インターネットの普及に伴い、様々なサービスを利用する際に必要不可欠となったパスワード。しかし、従来のパスワード管理では、流出リスクや管理コストの増大など、多くの課題を抱えています。近年、このパスワードに代わる新たな認証方式として「パスキー」が注目を集めています。
パスキーの利用例として、メルカリの動画を紹介します。
パスキーは、パスワードを入力することなく、生体認証やPINコードなどを用いて安全にログインできる仕組みです。
GoogleやApple、Microsoftなどの大手IT企業が採用を表明し、パスワードレス社会の実現に向けた動きが加速しています 。
この記事では、パスキーについて分かりやすく解説します。
パスキーとは何か?
パスキーとはパスワードを使わない新しいログイン認証方式で、FIDOアライアンスが提唱する「FIDO2」規格に基づいています。マルチデバイス対応FIDO認証資格情報(multi-device FIDO credential)といい、FIDOアライアンスとweb標準団体W3Cが共同で制定しました。
パスキーは、ユーザー名や文字列パスワードの代わりに、端末ごとに生成される公開鍵暗号の鍵ペア(秘密鍵・公開鍵)で本人確認を行います。秘密鍵はユーザーのデバイス内に留まり、ログイン時には対応する公開鍵でサーバ側のチャレンジを署名します。
利用者はサイトごとに設定したパスワードを覚える必要がなく、指紋認証や顔認証といった生体認証、PINコードで簡単にログイン可能です。秘密鍵はデバイス外に漏れたりフィッシングサイトに渡ったりしないため、なりすまし攻撃を原理的に防止できます。
一般的なFIDOとパスキーの最大の違いは、秘密鍵をクラウド経由でバックアップ・同期できるマルチデバイス対応にあります。従来のFIDO2認証(セキュリティキーやデバイス内認証)では鍵が登録端末に固定され、端末紛失時の復旧が困難でした。
パスキーでは各ユーザーの秘密鍵をApple IDやGoogleアカウントなどクラウドに暗号化保存し、同じユーザーの別デバイスへ自動同期できるため、どの端末からでも一貫したログインができます。
例えばスマートフォンで登録したパスキーをPCで利用したり、新しい端末へ移行しても既存のログイン情報を引き継げます。
現在、主要OS・ブラウザを含む各プラットフォームでパスキーがサポートされています。主要なOSやブラウザは既にパスキーに対応しており、国内でもYahoo! JAPANやメルカリなど主要サービスが次々と導入しています。
FIDO2との違い
パスキーはFIDO2技術を発展させたものです。
FIDO2に加えて「秘密鍵のクラウド同期による複数端末での利用」を実現したことが大きな相違点です。
主な違いは以下のとおりです。
| 項目 | FIDO2(WebAuthn) | パスキー(Passkeys) |
|---|---|---|
| ユーザー体験 | セキュリティキーや生体認証を使用 | セキュリティキーや生体認証を使用しデバイス間で同期可能 (シームレスな利用) |
| ログイン方式 | 端末ごとに登録が必要 | 1つのアカウントで複数端末利用可 |
| 復旧方法 | 失った場合、再登録が必要 | クラウド同期で復元可能 |
パスキーの成り立ち
パスワード認証は長年もっとも一般的な方式でしたが、多数のパスワード管理や再利用によるセキュリティリスクという課題を抱えていました。ひとたびパスワードが漏洩すれば、複数サービスのアカウント乗っ取りや個人情報流出につながりかねません。
また近年はフィッシング詐欺やリスト型攻撃の増加により、「パスワードのみ」に依存した認証の危険性が顕在化しています。
こうした背景から、より安全で利便性の高い認証技術の開発が産業界全体で進められてきました。
2012年、主要企業がFIDOアライアンスを設立し、オープンな認証標準の策定と普及を推進してきました。
2022年5月にはApple・Google・Microsoftの3社が共同でパスワードレス認証のサポート拡大を表明し、デバイスやOSを超えて利用できる共通認証手段としてパスキー(Passkey)が誕生しました。
このことによりパスキーは一気に注目を集め、2022年以降サイバーセキュリティ分野のキーワードとなっています。
企業にとっての導入メリット
パスキー導入によって企業が受けるメリットは大きく3点あります。
セキュリティ向上、運用コスト削減、ユーザー体験の向上です。
- セキュリティ向上:
パスキーはフィッシングやパスワード漏えいによる不正ログインを根本的に防ぎます。秘密鍵が端末外に出ず、サーバ側にも漏洩しうるパスワードを持たないため、攻撃者はユーザーの認証情報を盗み出せず、従来の多要素認証と比べても圧倒的にフィッシング耐性が高いことが確認されています。
パスキーの特徴に、作成したウェブサイト(ドメイン)でしか使用できないという点があります。例えば、正規の「ドメインA」で作成したパスキーは、偽サイトの「ドメインB」では機能しません。
これはどんなに精巧に作られた偽サイトであっても同様です。パスキーはドメインを厳密に検証するため、ユーザーがURLを誤認してしまうようなヒューマンエラーが原因となるフィッシング被害を防止することができます。
