お知らせ

2023.12.01 ITニュース パスキー(Passkeys)とは?

パスキー(Passkeys)とは「FIDO Alliance」が規格の策定を行った「FIDO」(Fast IDentity Online)を活用し、Web標準化団体のW3Cと共同で規格化した新しいパスワードレスの認証方式です。
一般的にいわれているパスキー(Passkeys)とは広義のパスキー(Passkeys)を示すことが多くなります。広義のパスキー(Passkeys)とは、「FIDO2認証」と「狭義のパスキー(Passkeys)」を組み合わせ実装されたものになります。

最近では2023年10月、Googleが個人のGoogleアカウントのデフォルトオプションとして、「パスキー」を提供すると発表しました。
パスキーを採用しているベンダーはありますが、Googleがデフォルトオプションとして使用を推奨したため話題となりました。
また、今年に入りNTTドコモのdアカウント、任天堂のニンテンドーアカウントなどのサービスでパスキーが採用されています。

FIDO2
 FIDO2は「FIDO Alliance」が策定した認証規格であるFIDOの最新バージョンです。
従来のパスワード認証は、ログインする際に利用者がユーザIDと対になるパスワードをサーバに送信し、サーバ側で保持している情報と照合され認証される仕組みです。
これは、利用者とサービス提供者(サーバ側)の両者で情報が保持される仕組みで、「パスワード情報の漏洩」、「ユーザIDとパスワードの使い回し」、「推測されやすいパスワードの利用」などの問題があります。
FIDO2では指紋・顔認証、PIN認証などを用いて認証するのが大きな特徴で、認証方式に公開鍵暗号方式を使用しています。
サービスの利用開始時に利用者は一意の「秘密鍵」と「公開鍵」一対の鍵を生成し、「秘密鍵」をデバイスに「公開鍵」をサーバに保存します。
サービスへのログイン時に生体認証などで取り出した秘密鍵を使ってサーバから送信されるデータに署名後、署名データを送信し、サーバ側がペアの公開鍵で署名を検証してログインを許可します。

 

狭義のパスキー(Passkeys)
 従来のFIDO認証では「秘密鍵」をデバイスから外に出さないことで安全性を高めていましたが、この方式ではデバイスの紛失やスマートフォンの機種変更など認証機器を変更すると資格情報の再登録が必要になり、パスワードと比べて利便性が損なわれるという欠点があります。
そこで「FIDO認証資格情報(FIDOクレデンシャル)」をクラウドへ保存し、クラウド経由で同期することで複数のデバイスで利用できる様にした技術が、狭義のパスキー(Passkeys)となります。

パスキーのメリット

【サービス利用側のメリット】
・ワード(文字列)を覚える必要が無い
パスワードであれば、サイト毎に長いワード(文字列)を記憶する必要があります。しかし、パスキーであればサービス利用時にIDを決めて生体認証を登録するのみであるため、長いワードを記憶しておく必要がありません。

・不正アクセスが難しい
パスキーでは公開鍵暗号方式が採用されています。
サービスへログインするためには認証機器に保存されている秘密鍵が必要となります。悪意のある第三者が認証機器を入手したとしても、秘密鍵を取り出すためには登録してある生体認証などが必要となるため、本人以外がアクセスすることが難しい仕組みとなっています。

・フィッシングに強い
パスキーではドメイン情報もメタデータとして保存されます。認証する際、ドメイン情報が一致しないと認証できないため、フィッシングが実質不可能となります。

・認証が速い
Googleは、パスキーで認証することによりパスワードと比べ40%高速化すると発表しています。

【サービス提供者側のメリット】
・情報漏えいを低減できる
パスキーにおいてサービス提供者が保存するのは公開鍵となります。このため、悪意のある第三者からの攻撃を受け公開鍵を取得されたとしても、公開情報であるためセキュリティの脅威にはなり得ません。

まとめ
パスキーは、現在普及段階にあるため対応しているサービスが多いとは言えません。しかし、現在主流となっているパスワードと比べ、ユーザにとってセキュリティや利便性が向上することは確かです。
また、Microsoft・Google・Appleなどの大手ITベンダーが導入に向け前向きであることから、今後は更に普及していくと考えられます。

【ご参考】
・FIDO Alliance
 https://fidoalliance.org/?lang=ja
・Google Passkeys are now enabled by default for Google users
    https://blog.google/technology/safety-security/passkeys-default-google-accounts/

【執筆担当】
会社名: 株式会社システムソリューションセンターとちぎ
所在地: 〒329-1233 栃木県塩谷郡高根沢町宝積寺 情報の森とちぎ
URL:   https://www.ssct.co.jp/
ITソリューション部  阿久津 克彦 / 市村 隆男