パスキーってなに？パスワードの代わりになる最新の技術を解説

最近、多くのサービスで採用が進んでいる「パスキー」ですが、そのキャッチーなネーミングに反して、その仕組み、何ができるようになって、パスワードと比較すると何が変わるのかなどは少し分かりづらいものとなっています。

この記事では「パスキー」について、どのような技術が使われていて、パスキーに対応すると何が変わるのか、どのようなメリットがあるのかを解説していきます。

パスキーとは

パスキー(Passkeys)とは、パスワードに代わるかんたんで安全な認証方式です。
セキュリティと使い勝手の両立を目指すために、FIDOアライアンスという標準化団体によって策定されました。
GoogleやApple、Microsoft といったメガクラウドベンダーと、FIDOアライアンスやW3Cといった団体がメインとなって推進しています。 

現在多くのWebサイトで利用されている「パスワード」は、容易に推測できてしまったり、盗難される可能性があったり、利用者自身が数多くのパスワードを管理しなければいけないといった問題がありました。

パスキーが利用できるようになると、ユーザーはパスワードを覚える必要がなくなり、大量のパスワードの管理から解放されます。

パスキーはFIDO2の技術がベースとなっていますが、このFIDO2の仕組みの中で生成された秘密鍵を、クラウドで保管しユーザーの保有する複数のデバイスで利用できるように拡張したものとなっているため、ユーザーの利便性がさらに向上します。

FIDO2とは

FIDO2は公開鍵暗号方式を用いて高セキュリティな認証を実現しています。
（FIDO2の詳細な仕組みに関しては本サイトの別の記事「【技術概要】パスキー/FIDO認証はなぜ安全なのか」をご参照ください。）

FIDO2の認証の流れを簡単に説明すると下記の図のようになります。

1. ユーザーがWebサイトにアクセスします。
2. Webサイトはログインのためにチャレンジと呼ばれるランダムな文字列を端末に送ります。
3. チャレンジを受け取った端末側では、セキュア領域に保管されている「秘密鍵」を使うために、端末のロック解除と同じ操作（生体認証やパターン認証など）で本人確認をします。
4. 端末側でセキュア領域に保管されている「秘密鍵」を使ってチャレンジに対して署名し、署名付きのチャレンジをWebサイトに返却します。
   署名付きのチャレンジを返却されたWebサイトでは、事前に端末から送付されて保管している公開鍵を用いて署名検証することで認証をします。

上記の通り、ネットワーク上に流れるのはチャレンジと言われるランダムな文字列とその署名データおよび公開鍵のみで、パスワードなどの秘匿な情報は一切流れず、Webサイトにも保管されないため、パスキー／FIDO認証はパスワードなどの認証方式と比較してセキュアになります。

また、FIDO2では秘密鍵／公開鍵のペアはWebサイトのドメイン情報と紐付けて管理されるため、ドメイン情報が一致しないと認証できません。
ドメイン情報が一致する場合にだけ認証できるので、フィッシング攻撃に対する耐性が高いことが大きなメリットとなっています。

パスキーの仕組み

FIDO2では秘密鍵が対象の端末にのみ保管され、複数の端末間で鍵を共有する仕組みがないため、利用する端末ごとに登録操作が必要になったり、端末の紛失や故障によりアカウントが利用できなくなるリスクがあったり、そのリスク対策のためにレガシーでセキュアでない認証手段（パスワード認証やワンタイムパスワードなど）を用意する必要があるなどといった課題がありました。

そこで新たにFIDO2の秘密鍵をクラウド経由で同期する仕組みとしてパスキーが登場しました。
パスキーでは、端末のセキュア領域に保存される秘密鍵をクラウド（GoogleのパスワードマネージャーやAppleのiCloudキーチェーン）に保管し、複数の端末で利用できるようになります。

例えばユーザーが所有するiPhoneでWebサイトにパスキーでログインするための秘密鍵を生成し、iCloudキーチェーンで秘密鍵を同期します。
このユーザーが所有する別の端末（例えばiPad）でも自身のAppleIDアカウントでログインし、iCloudキーチェーン経由で秘密鍵を同期することで、同じWebサイトにiPadでもパスキーを利用してログインができるようになります。
これまでのFIDO2の仕組みだけでは、上記の例の場合はiPhoneとiPadの両方で秘密鍵を生成しWebサイトに登録しなければ利用できませんでした。

