パスキーはパスワード代わり?どうすれば使えるのか
AndroidスマホやiPhone、Windows 11以降のパソコンなどで利用可能なパスキーは、簡単な設定でありながら高いセキュリティを実現するパスワードレス認証手段です。その利便性と安全性から、活用できる場面が徐々に増えています。本記事では、パスキーの基本情報、動作原理、設定手順や注意事項、さらにFIDO認証との違いについて詳しく説明します。
パスワードに代わる認証方法「パスキー」
パスキーは、パスワードを使用せずに認証を行える技術の一つで、生体認証を活用してマルチデバイスで対応可能な点が特徴です。この技術により、複雑なパスワードを設定する手間を省き、パスワードの使い回しによるリスクを軽減できます。また、不正ログインやフィッシング詐欺といったセキュリティリスクを防ぎ、安全性の高い利用環境を提供します。パスキーは、FIDOアライアンスとW3Cが策定した規格で、マイクロソフト、アップル、グーグルといった大手企業が対応を進め、日本国内でもNTTドコモやKDDIなどが導入を進めています。なお、一部の国内サービスでは、パスワードの代わりに用いる認証手段そのものを「パスキー」と呼ぶため、技術的概念と混同しやすい点に注意が必要です。本記事では、パスキーを技術として解説します。
パスキーの仕組み
FIDO2の公開鍵暗号方式を採用した認証技術であるパスキーは、W3Cが推進するWeb標準の勧告候補であるWebAuthnをサポートしています。これにより、Webを通じてパスワードレスな認証が実現されています。
パスキーでは、Webサービスにアクセスする際、FIDOサーバーに接続します。FIDOサーバーは「チャレンジ」と呼ばれる要求をWebサービスへ送信し、ユーザーはスマートフォンなどのデバイスで秘密鍵を用いて署名したチャレンジを公開鍵とともにサーバーに返します。サーバーがそのチャレンジを検証し、認証が完了すればサービスへの登録が成立します。この方式では、サーバー側で署名認証のみが行われるため、高い安全性が確保されます。
さらに、この認証情報はデバイス内のTEE(Trusted Execution Environment)やセキュアエレメントといった隔離された環境に保存され、各サービスごとに管理されます。これにより、ログイン時に生体認証だけで簡単かつ安全に利用できるようになります。
また、パスキーの利用によりパスワードが不要となるため、パスワードリスト攻撃への耐性が強化されます。加えて、認証情報が各Webサイトごとに異なるため、フィッシングサイトへのログインを防ぎ、安全性が向上します。
パスキーとFIDO認証の違い
パスキーは、FIDO認証の3種類のうちFIDO2を採用しています。FIDO認証はパスキーの前身とされ、その課題を克服した形で登場したのがパスキーです。FIDO認証もパスワードレスなログインを実現し、認証情報が安全な領域に保存されることで秘密鍵の漏えいリスクを軽減しています。また、FIDO2は二要素認証の仕組みを内包しており、サービスごとに二段階認証を設定する必要が減る利点があります。
一方で、FIDO認証には認証情報をデバイス内に保存する仕様があり、ログイン可能なデバイスが制限されるという課題があります。複数のデバイスを利用するのが一般的な現代では、この仕様はデバイスの紛失や買い替え時に不便をもたらします。この問題を解決するために登場したのがパスキーで、認証情報を複数のデバイス間で同期できる仕組みを備えています。
パスキーはMicrosoftアカウント、Apple ID、Googleアカウント、日本国内ではdアカウントなどに対応しています。同一のApple IDを登録したMac、iPhone、iPadなどで共通の生体認証を設定すれば、各デバイスで同じ認証情報を使ったログインが可能です。
デバイスごとに異なるパスキーの設定方法
クラウド型ファイアウォールとして知られるこのサービスは、仮想的にクラウド上で構築されるファイアウォールを提供します。業務環境の変化でネットワークの境界が曖昧になりつつある現在、クラウドサービスを守る重要な役割を果たします。
Android OS搭載デバイス
最初に、使用中のデバイスからパスキー設定ページにアクセスします。画面の指示に従ってGoogleアカウントにログインした後、デバイスの認証方法(指紋認証、顔認証、画面のロック解除など)を行います。これらの手順でパスキーを作成できます。
iOS搭載デバイス
iPhoneなどのiOSデバイスでは、FaceIDやTouchIDを使用して、アプリやWebサービスごとにパスキーを作成することができます。パスキー対応のWebサイトやアプリで「新しいアカウントを設定」または「既存のアカウント名とパスワード」でサインインし、アカウント設定や管理画面に移動します。そこに「パスキーを保存するオプション」が表示されれば、「続ける」をタップすることでパスキーが保存されます。
Windows OS搭載デバイス
Windows 11からパスキーに対応しており、Windowsアカウントのパスキー作成が可能だ。パスキーを作成するには、Webサイトまたはアプリを開きアカウント設定から行う。パスキーの保存は、Windowsデバイスのローカル上(認証はWindows Helloを用いる)、iPhone・iPad(QRコードスキャンを要する)、Androidデバイス(QRコードやアプリのリンクを経由)、セキュリティーキー(FIDO2)が利用可能となる。
NTTドコモ社契約のデバイス
NTTドコモの契約スマホでは、「いつもパスキー設定(旧パスワードレス設定)」からパスキーを設定できます。設定にはdアカウント設定アプリを使用し、「生体認証または画面ロックで認証」メニューを選び、「機能説明・ご注意事項」を確認して「次へ」をタップします。デバイスはネットワーク暗証番号の確認後、さらに生体認証または画面ロックでの認証を要求しますので、それをクリアすれば設定が完了します。指示に従うだけで、難しい手順なしに簡単に設定できます。従来のソーシャルログインに似た方法なので、慣れると問題なく使用できるでしょう。
パスキー利用における注意点
パスキーは、利便性と安全性を両立させるために非常に優れた技術ですが、いくつかの注意点も存在します。その一つが、パスキー設定したアカウントに依存してしまい、場合によっては制約が生じることです。これから、具体的にどのような懸念があるのかを詳しく説明します。
同一アカウントの利用が前提となる
スキーは、Apple IDやMicrosoftアカウント、Googleアカウントに紐づくため、複数のデバイス間で同期して利用する際に、異なるアカウント同士での利用はできません。例えば、Microsoftアカウントで保存したパスキーは、Androidデバイスに登録したGoogleアカウントとは同期しないため、利用できません。また、iPhoneからAndroidスマホに機種変更した場合、パスキーが同期されないので、再設定が必要です。
パスキー対応のアプリ、Webサービスに限定される
現在、パスキーは普及段階にある技術であるため、対応しているWebサービスやアプリは限られています。そのため、全てのサービスでパスワードレスを実現できるわけではない点に注意が必要です。
デバイス紛失時に悪用される可能性がある
パスキーはデバイス内に保存されるため、デバイスの紛失時に悪用されるリスクが考えられますが、認証方法として生体認証を選択すれば、第三者によるログインを防ぐことができます。したがって、パスキーを設定する際には、顔認証や指紋認証を選ぶのがベストです。これらの方法は、高いセキュリティレベルを提供し、紛失時のリスクも軽減します。今後、パスキーに対応するアプリやWebサービスが増えることで、安全性と利便性の両立が可能なパスワードレス認証方法として普及していくことが期待されます。
