1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. パスキーとは?メリットや概要を解説

パスキーとは?メリットや概要を解説

セキュリティニュース

投稿日時: 更新日時:

パスキーとは?メリットや概要を解説

近年、インターネットを取り巻くセキュリティ環境はますます厳しくなっており、企業や個人を標的としたフィッシング詐欺やパスワード流出の被害が後を絶ちません。特に、従来のパスワード認証は利便性が低く、かつ脆弱性が多いため、多くの企業が新たな認証方式を模索しています。その中で注目を集めているのが「パスキー(Passkey)」です。本記事では、パスキー(Passkey)の概要や仕組み、種類、そして日本国内の企業における導入事例を交えながら、そのメリットや課題について詳しく解説します。

パスキー(Passkey)とは?

パスキーは、オンライン認証の安全性を向上させるために設立された国際的な業界団体「FIDOFast Identity Online)アライアンス」と、Web技術の標準化を推進する国際的な非営利団体「W3C」が策定したFIDO2規格に基づく新しい認証技術です。

従来のパスワードに代わる安全かつ利便性の高い方法として、AppleGoogleMicrosoftといった大手テクノロジー企業が積極的に採用を進めています。

パスキーの概要

パスキーは、パスワードを使用しない認証方式の一種であり、公開鍵暗号方式を利用することで、高いセキュリティを実現します。

具体的には、ユーザーがパスキーを使用してログインする際、端末内で生成された秘密鍵が使用され、認証が完了します。

この秘密鍵は外部には流出せず、サービスプロバイダーには公開鍵のみが送信されるため、たとえデータベースがハッキングされたとしても、攻撃者がユーザーのアカウントを乗っ取ることはできません。

また、パスキーは生体認証(指紋認証や顔認証)やデバイスのPINコードを用いることで、簡単かつ迅速に認証を行うことができます。そのため、ユーザーの利便性が向上するだけでなく、企業にとってもパスワードの管理コストを削減できるというメリットがあります。

パスキーの仕組み

パスキーは、公開鍵暗号方式を利用することで、高度なセキュリティを提供します。基本的な仕組みは以下のようになっています。

  • 鍵の生成:ユーザーがパスキーを作成すると、デバイス上で「公開鍵」と「秘密鍵」のペアが生成されます。
  • 公開鍵の送信:公開鍵はサービスプロバイダー(例:Yahoo! JAPANやAmazon)のサーバーに送信され、登録されます。
  • 秘密鍵の保存:秘密鍵はユーザーのデバイス内に安全に保存され、外部に送信されません。

認証時の流れ:ユーザーがスマートフォンの指紋認証や顔認証などを行ってログインする際、デバイス内の秘密鍵を用いて署名を作成し、それを公開鍵と照合することで本人確認を行います。

フィッシングや不正ログインのリスク低減

この仕組みによって、従来のパスワードを使用する認証方式と比較し、次のようなリスクを低減することができます。

フィッシング対策:秘密鍵はユーザーのデバイス内にのみ存在するため、攻撃者がフィッシングサイトを利用して認証情報を盗み取ることができません。

パスワード漏洩のリスク軽減:パスワードが不要なため、データベースからの漏洩リスクを大幅に低減できます。

また、生体認証やPINコードを利用して素早くログインできるため、パスワード入力の手間が省けるというユーザーの利便性向上にも繋がります。

パスキーの種類

パスキーには大きく分けて2種類の運用方法があります。

同期型パスキー(Synced Passkeys

同期型パスキーは、クラウド経由で複数のデバイス間で共有されるタイプのパスキーです。例えば、AppleiCloudキーチェーンやGoogleのパスワードマネージャーを利用すれば、ユーザーが異なるデバイス間でも同じパスキーを使用できます。これによって、デバイスを変更してもシームレスに認証を行うことが可能となります。

デバイス固定型パスキー(Device-bound Passkeys

デバイス固定型パスキーは、特定のデバイスにのみ保存されるタイプのパスキーです。例えば、物理的なセキュリティキー(Yubikeyなど)に保存されるケースが該当します。このタイプはより高いセキュリティを提供しますが、デバイスを紛失するとログインできなくなるリスクもあるため、バックアップ方法を考慮する必要があります。

