WEB上のアカウントへログインする際にパスワード認証だけではパスワード流出時の不正アクセスの懸念があったり、二段階認証を設定をすると安全性は高まるが利便性が落ちてしまうという課題があります。WEBアカウントへのログイン時に利便性を損なわずに、セキュリティを強化したい企業内のシステム担当の方もいらっしゃるのではないでしょうか。
アップルやグーグル、マイクロソフトが提供しているパスキーというサービスを利用すると、WEBアカウントへのログインにパスワードではなくスマートフォンの顔認証やパスコードを使った認証を利用することができます。まだ一部のIT系のサイトにパスキーの利用は限られますが、スマートフォンの顔認証や指紋認証、パスコードを利用して二段階認証不要で手間をかけずにログインすることができます。ここではパスキーとはどのようなものか、仕組み、メリット、デメリットをご案内しています。パスキーはGoogle WorkspaceやM365のログイン認証にも利用できるので、この記事を読んで自社と利用が重なるサイトについては利便性と安全性が高いパスキーをログインに利用してみてはいかがでしょうか。
1.パスキーって何?
ここではそもそもパスキーとはどのようなものかや、どのサイトで使える認証方法なのか、などまず最初に知っていただきたいことをご案内いたします。
1-1.そもそも、パスキーって何?
パスキーとは、WEBサイトやアプリにログインする際にパスワードを使わず、スマートフォンの顔認証や指紋認証、パスコードやPINコード認証でログインする方式のことです。
パスワードを使わずにWEBサイトやアプリのサービスにログインできるため、パスワードの漏洩やパスワード総当たりでの不正アクセスを無くしていくことができます。ではWEBサイトやアプリにログインするために必要な「鍵」(今までのパスワード)は、どこにいったかというと、簡単には個別のスマートフォン1台1台が「鍵」になっています。実際に「鍵」を使う前に、スマートフォンの顔認証や指紋認証、パスコードやPINコード認証で本人確認を行います。
パスキーは本来は安全性を高めるサービスですが、パスワードを入力する手間することなく顔認証や指紋認証等でログインできるため、その利便性の良さからも利用が進んでいます。
1-2.どのサイトで使える認証方法なのか
パスキーは対応しているWEBサイトやアプリでログインする際に利用できます。以下をはじめとしたサービスでパスキーが対応しています。
●主要なパスキー対応サイト・アプリ
Apple:Apple ID、iCloud、iOS、macOSなど
Google:Googleアカウント、Gmail、Chrome OS、Google Workspaceなど
Microsoft:Microsoftアカウント、Windowsログオン、Outlook、M365など
Amazon:Amazonアカウント
NTTドコモ:dアカウント
au:au ID
任天堂:ニンテンドーアカウント
Yahoo:Yahoo Japan IDなど
これらのサイトのID・パスワードを既に持っている方は多いかと思います。後からパスキーによる認証を追加することは可能ですが、サイトによってはパスキーを登録してもパスワードを削除することができず、パスキーとパスワードが併存することもあります。
銀行や証券会社でもWEBサイト上のオンラインサービスへスマートフォンの認証を使ってログインできるケースが増えています。(こちらは似た認証方式でパスキーという技術ではなくFIDOという技術を使っています)
1-3.どうやったらログインにパスキーを使えるのか
パスキーを使ってパスワードを使わずに安全にWEBサイトへログインしたい場合は以下のような初回登録を行うことで次回からパスキーでログインすることができます。
1.パスキーに対応しているスマートフォンを用意する
まず、お手持ちのスマートフォンがパスキーを利用できる端末である必要があります。スマートフォンのOSのバージョンが一定以上であれば他にも若干要件はありますが基本的にパスキーは利用できます。iPhoneであればiOS16.3以上、AndroidであればAndroidOS10以上です。スマートフォンだけでなくタブレットでも利用可能です。
2.パスキーに対応しているWEBサイトやアプリにログインする
次に、パスキーを利用したいサイト(例えばAmazonなど)へログインします。
※ここでは既にアカウント(ログインIDやパスワード)を持っているサイトでパスキーを利用できるようにする方法を説明しています。
3.サイト内やアプリ内にあるアカウント設定画面へ進み設定を完了させる
ログインができたら、サイト内やアプリ内にあるアカウント設定画面へ進みます。そこにパスキーの設定箇所があるので、パスキーの設定を行います。その際、スマートフォン上で、顔認証や指紋認証、パスコードやPINコードを使ってログインするか確認が出るので、実際に顔認証などを行い、設定を完了させます。この時、スマートフォンから認証の際に利用する「公開鍵」(要するに合言葉のようなもの)を受け取ります。
以上の流れで次回よりパスキーを設定したサイトではパスキーでログインが可能になります。なおパスキーの設定は、サイトごとに行う必要があります。例えばアマゾンと任天堂のサイトの両方でパスキーを使いたい場合は、それぞれのサイトへログインして、アカウント設定からパスキーの利用を有効に設定してください。
2.パスキーの仕組み
ここではパスキーの仕組みをご案内いたします。
2-1.パスキーの仕組みとは
冒頭でパスキーはパスワードを使わずにWEBサイトやアプリにログインできるとお伝えしました。ここではパスワードを使わずにどのような仕組みで本人確認を行っているのか簡単にご説明いたします。
(ここでは、既にWEBサイトでパスキーの利用設定が完了しており、その状態でパスキーを利用して顔認証を経てサイトへログインする仕組みを説明します)