Yahoo!JAPANでは、パスワードレスアカウントの増加による不正アクセスの減少も確認できています。また、NTTドコモのドコモオンラインショップではフィッシングの被害報告が0件になりました。
このように、パスキーはアカウント乗っ取りや不正アクセスのリスクを大幅に低減し、企業のセキュリティ水準を引き上げることができます。 - コスト削減:
パスワードに関わるサポート対応の削減は、運用コスト低減につながります。ユーザーからの「パスワードを忘れた」問い合わせやリセット対応はヘルプデスクの大きな負担ですが、パスキー導入によりこれらが激減すればサポート工数と費用を削減できます。
ある調査では1回のパスワードリセット対応に約7千円(70ドル)のコストがかかるとも報告されています。Yahoo!JAPANでは、パスキーではないアカウントも含めサポートへの問い合わせが25%減少しました。
パスキーは認証関連の運用負荷を減らし、運用コストを大幅に削減します。 - ユーザー体験の向上:
パスキーはログイン時のユーザー体験を飛躍的に改善します。複雑なパスワード入力が不要になり、生体認証でワンタップするだけで認証が完了するため、ユーザーの心理的・時間的負担を大幅に軽減します。実際にログイン成功率が向上し、処理時間が短縮するデータも得られています。
例えばGoogleではパスキー導入後にサインイン成功率が30%向上し、ログイン時間も平均20%短縮されました。
メルカリでは、ログイン時間が17秒から4.4秒になり、ログイン成功率も 67.7%から82.5%に上がりました。また、Yahoo!JAPANでは、ログイン時間がSMS認証に比べ1/3以下になりました。
このようなスムーズな認証体験はユーザー満足度を高め、サービス離脱の抑制にもつながります。
パスキーの導入事例
すでに多くの企業でパスキー導入が進み、セキュリティ強化とUX向上の成果が上がってきています。
ここではKDDI、Yahoo! JAPAN、メルカリの事例を紹介します。
KDDI(au ID)
自社のau IDログインにパスキー認証を導入し、電話問い合わせ数は約35%まで減少しました。
大規模ユーザー基盤での導入により、セキュリティ向上とサポート負荷軽減を両立しました。
Yahoo! JAPAN
2023年よりYahoo! JAPAN IDログインでパスキー対応を開始し、スマホ経由ログインの約半数がパスキー利用となりました。またパスキー認証はSMSワンタイムパスワードより成功率が高く、認証速度が2.6倍速いことも確認されています。
大規模ポータルでユーザビリティと安全性を向上させました。
メルカリ
数千万ユーザー規模のフリマアプリでパスキーを導入しました。既に700万超のユーザーがパスキーを登録済みで、同期パスキーを登録しているユーザーにはパスキーログインを原則必須としています。その結果、対象ユーザーにおける不正ログイン被害がゼロになるなど顕著な効果が得られました。大規模サービスで不正アクセスを一掃した成功事例として注目されています。
出展:
パスキー 2024 年に採用が倍増: 150 億を超えるオンライン アカウントが パスキー を活用して、より迅速で安全なサインインを実現FIDOアライアンス、「パスキー」の最新状況や導入実績について発表 国内外のさまざまなサービスで対応が加速
パスワードレスの認証方式「パスキー」の導入進む。フィッシング詐欺被害防止の救世主に?(FIDOアライアンス)
FIDO2だけでなく、パスキーやFIDOの導入事例をまとめた記事はこちら
海外&日本のパスキー導入事例39社まとめ|セキュリティ強化とUX改善の最前線
日本政府もパスキーを推進しています
2024年6月、犯罪対策閣僚会議が開催され「国民を詐欺から守るための総合対策」が策定されました。フィッシング被害への対策として「DMARC等への対応促進」と「パスキーの普及促進」が記載されています。
また、警視庁において、2023年に「キャッスレス社会の安全・安心の確保に関する検討会」が開催され、2024年3月に「キャッスレス社会の安全・安心の確保に向けた検討会 報告書」が取りまとめられました。その中で、フィッシング対策として、技術的な対策により環境を整備することが肝要であるとして、次世代認証技術(パスキー)の普及促進が挙げられています。
金融庁についても、度重なるフィッシング詐欺被害を受け、2024年12月に「国民を詐欺から守るための総合対策」を踏まえ、各金融機関に対し、パスキーの普及促進を含めたフィッシング対策の強化を求める要請文を発出しています。
このように、政府関係機関もフィッシングに強いパスキーの導入を推進しています。
まとめ
パスキーはセキュリティ強化・コスト削減・UX向上を同時に実現できる新たな認証技術です。既に標準化が進んでおり、今こそ、従来のパスワード認証から脱却し、より安全で快適な認証基盤へ移行すべき時期といえます。
将来を見据え、次世代の認証基盤としてパスキー導入を前向きに検討してはいかがでしょうか。
自社サービスや社内システムへの導入について詳しく知りたい方は、ぜひお気軽にお問い合わせください。
Capyならログイン画面のあるサイトにパスキーが簡単に導入できます。
導入費用やランニングコストも抑えられますのでぜひお問い合わせください。
Capyの生体認証へのお問い合わせはこちら
https://corp.capy.me/fido/
