• 会員限定
  • 2023/11/13 掲載

パスキーとは何か? アップルやグーグルがなぜ「パスワードレス」を採用するのか

記事をお気に入りリストに登録することができます。
ブラウザを使っていて「パスキーを設定します」や「Google Chromeがxxxx(サイト名)でパスワードを入力しようとしています」というダイアログ表示され、顔認証や指紋認証、PINコード入力を求められたことはないだろうか。これらは「パスキー」と呼ばれる認証方法の1つであり、近年、アップルやグーグルなど大手IT企業も導入し始めている。いったい、パスキーにはどういったメリットがあり、今後どのように広がっていくのだろうか。

執筆:フリーランスライター 中尾真二

執筆:フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

photo
大手企業も注目する「パスキー」による認証とは
(Photo/Shutterstock.com)

「安全なパスワード」は永遠の課題

 パスワードの安全性や運用方法、常識は時代とともに変化しているが、パスワード関連の脆弱性や新しい攻撃手法についての話題は尽きることがない。パスワードはセキュリティ業界において永遠の課題の1つなのだ。

 利便性、コストなどを考慮した現実的なセキュリティにおいては、パスワードに勝る認証方法がないのは事実であるが、パスワードは完全な認証方法でもなければ、安全を保障するものでもない。

 この認証方法においては、広く普及したことがかえって安全性や信頼性を下げている。増えすぎたパスワードや煩雑な規定が、パスワードの秘密性をスポイルするような運用を誘発し、全体のセキュリティを下げているのである。

 加えて、「1234」のような安易なパスワード設定がなくなることもなく、IT技術の発達やAIの応用により辞書攻撃などの総当たり攻撃の精度も上がっている。

 もちろん防御側も、類推可能なパスワードや安易なフレーズをはじく機能、ログイン試行回数・時間の制限、2要素認証といった技術で対応している。だが、このような技術的対策は、フィッシングやソーシャルエンジニアリングには、2段階認証以外、あまり有効ではない。

 特にフィッシングは、ランサムウェア攻撃における感染・侵入フェーズの最もポピュラーな攻撃となっている。そのため、フィッシング詐欺やランサムウェア攻撃が猛威をふるい続けているのが現状である。

 パスワード以外の認証方法に注目が集まるのには次のような背景がある。

大手IT企業がパスキーを導入する目的

 「パスキー」はパスワードに依存しない認証方法の1つだ。アップルは2022年から、ドコモやグーグルは2023年から導入し始めている。

画像
なぜ「パスキー」を導入しようとするのだろうか
(出典:著者提供)

 現状、多くのサービスやブラウザが従来からのパスワードとの併用が可能になっているが、パスキーの目的はパスワードレスでサービスへのログイン(認証)を安全かつ便利に実現しようというものだ。

 技術的な説明をすると、パスキーはFIDO 2に規定された認証方法をベースにしている。FIDO2とは、デバイス側の認証器と公開鍵暗号インフラによってサーバやサービス側のパスワードがなくてもアカウントの認証を実現するパスワードレス認証の技術仕様のことである。

 ここでのデバイス側の認証器とは、指紋認証(生体認証)やスマートフォンのPINコードによる認証を行うハードウェアのことを指している。

 これらの認証のベースとなる情報は、デバイスに(通常はOSからも独立したモジュールやハードウェアによって暗号化や保護措置がとられ)保存される。認証そのものはデバイス内に閉じた形で行われるので、パスワード(合言葉・鍵情報)をサーバや他人と交換する必要がない。

 デバイスが対象を本人であることを確認したら、それを本人のお墨付きとして、サーバとクライアントはサービスごとに個別の秘密鍵を生成して通信を行う。

 デバイスが本人確認をしたという情報とサーバ側のアカウントが同一人物のものかどうかは公開鍵暗号のインフラ、つまりFIDO認証のための認証局が担保する。

 デバイス側の認証に生体認証を使えば、仮にデバイスそのものが攻撃者の手に渡ってもなりすましは容易ではない。サーバにはパスワードなどの情報がないので、これをハッキングしたり偽の情報でサーバをだましたりすることも難しい。

 現在のところ、パスワードレスの認証方法として最右翼とされている技術である。 【次ページ】パスキーの弱点は「○○の併用」

関連タグ

あなたの投稿

関連コンテンツ

オンライン

Ignite 23 Japanオンデマンド

AI-Empowered Cybersecurity Transformation まさにAI時代と言える現代、企業がビジネス変革を進める一方で、新たな脅威が出現するペースも非常に速く、企業のサイバーセキュリティを取り巻く環境は大きく変化しています。特に企業がクラウドやハイブリッドワークスタイルにシフトを加速させる中、攻撃者はAIを駆使して、巧妙かつ高度なサイバー攻撃を仕掛けてきます。進化と拡大を続けるサイバー脅威に対抗するために、組織は今、あらためて自らのビジネスを見直し、サイバーセキュリティ戦略を立て直すことが求められています。AI時代を勝ち抜くためには、サイバーセキュリティ体制もまた、AIを念頭に設計、構築することが至上命題です。 AIの台頭も背景に、私たちが置かれているビジネス環境や私たちが活用している企業システムにおいて、攻撃対象領域は拡大の一途をたどっています。内包されるサイバーリスクも多様化の勢いを増しており、リスク毎にポイント製品で対応していくことは現実的ではありません。今こそ、サイバーセキュリティ対策においても、真のコンソリデーションによる包括的なアプローチが必要な時代です。 最新のサイバーセキュリティソリューションの今を知ることができる「Ignite 23 Japan」をぜひお見逃しなく!

    PR

    PR

    PR

処理に失敗しました

人気のタグ

おすすめユーザー

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます