現代のサイバーセキュリティの世界は常に変化し続けていることから、この先従来のような手動で記入するだけのパスワードだけではこの世界を生きていくことはできないでしょう。
パスキーとは公開鍵暗号方式と生体認証を組み合わせたものであることから、パスキーを使用することで長く複雑なパスワードを覚えたり、外部から侵害を恐れたりする必要がありません。
現在のダークウェブには約60億以上の固有のログイン、ユーザー名、パスワードが蔓延っており、その多くのユーザーは様々なプラットフォーム間で同じパスワードを使用しているのです。そこで、パスキーの登場です。パスキーは現代に必要な革新的なソリューションとして、多くの人々により安全かつ合理化された認証方法を提供しています。
さらにパスキーに使用されている技術には多くのメリットが含まれていることから、サイバーセキュリティ対策に敏感な人からあまり興味のない人まで優れたオプションとなっています。
パスキーの簡単な説明はこのようなものですが、では一体パスキーは従来のパスワードとはどのように違うのでしょうか?
また、このトレンドを早めに察知してエコシステムにパスキーのサポートを統合している大手企業は一体どれほどいるのでしょうか?
この記事ではパスキーの仕組みや使用すべき理由、そしてそれがこれからのオンライン上のセキュリティ対策の核となる未来について詳しく説明していきます。
これからの未来を引き連れていく準備はできていますか?それでは早速、始めましょう。
パスキーを一言でまとめると、それは従来のパスワードの代わりになる暗号キーです。
従来のパスワードは容易に盗まれたり外部からハッキングされたりする可能性が非常に高いのですが、公開鍵と秘密鍵のペアによって構成されているパスキーは従来のパスワードとは全く異なるレベルで機能するのです。
従来のパスワードと大きく異なる点としパスキーは共有、記憶、書き留めなどが行えないことから、その事実によってパスワードベースのシステムを標的とする一般的な外部からの侵略に対する脆弱性が大幅に軽減されるのです。
本質的にパスキーは非対称暗号化によって、公開鍵と秘密鍵の2つを組み合わせることで、機密情報を公開することなく強力かつ摩擦のない認証を提供します。
パスキーが作成される際には、以下の2つの暗号キーが生成されます。
1. 公開鍵:公開鍵はサービスプロバイダーのサーバー上に残るため公開鍵自体には機密性がありませんが、アカウントにアクセスするために使用することはできません。
2. 秘密鍵:秘密鍵はスマートフォンなどのユーザーのデバイス上に保持されることから、デバイス外に漏れることはなく常に強力なユーザー検証によって保護されます。
ここまででパスキーの大体の説明が終わったので、これからはパスキーが持つ魔法の仕組みについて説明していきます。
一連の流れとしては、パスキーを使用してアカウントを作成する事でデバイスは公開鍵と秘密鍵のペアを作成します。
公開鍵はサービスのサーバー上に保存され、秘密鍵は機密データを保持するように設計された専用コンポーネント内にデバイス上で安全に保存されますが、これにはAppleデバイスのSecure Enclave、WindowsおよびAndroidのTrusted Platform Module (TPM)、GalaxyのSamsung Knoxなどが含まれます。これらのコンポーネントはメインプロセッサから分離されていることから、マルウェアや外部からの侵害が発生した場合でもまるで金庫のようにユーザーのデータを安全に守ってくれます。
つまりここで何が言いたいのかというと、パスキーは様々なデバイス間でも同じように機能するのです。安全なエコシステムのおかげで秘密鍵は全てのデバイス間で同期されるため、iCloudやGoogleなどのアクティブなクラウドでは認証がシームレスになります。
パスキーはログイン時にユーザーにパスワードを要求する代わりに、デバイスのロック解除メカニズムを使用するようにユーザーに要求します。
デバイスは秘密鍵を使用して署名し、公開鍵による検証のためにそれらを送り返します。さらに、秘密鍵はドメインごとにスコープが設定されます。
デバイスはログイン毎に異なる署名を作成しますが、それらはすぐに使用が不可となるため再利用や悪用に使用することが出来ないのです。
これらは全てリアルタイムで行われることから、非常に安全かつシームレスなログインを実現します。
