パスキー｣の導入企業が急増 気になる｢セキュリティと利便性｣両立の仕組み

ログインの仕組みもほぼ同じ流れだ。ユーザーがウェブサービスにログインを要求すると、スマホにチャレンジが送られてくる。生体情報で本人認証を行うと、認証器は秘密鍵でチャレンジに署名をし、サービス提供者に送信。サービス提供者はそのユーザーの登録済みの公開鍵で署名付きチャレンジを検証し、間違いがなければログインが許可される。

つまり、秘密鍵は認証を行うデバイスに、公開鍵はサービス提供者のサーバーに保存され、やり取りするデータはチャレンジと署名のみとなるから、ネットワーク上に生体情報が流れることはない。そのためネットワーク上でやり取りが発生するパスワードよりも安全性が高く、フィッシング耐性があるといえるのだ。

現在パスキーは、指紋や顔による生体認証での利用が主流となっているが、PINやパターンロックなどの選択肢もある。生体認証を使いたくないユーザーや、身体上あるいは職業上の理由から利用できないユーザーもいるためだ。デバイスによってどの認証に対応しているかは異なるが、認証方法は生体認証だけではない。

「いずれにせよ、デバイスと紐づく認証情報はネットワーク上に流れない。世の中に100％安全なものはないが、パスキーの仕組みは、フィッシング詐欺などによるセキュリティ事故が極めて起きにくいと言えるだろう」と、森山氏は言う。

｢パスキー｣を自社サービスに導入する企業が急増

2023年は、下記のように名だたるIT企業がパスキーを自社サービスに導入し始め、急速に利用が進んだ。「パスキーはWindows、macOS、iOS、Androidで対応しており、パスキーを利用できるスマホやPCが増えたことも普及を後押ししている」と森山氏は話す。

■2023年にパスキーを自社サービスに導入した主な企業

アドビ、アマゾン、アップル、CVSヘルス、ダッシュレーン、ドキュサイン、グーグル、ハイアット、インスタカート、カヤック、LINEヤフー、メルカリ、NTTドコモ、任天堂、ワンパスワード、ペイパル、ショッピファイ、ティックトック

FIDOアライアンスの加盟企業は約250社、うちFIDO Japan WGには64社の日本企業が参加（2023年12月現在）しており、「日本企業は欧米よりも導入に積極的だ」と森山氏は言う。すでに成果も出ているようだ。

例えばKDDIでは、FIDO登録は1000万人以上を突破し、ログイン関連の問い合わせやコールセンターへの入電数が3割減少。LINEヤフーでは、パスキー設定アクティブユーザーが2100万人、さらにスマホでのユーザー認証回数のうち、40％以上がパスキーによる認証となっている。