公開日: |更新日:
パスワード認証に代わる新しい認証方式として、「パスキー認証」が注目されています。本記事では、パスキー認証の概要や仕組み、導入時の注意点を解説します。
パスキー認証は、従来のパスワード認証と比較して、不正アクセスやフィッシング詐欺への耐性が高いとされる認証方式です。FIDO(ファイド)アライアンスが策定した標準規格に基づいており、端末上の生体認証(指紋・顔)やPINコードなどを活用して認証を行います。ここでは、パスキー認証の基本的な仕組み、パスワード認証との違い、メリット・デメリットなどを解説します。
パスキー認証では、サービス登録時に「公開鍵暗号方式」に基づいたペアの鍵を生成します。
| 保管場所 | 鍵の種類 |
|---|---|
| サービス提供元のサーバー | 公開鍵 |
| 利用者の端末 | 秘密鍵 |
パスキー認証の基本的な流れは次の通りです。
この仕組みにより、秘密鍵自体が通信経路に流れることはなく、サーバー側にも保存されません。
パスキー認証では、ユーザー自身が記憶した文字列(パスワード)ではなく、所持している端末内の秘密鍵と、端末への生体認証(またはPIN)を組み合わせてログインします。これにより、複雑な文字列を記録・記憶・入力する手間がなくなります。
パスワードの使用を減らす(あるいは無くす)ことで、主に以下のメリットが期待できます。
パスキー認証への移行により、セキュリティの向上とユーザーの利便性向上の両立が期待されます。
一方で、以下の点には注意が必要です。
パスキー認証の「秘密鍵」は端末(またはクラウド上のキーチェーン)に保存されます。端末自体を紛失し、かつ端末のロック(PINや生体認証)が突破されると悪用されるリスクが上昇。万が一に備え、端末自体の画面ロック機能は必ず有効にしておく必要があります。
パスキーは、近年普及が進んでいる認証方法です。古いOSやブラウザだと利用できないことがあります。社内サービスに導入する場合は、全従業員のOSやブラウザを確認して、アップデートを行うといった対応が必要になることもあります。
Apple、Google、Microsoftなどのプラットフォームでは、クラウド機能(iCloudキーチェーンやGoogleパスワードマネージャーなど)を通じて、複数の端末間でパスキー(秘密鍵)を同期できます。これにより、スマホで作ったパスキーでPCからログインできるなど利便性は増しますが、その同期用アカウント(Apple IDやGoogleアカウント)自体の管理がより重要になります。これらが乗っ取られると、保存されたパスキーも利用される恐れがあるため、同期用アカウントに対して多要素認証を設定するなどの対策が推奨されます。
パスキー認証は、公開鍵と秘密鍵を利用する新しい認証方式です。フィッシング詐欺や不正アクセスのリスクを軽減できるうえ、利用者の利便性も高められます。ただし、セキュリティ対策が不要になるわけではありません。また、利用できる環境にも制限があります。メリット・デメリットを理解したうえで導入を検討することが大切です。
以下の記事では、多要素認証システム・ソリューションについて解説しています。自社に適した認証方式をお探しの方は、参考にしてください。
アカウントと生産性を守る
Withコロナ時代の
情報セキュリティ必須概念
クラウドサービスの普及やワークスタイルの変化によって、これからの情報セキュリティはシステマチックな運用が求められます。
アカウントのセキュリティを高めながら、運用者と利用者双方の利便性を高めるためには「統合認証基盤(統合認証システム)」の概念を理解しておかなければなりません。