まるで、パスキーを使用する全てのアカウントに心強い用心棒がいるようなものです。
生体認証の歴史を遡ると、紀元前500年のバビロニア帝国にまで遡ります。当時は粘土板に指紋をつけて身元確認を行っていましたが、現代のような生体認証システムは主に犯罪者を特定する為に1800年代にパリのアルフォンス・ベルティヨンによって開発されました。
そこからのさらなるパスキーへの進化はPayPalやLenovoなどの企業によって、2012年に“パスワードの概念を失くす”という使命を掲げたFIDOアライアンスが結成されたときに始まりました。
それから2013年にはAppleのiPhone5SでTouch IDが導入されるなど、生体認証の採用が徐々に加速していき他の企業が生体認証を統合する道が開かれました。
パスキーにとって大きな分岐点となったのは、2021年に大手テクノロジー企業がFIDO2およびWebAuthn標準を採用してパスワードレス認証が可能になったことで、現在では数十億人のユーザーがパスキーを利用できるようになりました。
これまでのパスキーの歴史を語る上で外せない重要なポイントとしては、NIST (米国国立標準技術研究所) がSP 800-63Bのガイドラインの補足資料で同期パスキーを承認した点が挙げられます。
この承認によってパスキーのフィッシング耐性と従来のパスワードを安全なソリューションに置き換えられるようになったことで、ユーザーがパスキーをより便利な方法で使用できる可能性を強調しています。
NISTがパスキーを承認したことで、特に銀行や医療などの規制産業で主流に採用される準備が整い始めたのでした。
実際にApple、Google、Microsoftなどはすでにエコシステム全体でこのテクノロジーのサポートを統合していることから、上記のユーザーは簡単にエコシステムにサインインすることができます。
そしてこれら以外にも、今では多くのサービスプロバイダーがすでにパスキー革命を採用しています。
以下は、すでにパスキーを採用している上記3つをもう少し詳細にまとめたものです:
• Apple:iOS 16以降を実行しているiPhoneおよびiPadユーザーや、macOS Ventura 13以降のバージョンを使用しているMacユーザーは誰もがパスキーを使用できます。
• Android:Android 9 (Pie) 以降を実行しているAndroidデバイスはパスキーをサポートしており、Googleのパスワードマネージャーがデバイス間の同期を処理してくれます。
• Windows:Windows 10および11のユーザーであれば、Windows Helloを介してパスキーを使用することができます。
また、次のような一般的なブラウザにもパスキーが統合されています:
• Google Chrome (バージョン 109以降)
• Apple Safari (バージョン 16以降)
• Microsoft Edge (バージョン 109以降)
• Mozilla Firefox (現在はサポートが制限されています)
今ではGitHub、Dropbox、PayPalなどの大手企業もウェブサイトのセキュリティ強化のためにパスキーを有効にしています。
パスキーを採用している大手企業は年々増えており、その中には次のような代表的企業も含まれています:
• Eコマース:Amazon、Walmart、Best Buy、Target、Shopify、Kayak
• ソーシャルメディア:X (旧 Twitter)、LinkedIn、TikTok
• 金融サービス:Coinbase、Robinhood、Stripe、PayPal、Affirm
• 開発プラットフォーム:GitHub、Bitbucket
パスキーには大きく分けて2種類あり、それぞれが異なるセキュリティ要件を持っており異なるユースケースに対応しています。もちろんもっと深く掘り進めればより多くの種類のパスキーが見つかりますが、ここでは主にマルチデバイスパスキーとデバイスバインドパスキーについて詳しく説明していきます。
マルチデバイスパスキー (同期パスキーとも呼ばれる) は、個人が使用する分には最適な選択肢となるでしょう。Apple、Google、Microsoftアカウントにリンクされていればスマートフォン、タブレット、ノートパソコンなどの様々なデバイスがシームレスに同期されます。マルチデバイスパスキーの持つ柔軟性により、ユーザーは信頼できるどのデバイスからでも簡単に自分のアカウントにアクセスすることができるのです。