パスキーを利用することで、複数の端末間で秘密鍵の共有や引継ぎが可能となり、端末の故障などの問題によりアカウントが使えなくなるリスクが低減できるだけでなく、代替手段としてパスワード認証などのセキュアでない認証を残す必要がなくなり、より高度なパスワードレスを推進することができます。

また、パスキーにもいくつか種類があり、GoogleパスワードマネージャーやiCloudキーチェーンなどで同期し複数デバイスで利用できるもの（synced passkeys）と、同期せずに単一デバイスでのみ利用可能なもの（device-bound passkeys）や、FIDOクレデンシャルにユーザー識別子を含むもの（Discoverable Credential）と、FIDOクレデンシャルにユーザー識別子を含まないもの（Non-Discoverable Credential）があります。

以前は、デバイス間で同期可能（synced passkeys）かつユーザー識別子を含んだFIDOクレデンシャル（Discoverable Credential）だけが「パスキー」と呼ばれていましたが、現在では同期されずに単一デバイスでのみ利用可能なもの（device-bound passkeys）や、ユーザー識別子を含まないもの（Non-Discoverable Credential）もすべて「パスキー」と呼ばれるようになっています。（これらを含めて「広義のパスキー」とも呼ばれたりします。）

また現在では、FIDOアライアンスとしても「パスキーはパスワードの代わりとなり、ユーザーのデバイス全体で Web サイトやアプリへのより高速、簡単、より安全なサインインを実現します。」という定義をしていたり、「”パスキー”という言葉は一般名詞であり、”パスワード”と同じような意味だと思ってください。」と謳うようになっていたり、「パスキー」の定義は少しずつ広いものとなってきています。

パスキー/FIDO認証のメリット

フィッシング攻撃に対する耐性が高い

FIDO2の仕組みで秘密鍵／公開鍵のペアはWebサイトのドメイン情報を紐付けられ、ドメイン情報が一致しないと認証できません。
従来までのパスワード認証とは異なり、ユーザー自身が入力する情報はないのでフィッシング攻撃に対して耐性が高いといえます。

対応デバイスの導入が低コストである

生体認証のために特別な専用デバイスなどは不要で、パソコンやスマートフォンなど一般に普及している端末で高度な認証が実現できます。
最近のパソコンやスマートフォンであれば標準で生体認証が利用できることが多く、Webサイトにパスキーを導入することでデバイスの生体認証を利用して安全な認証が実現できます。

認証操作も鍵の管理も簡単かつ安心で利便性も高い

パスキーを利用するとスマートフォンなどのロック解除と同じ動作でWebサイトにログインできるようになるため、ITやセキュリティに詳しくないユーザーでもかんたんで安全な認証を利用することができます。
また、これまでのようにユーザーがパスワードを覚える必要がなくなり、パスワードを管理する煩わしさから解放されます。
さらに、パスキーは複数の端末で同期可能で、マルチデバイスで使いやすくなるとともに端末紛失や故障のリスクも低減され、ユーザーの利便性は非常に高くなります。

パスキーを利用する上での注意点

GoogleのパスワードマネージャーやAppleのiCloudキーチェーン等を利用して秘密鍵を複数の端末間で同期するため、これらのGoogle アカウントやApple IDなどのパスキーを保管しているクラウドのアカウントを適切に保護する必要があります。

もしGoogle アカウントやApple IDにログインするための認証でパスワードだけを使っていた場合、そのパスワードが漏洩したり、推測しやすいものに設定したりするとパスキーも悪意のあるユーザーに利用されてしまう恐れがあります。

Google アカウントやApple IDなどパスキーを保管するクラウド側のアカウントの認証についても多要素認証などで厳重に守らなければなりません。

パスキーを採用しているサービス

Google、Apple、Microsoftなどのメガクラウドはもちろん、docomoやYahoo Japan、auなど日本国内の通信系、マネーフォワード、Adobe、DocuSignなどのSaaS系、さらに最近ではAmazonや任天堂、ソニーといったコンシューマ向けのECサイトなどでもパスキーの導入が進んでいます。

さいごに

パスキーはFIDO2というセキュリティと利便性を両立させた技術をベースに、ユーザーの使い勝手をさらに向上させた最新の認証技術です。

NTTテクノクロスの提供する「TrustBind/Federation Manager」はパスキーに対応しています。
「TrustBind/Federation Manager」はWebサイトの構成や要件に合わせてパスキーの導入が可能な製品となっていますので、Webサイトのログインにパスキーを導入したいという方はNTTテクノクロスまでご相談ください。