パスワードは古い？｢パスキー｣の導入企業が急増 気になる｢セキュリティと利便性｣両立の仕組み

メルカリでは、パスキー登録者数が210万人、認証の所要時間を20.5秒短縮。NTTドコモでは、dアカウントにおけるパスキー利用率が37％となり1年間で約2倍伸びたほか、ドコモの回線を持たないユーザーにはドコモオンラインショップでのパスキーを必須にしたところ、身に覚えのない買い物に関する問い合わせがゼロになった。

このように、現在パスキーの導入は、コンシューマーサービスを提供する企業を中心に先行している。今後は企業の社内システムの認証などにも広がるのだろうか。

「組織内の導入でいうと、近畿大学が学生や職員の認証手段としてFIDO認証の利用を始めた。企業では、NECが全社的にパスワードレス化を進めており、今後はパスキーも選べるよう取り組む予定だという」と、森山氏は説明する。

企業が社内でパスキーを導入するメリットは、社員の本人確認の安全性と使い勝手が高まることにある。しかし現状、社内利用が進んでいないのは、何が障壁になっているのだろうか。

「パスキーに対応したデバイスやITシステムに変更しようとなると、既存システムの更改タイミングなどもあり、今すぐに導入とはいかない場合は多いかもしれない。ただ、サーバーの運用などについてもこれから企業の事例がどんどん出てくるだろうし、それに伴い企業のIT担当者の関心も高まり、パスワードレス化、パスキー化は進んでいくだろう」

利便性が向上する一方で｢新たな脅威｣の可能性も

パスキーの展望と課題について、森山氏はこう語る。

「パスキーはデバイスの紛失や機種変更の際に再設定が必要であることが普及のネックとなっていたが、AppleやGoogleといったOSプラットフォームのクラウド上に秘密鍵のデータを安全に同期できるようになり、利便性がさらに向上した。パスワードマネージャーを手掛ける企業もパスキー対応を始めており、一般ユーザーの裾野はより広がりやすくなるだろう」

一方、ユーザーの選択肢が増えてきたことで、セキュリティに関する新たな脅威を潜在的に増やしている可能性があるという。そのため、「FIDOアライアンスではつねに事案の予測や防御に対する議論を行い、さらなる高いレベルでのセキュリティ向上を図っている」と森山氏は話す。

普及への課題や未知の脅威といった問題もあるが、脱パスワードレスの動きは広がり始めている。フィッシングが高度化し、パスワードに関するインシデントが解消されない中、経営者は自社サービスや社内の認証のあり方を再考すべきときがきている。

國貞 文隆：ジャーナリスト