マルチデバイスパスキーとは対照的に、デバイスにバインドされたパスキーであるデバイスバインドパスキーは言わばエンタープライズ世界の要塞の守護者のようなものです。これは1つのデバイスにバインドされているためにコピーは出来ませんが、厳格なデータ保護ポリシーを持つ企業にとっては必要不可欠な強固なセキュリティ層を提供します。
ここまでの説明を聞いても、パスキーはユーザーと開発者の両方に新しいレベルの利便性とセキュリティを提供してくることが分かるはずです。パスキーがもたらす違いは以下の通りです:
•フィッシングの保護:パスキーはフィッシングの影響を受けないことから、偽のウェブサイトでは機能しないためサイバー脅威に対する効果的な保護を提供します。
•パスワードの手間が省ける:パスキーを使用することで、長く複雑なパスワードを覚えたり管理したりする必要はありません。パスキーを使用すれば生体認証によるログインが可能になることから、ユーザーエクスペリエンスがより高まります。
•シームレスなマルチデバイスアクセス:パスキーを使用することで、同じエコシステム内のデバイスを中断することなく容易な切り替えが可能になります。
•プライベートかつ安全な生体認証データ:生体認証情報はデバイスの外部に漏れることはないため、サービスプロバイダーとの共有もなく機密データは安全に保たれます。
•組み込みの多要素認証:パスキーを使用する事でセキュリティがより強力で意味のあるものになり、所有物 (デバイス) とユーザー (生体認証) がたった1つのステップを介して繋がることが出来るようになります。
•ウェブサイトのセキュリティ強化:パスキーはフィッシング耐性のある暗号化セキュリティを保証しているため、外部からの侵害の可能性を減らして全体的な保護を強化してくれます。
•ユーザーコンバージョン率の向上:パスキーの持つシームレスかつ摩擦のないログインプロセスにより、オンラインサービスでのユーザーの離脱が減ってコンバージョン率が高まります。
•メンテナンス費用の削減:パスワードの回復やその他の高価な二要素認証方法を回避することで、開発者はセキュリティの管理費用を節約することができます。
•セキュリティ標準への容易な準拠:パスキーを使用する事で機密性の高い認証情報を保存する必要がなくなるため、データ保護規制への準拠が簡単になり外部からの侵害が発生した場合のリスクが軽減されます。
もちろん、パスキーにもデメリットはあります。ここで1つ挙げるとするならば、現代の全てのサービスがパスキーをサポートしているわけではない点が挙げられます。
さらにパスキーが正しく実装されていない場合には、リンクされた全てのデバイスを紛失した際には回復が非常に困難になる可能性があります。他にもiCloudやGoogleパスワードマネージャーなどのエコシステムにばかり依存すると、それらのプラットフォームを使用しないユーザーが制限される可能性があります。
最後にパスキーを新たに取り入れたいユーザーにとっては、慣れるまではパスキーについて少し学ぶ必要があるでしょう。
しかし、ここに挙げたこれらのデメリットは一時的なものであるため、この先パスキーがもっと広まるにつれてより容易かつ普遍的なものになっていくことでしょう。
パスキーは次世代の新たな認証方法であり、メモリの制約によりユーザーが再利用または簡素化して管理せざるを得ないパスワードの制限を解決しようとしてくれています。
これからも従来のパスワードのままだと、ユーザーに様々なデメリットをもたらして攻撃者の攻撃をより強めてしまう可能性があります。
以下では、パスワードよりもパスキーの方が優れているいくつかの理由を挙げます:
•非常に強力なパスキー - 従来のパスワードのように、パスキーでは十分に長く複雑であるかどうかを心配する必要はありません。
•パスキーは推測できない - パスキーは公開鍵と秘密鍵の暗号化に依存しているため、個人データや簡単に推測できるような情報は使用されません。
•パスキーはサーバーに保存されない - パスワードとは異なり、パスキーはローカルに保存されることからサインインするサイトに共有されることはありません。
•フィッシングの影響を受けない - WebAuthnは正しい登録済みドメインでのみ秘密鍵が本物であることを保証しているため、悪意のあるウェブサイトとやり取りしても認証情報を送ることはありません。