パスキーの導入が求められる業界

パスキーは、特に高いセキュリティレベルが求められる業界や、ユーザーの利便性を重視する業界にとって有益です。以下のような業界の企業では、パスキーの導入が推奨されます。

金融・保険業界

銀行、証券会社、クレジットカード会社などは、顧客の資産を扱うため、高いセキュリティ対策が不可欠です。パスキーを導入することで、フィッシング詐欺のリスクを軽減し、顧客の資産保護を強化できます。

Eコマース業界

オンラインショッピングプラットフォームでは、多くのユーザーが日々決済を行っています。パスキーを導入することで、不正ログインを防ぎ、ユーザーの利便性を向上させることが可能です。

通信業界

通信キャリアは、顧客の個人情報や契約情報を多く管理しています。パスキーを導入することで、不正アクセスを防ぎ、セキュリティを強化できます。

IT・クラウドサービス業界

クラウドサービスを利用する企業では、機密データを扱うことが多く、セキュリティ対策が必須です。特に、エンタープライズ向けのSaaSSoftware as a Service)企業では、パスキーを活用することで、より安全なアクセス管理を実現できます。

日本企業における導入事例

すでに日本国内でも、パスキーの導入が進んでいます。以下に代表的な導入事例を紹介します。

Yahoo! JAPAN

2023年3月、Yahoo! JAPANはパスキー対応を発表しました。ユーザーは、Yahoo!アカウントにログインする際にパスキーを利用できるようになり、より安全で快適な認証が可能となりました。

マネーフォワード

金融サービスを提供するマネーフォワードは、20234月にパスキーの対応を開始しました。金融関連のデータは特にセキュリティリスクが高いため、パスキーの導入により不正アクセスを防止し、ユーザーの安心感を向上させました。

NTTドコモ

NTTドコモは、20234月に「dアカウント」においてパスキーの導入を発表しました。これにより、スマートフォンを用いた認証がより安全かつスムーズになり、ユーザーの利便性向上につながりました。

まとめ

パスキーは、従来のパスワード認証に代わる新しい認証技術として、多くの企業で導入が進んでいます。その最大のメリットは、セキュリティの向上と利便性の両立にあります。特に、フィッシング攻撃の防止やパスワード漏洩リスクの軽減という点では、企業の情報セキュリティにとって非常に重要な技術と言えるでしょう。

一方で、導入にあたっては、ユーザーの認知度向上やシステムの互換性確保といった課題も存在します。しかし、GoogleAppleなどの大手企業が積極的に推進していることから、今後パスキーの普及が加速することが予想されます。

企業の情報セキュリティ担当者は、これらの動向を注視しながら、自社のセキュリティ戦略においてパスキーの活用を検討す

関連記事

多要素認証(MFA)とは?メリットや必要性を解説多要素認証(MFA)とは?メリットや必要性を解説 中間者攻撃(AiTM攻撃)とは?多要素認証で防げない理由と対策を解説中間者攻撃(AiTM攻撃)とは?多要素認証で防げない理由と対策を解説 サイバー攻撃の事例を解説サイバー攻撃の事例を解説 YubiKeysの暗号欠陥により攻撃者は秘密鍵を抽出してデバイスを複製できるYubiKey 暗号欠陥の脆弱性により攻撃者が秘密鍵を抽出してデバイスを複製できる SNS型の投資詐欺とは?手口や被害事例を解説SNS型投資詐欺とは 手口や被害事例を解説 Yahoo! JAPAN IDの不具合でYahoo(ヤフー)メールが第三者に閲覧された可能性Yahoo! JAPAN IDの不具合でYahoo(ヤフー)メールが第三者に閲覧された可能性 EDRを効果的に導入しよう メリット・デメリットと事例も踏まえて解説EDRを効果的に導入しよう メリット・デメリットと事例も踏まえて解説 Microsoft Defender for Endpointとは Microsoft純正のEDRについて解説Microsoft Defender for Endpointとは Microsoft純正のEDRについて解説 オープンAI (Open AI) 「ロシアや中国がChatGPTや生成AIを利用して国内で世論工作」さらに「フクシマ」批判の記事もOpen AI「ロシアや中国がChatGPTやAIモデルを利用し世論工作」 さらに「福島批判」記事も