「パスワードを忘れてログインできない」「複雑なパスワードを管理するのが面倒」……そんな悩みから人類を解放する技術として普及が進んでいるのがパスキー(Passkey)です。
Google、Apple、MicrosoftといったIT巨人が一斉に導入を開始したこの技術は、第36回で解説した「多要素認証(MFA)」の安全性と、シングルサインオン以上の利便性を両立させる、認証の完成形とも言える仕組みです。今回は、パスキーの背後にある規格「FIDO2(ファイドツー)」とともに、その革新的な仕組みを解説します。
パスキーとFIDO2の基本
まずは、よく耳にする2つの用語を整理しましょう。
FIDO2(ファイドツー)
FIDOアライアンスという団体が策定した、「パスワードを使わずに安全にログインする」ための標準規格です。専用のデバイス(セキュリティキー)や、PC・スマホに備わっている生体認証機能を利用して認証を行います。
パスキー(Passkey)
FIDO2の規格をベースに、さらに使いやすくした**「認証情報の呼び名」**です。最大の特徴は、iCloudやGoogleアカウントなどを通じて、複数のデバイス間で「ログインするための鍵」を同期できる点にあります。
豆知識:FIDO2の読み方 一般的に「ファイドツー」と読みます。FIDOは「Fast Identity Online」の略で、素早く安全な本人確認を目指すという意味が込められています。
パスキーが安全な理由:公開鍵暗号の仕組み
パスキーが従来のパスワードよりも圧倒的に安全な理由は、第31回で学んだ「電子署名」のベースでもある「公開鍵暗号」の仕組みを利用しているからです。
- 秘密鍵(自分の手元): スマホやPCの安全な領域に保存されます。ネットワーク上には一切流れません。
- 公開鍵(サーバー側): サービス事業者のサーバーに保存されます。
ログイン時には、サーバーから送られてきたデータに対して、手元の秘密鍵で「署名」を行います。サーバー側は、あらかじめ預かっていた公開鍵でその署名を検証するだけで、「本人が持っている正しいデバイスからのアクセスだ」と判断できます。
ここがポイント! サーバー側には「公開鍵」しか存在しないため、万が一サーバーがハッキングされても、ログインに必要な「パスワード」や「秘密鍵」が漏洩することはありません。
パスキー導入の3大メリット
パスキーの普及は、ユーザーにとってもサービス提供者にとっても大きな転換点となります。
① フィッシング詐欺を物理的に防げる
従来のパスワード認証では、偽のログインサイトに騙されてパスワードを入力してしまう被害が絶えませんでした。しかし、パスキーは「本物のサイト」と「手元のデバイス」の間でしか動作しないため、フィッシングサイトに情報を盗まれるリスクがありません。
② 利便性の劇的な向上
第33回で解説した「認証(本人確認)」が、指紋認証や顔認証(FaceID/TouchID)だけで一瞬で完了します。複雑な文字列を入力する必要も、定期的に変更する必要もありません。
③ デバイスを紛失しても復旧可能(パスキーの特徴)
従来のFIDO認証は、鍵が入っている特定の物理デバイスが壊れるとログインできなくなる弱点がありました。しかし、パスキーはクラウド経由で同期されるため、新しいスマホに買い替えても、元のIDをすぐに引き継ぐことができます。
IDaaSやゼロトラストとの関係
第41回で紹介した「IDaaS(アイダース)」の多くは、すでにパスキーに対応しています。
組織が第39回で学んだ「ゼロトラスト」を実現しようとする際、最も脆弱なポイントになるのは「ユーザーのパスワード管理」です。パスキーを導入することで、認証の強度を「最強」レベルに保ちつつ、社員の利便性を最大化することが可能になります。
まとめ
パスキーは、長年続いてきた「パスワードとの戦い」に終止符を打つ技術です。
- FIDO2という強固な規格をベースにした、新しい認証の形。
- 公開鍵暗号により、サーバーに秘密情報を残さないため安全。
- クラウド同期により、高い安全性と利便性を両立。
これからの数年で、多くのサービスが「パスワード設定不要」になっていくでしょう。
次回の第43回では、認証された後の「通信」そのものを守る技術「TLS 1.3の仕組みと暗号化の基本」について、私たちが普段使っているHTTPS通信の裏側を解説します。
コメント