•シームレスなユーザーエクスペリエンス - パスキーは便利でスムーズなサインインプロセスを提供してくれることから、ユーザーエクスペリエンスが大幅に向上します。
これからのパスキーの未来は、非常に輝かしく革新的なものになることでしょう。もしかしたら、今後は現在使用されている生体認証方法である指紋や顔認識の他にも脳波、心拍、DNAなどが使用されるようになるかもしれません。
さらにブロックチェーンテクノロジーの使用により、自己主権型IDが機能することでパスキーを普遍的にIDの証明として使用でき、人々が自分自身のデータを完全に制御できるようになることも可能になるかもしれません。
これらのテクノロジーが進化するにつれて、今ではパスキーとは何でどのように機能するのかを疑問に思う人が増え続けています。この高まる好奇心に比例するように、テクノロジーイノベーターはこの分野の開発と強化に多大な労力を費やしているのです。
これらの事から、パスキーが未来の世代のセキュリティとデジタルIDを形成していくのは間違いないでしょう。
ここまでは主に個人ユーザーが使用するパスキーについて説明してきましたが、実際にはウェブサイトやアプリに実装したい考える開発者がここにいるかもしれません。
その詳細については、パスキーの統合ガイドをぜひご覧ください。
幸いなことにパスキーを実装するために必要な手順はそう多くはなく、今ではそのロードマップを加速するソリューションが多数存在しています。
さらに現代の多くのIDプロバイダーは、認証フローに簡単に統合できるようにすぐに使えるパスキーをサポートしています。
より高度な制御が必要な場合はSimpleWebAuthnやWebAuthn4Jなどのライブラリを使用すれば、より複雑なサーバー側暗号化を処理することも可能です。
もしあなたがモバイルアプリ開発者の場合には、Appleの認証サービスまたはGoogleのIdentity Services APIを使用すれば簡単にパスキーを実装することもできます。
OwnIDなどのプラットフォームではウェブ開発者とモバイル開発者の両方が利用できるフル機能を備えたSDKとAPIを提供しています。さらにOwnIDはカスタマイズ、分析、コンプライアンス等をサポートしています。
OwnIDを使用すると、開発者は最小限のコード行でシステムにシームレスに統合できる使いやすく安全なパスキーソリューションを利用することができます。これにより、開発時間が節約されて堅牢なセキュリティが確保されるため、開発者はインフラストラクチャの構築ではなくイノベーションの方により専念できるようになります。
これらのパスキーソリューションにより、チームはすぐに必要なプロジェクトを開始できつつその過程で革新的な認証方法を提供してくれます。
パスワードに代わる革新的な認証方法がパスキーです。
公開鍵暗号化によってデバイスはキーペアを生成でき、このキーペアにおける秘密鍵は安全な場所に保管されて公開鍵はサービスに送られます。
まずはパスキーをサポートするオンラインサービスまたはアプリケーションを開き、パスキーを作成するオプションをクリックします。後は、生体認証を伴うこれらの手順に従うのみです。
通常のパスワードはユーザーが自分で作成しますが、パスキーはデバイス上に作成され安全に保存された暗号化キーを通じて生成されるため、従来のパスワードに比べてフィッシングや外部からのデータ侵害の影響を受けることはありません。
パスキーは事実上ハッキング不可能であり、秘密鍵はデバイス外に漏れることはなくそれには生体認証が必要なため外部からのフィッシングや侵害の影響を受けることはありません。
パスキーの使用で考えられるデメリットとしてはまだ使用できる場所が限られている点、デバイスによってアクセスが異なる点、関連する全てのデバイスを紛失した場合の回復が困難である点などが挙げられます。
アカウントに関連付けられた別のデバイスを使用するか、回復コードを使用するなどの回復オプションが利用できます。様々なアカウントにアクセスするためには、バックアップデバイスを設定するか別の回復方法を使用することを強くお勧めします。
ほとんどの場合、パスキーを設定した後でもパスワードを引き続き使用することはできます。パスキーをサポートするほとんどのサービスは、互換性の理由と認証の代替手段として引き続き従来のパスワードもサポートしています。