1.スマートフォンでWEBサイトのログインをタップする
2.スマートフォンで顔認証が行われる。(顔認証の結果はOK)
3.スマートフォン内で秘密鍵を利用し本人であることの証明書が発行される
4.WEBサイトが証明書を受け取り、パスキーの利用開始時にスマホから取得した合言葉(公開鍵)と一致するか照合を行う
5.WEBサイトが、証明書に合言葉が載っていると確認できれば、パスキーでの本人確認が完了します
※パスキーは二段階認証も不要となります。
2-2.パスキーは盗まれて悪用されないか
パスキーの安全性をその仕組みから説明してみたいと思います。
まず、パスキーで利用する情報が盗まれ悪用される可能性は非常に低い事と考えられます。
ここではAさんが持つスマートフォンAでWEBサイトXにパスキーでログインする例を使って説明します。
・パスキーの初期設定が済んで、WEBサイトXにはスマートフォンAの公開鍵Qが渡っている状態です。
・スマートフォンAには秘密鍵Pが入っている状態です。
・既にスマートフォンAからパスキーでサイトXへログインできる状態とします。
パスキーは、パスワードの代わりに秘密鍵と公開鍵の2つ鍵を使います。秘密鍵はログインする本人が自分のスマホに保存しておくものです。公開鍵はパスキーでログインを行うWEBサイトに登録します。
結論から言うと、たとえこの2つの鍵が第三者に盗まれてしまっても他のスマホからログインを行うことはできません。
1.悪意のある第三者がWEBサイトXにログインするため、スマートフォンAから秘密鍵Pを盗みます。
2.盗んだ秘密鍵Pをその第三者が自分のスマートフォンBへ登録します。
3.その第三者がスマートフォンBを使ってWEBサイトXへログインしようとしても、秘密鍵PはスマートフォンBでは使えない(秘密鍵PはAさんが持っているスマートフォンAでのみ使える)ためログインできません。
このように、パスキーはパスワードの代わりに秘密鍵と公開鍵を使いますが、もしその2つの鍵が盗まれたとしても、別人のスマートフォン端末からログインすることはできません。
3.パスキーを利用する際のメリット
ここではパスキーを利用するご案内いたします。
3-1.パスワードを使わない認証方法なのでフィッシング詐欺を防ぐことができる
パスキーに対応したサイトへ巧妙に似せたフィッシング詐欺サイトが立ち上がった場合でも、パスキーを使っていればパスワード自体が存在しないため、フィッシングサイトへログインすることができません。パスキーを使った顔認証などでのログインも、フィッシングサイトでは不可能です。本サイトとドメインが違うため。
なお、パスキーを登録しても先に登録していたパスワードを消せないWEBサイトではフィッシング詐欺にあう可能性は残ってしまいます。
3-2.パスワードではなく顔認証や指紋認証等でログインできるためかえって使い勝手が良くなる
WEBサイトのアカウント作成時に、パスワードの安全性を上げるため何文字以上で記号も入れてなど、複雑なパスワードを求められて手間取ることも多かったと思います。パスキーを利用すると、逆にパスワードを作成することが不要になり、スマートフォン端末で普段利用している顔認証や指紋認証、パスコードやPINコード認証でログインすることができ、かえって使い勝手を向上させることができます。
3-3.スマートフォンやタブレット間でパスキーを共有できる
同じApple IDやGoogleアカウントでログインしているスマートフォンやタブレット同士であれば、パスキーは共有して利用することができます。スマートフォンでパスキーの登録を行ったサイトであれば、タブレットでそのサイトへログインする際にパスキーでログインすることができます。もちろんその逆(タブレットでパスキーを登録してスマートフォンで利用する)も可能です。
3-4.スマートフォンで登録したパスキーをPCのブラウザ上から利用することもできる
例えば、Androidスマホでパスキーを登録したサイトに、PCのChromeブラウザ上からパスキーを利用してログインすることもできます。PCのChrome上でログイン画面を出した際にQRコードが表示されるので、そのQRコードをAndroidスマホで読み取ることでパスキーの認証を完了させ、PCのChrome上でサイトへログインすることも可能になります。
4.パスキーを利用する際の課題やデメリット
ここではパスキーを利用する際の課題やデメリットをご案内いたします。
4-1.登録したパスキーはiPhone⇔Android間の機種変更では移行できない
パスキーはアップルやグーグル、マイクロソフトが提供するサービスのため、例えばiPhoneでパスキーの登録を多くしていて、その後スマホをAndroidへ乗り換えた場合は、パスキーを自動で移行することができません。パスキーを登録したWEBサイトのFAQを見るなどして、1サイトづつ移行方法を確認する必要があります。
4-2.パスキーを登録した端末を紛失すると不正利用される可能性がある
もしもパスキーを登録したスマートフォンを紛失してしまい、第三者が入手してパスコードやPINコード認証を突破してしまった場合は、パスキーを利用してサイトへ不正ログインされてしまう場合があります。
企業でパスキーを利用する際は、スマートフォンに端末管理ソフト(MDM)を必ず入れて紛失時にはリモートロック等が行えるように端末紛失時の対策を行っておく必要があります。
5.Appendix
ここでは参考にアップル、グーグル、マイクロソフトが提供しているパスキーについての情報をご案内いたします。
| 提供元 | 詳細 |
| マイクロソフト | パスキーとは |
| グーグル | パスキーとは? Android スマホでの設定方法やパスワードとの違いを解説 |
| アップル | パスワードアプリでパスワードやパスキーを作成・管理し、Apple製デバイス間で共有する |
コメント