パスキーとは？認証方法や利用メリット、注意すべきポイントについて解説

パスキーの概要

ここでは、パスキーの概要やその認証方法、パスワードとの違いについて紹介します。

パスキーとは

パスキーとは、従来のパスワード認証に代わる新しい認証方式で、指紋認証や顔認証といった生体認証、またはPINやパターン認証を使用してログインを行います。

パスキーはパスワードマネージャーの利用により管理が可能で、同一アカウントでログインしているデバイス間で使用できるのが特徴です。特にスマートフォンの普及が進むなか、利便性とセキュリティを両立する認証方法として、多くの企業が採用しています。

パスキーの認証方法

パスキーは、公開鍵と秘密鍵を用いる「公開鍵暗号方式」に基づいた認証方法を採用しています。この仕組みでは、サーバ側に保存されるのは公開鍵のみで、秘密鍵はユーザーのデバイス内に安全に保存されます。秘密鍵を使用して認証を行うには、指紋認証や顔認証といった生体認証、もしくはPINコードなどで本人確認を行う必要があります。

この方式の最大のメリットは、ログイン情報の全てをサービス提供者に登録する必要がない点です。仮に公開鍵が漏えいしても、秘密鍵がなければ認証は成立しません。また、秘密鍵はデバイスごとに異なるため、あるデバイスから秘密鍵が盗まれても、他のデバイスでは利用できません。そのため、不正アクセスのリスクを大幅に軽減できます。

パスワードとの違い

従来のユーザー認証方式として一般的なのが、IDとパスワードを入力する「パスワード認証」です。しかし、この方法には多くの課題があります。パスワードの使い回しや推測されやすいパスワード設定、さらにはフィッシング詐欺などが原因で、アカウント情報の漏えいや不正アクセスが頻発しています。

総務省の報告によれば、2023年（令和5年）に認知された不正アクセス件数は6,312件に上り、前年（令和4年）の2,200件から約186.9%増加しています。不正アクセスが発生すると、インターネットバンキングでの不正送金や機密情報・個人情報の漏えいが生じる可能性があり、企業や個人に甚大な損害をもたらす恐れがあります。

出典：「不正アクセス行為の認知件数の推移（過去５年間）」 不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況（総務省）

こうした問題を解決するために誕生したのが「パスキー」です。パスキーはパスワードに代わる安全な認証方法として設計され、パスワードの管理や漏えいリスクを軽減することで、セキュリティ強化につながるとされています。

パスキー利用のメリット

ここでは、パスキーを利用することで得られるメリットについて2つ紹介します。

高いセキュリティの確保

パスキーは、サービスごとに自動生成され、他のサイトやサービスで使い回すことができません。この仕組みにより、偽のサイトにログイン情報を入力させる「フィッシング詐欺」や、漏えいしたIDとパスワードの組み合わせを悪用する「クレデンシャルスタッフィング」などの攻撃に対して高い耐性を持っています。

また、従来のパスワード認証は総当たり攻撃に対して脆弱でしたが、パスキーで使用される秘密鍵と公開鍵は非常に長く複雑で、突破されるリスクが極めて低い点も特徴です。さらに、パスキーは多要素認証との組み合わせが可能で、特に決済情報や金融情報を扱うWebサイトでは二要素認証を適用することで、セキュリティを一層強化できます。

ユーザービリティの高さ

パスキーは、認証情報をデバイス内に保存し、指紋認証や顔認証といった生体認証、またはPINやパターン認証を用いて認証を行います。そのため、従来のパスワード認証のように文字や数字、記号の複雑な組み合わせを覚える必要はありません。これにより、ロック解除だけでスムーズにWebサイトやアプリにログインできます。

さらに、パスキーではパスワード入力や二段階認証が不要であるため、ログインにかかる時間を短縮できます。また、パスキー情報はユーザーアカウントに紐付けることが可能で、同じアカウントでログインしている複数のデバイス間でパスキーを共有できます。

このように、使いやすさと効率性を兼ね備えた認証方法として、パスキーは高い評価を得ています。

パスキー利用の注意点

ここまで、パスキーを利用するうえでのメリットについて紹介しましたが、注意すべきポイントがあります。ここでは、そのポイントを3つ紹介します。

ユーザーのデバイス依存が高い

パスキーの認証情報はデバイスに格納されているため、デバイスを紛失・盗難した場合、認証情報が漏えいするリスクがあります。特に、セキュリティ対策が不十分な場合には、不正なアクセスや悪用が懸念されます。

さらに、共有デバイスにパスキーを設定すると、本来の利用者以外でも認証できてしまうリスクがあります。このような状況は、アカウントの乗っ取りや情報漏えいを招く可能性があり、特に業務で共有デバイスを使用する企業では注意が必要です。パスキーを設定したデバイスは慎重に管理し、必要に応じてアクセス制限やデバイス管理ポリシーの導入が推奨されます。

異なるプラットフォーム間で同期不可

パスキーはプラットフォームのIDに紐付けられているため、異なるプラットフォーム間での同期利用はできません。これは、各プラットフォーム提供者が技術的な理由やセキュリティ上の観点から、IDをまたいだ利用をサポートしていないためです。

例えば、Googleアカウントで設定したパスキーをApple IDで利用することや、Apple IDで設定したパスキーをGoogleで使用することはできません。このため、複数のプラットフォームでパスキーを利用したい場合は、それぞれのプラットフォームごとにパスキーを個別に登録する必要があります。

こうした制約があるため、企業で複数のプラットフォームを利用する際には、どのプラットフォームを基盤とするかを明確にし、運用方針を整えることが重要です。

利用できないOSバージョンがある

パスキーは、対応していないOSバージョンも存在します。例えば、iOSではiOS 17以降のデバイスが対象で、それ以前のバージョンでは利用できません。同様に、AndroidではAndroid 9.0以降のデバイスが対象となっています。

パスキーを利用したい場合は、まず自身が使用しているデバイスのOSバージョンを確認する必要があります。特に、企業での導入を検討している場合、従業員が使用しているデバイスのOSバージョンを一律で確認し、必要に応じてOSのアップデートを行うことが重要です。このような事前確認を行うことで、導入後のトラブルを未然に防ぐことができます。

まとめ

本記事では、パスキーの概要や認証方法、メリットや注意点を紹介しました。

パスキーは、パスワードに代わる認証方式として、セキュリティの高さや使いやすさから今後の普及が期待されています。しかし、デバイスの紛失・盗難などにより、認証情報の安全性が損なわれるリスクがあるため、注意が必要です。パスキーを利用する際には、多層的なセキュリティ対策の併用が重要になります。

オプテージでは、「ゼロトラスト・セキュリティ対策」を含むさまざまなセキュリティソリューションを提供しています。これらを活用することで、セキュリティリスクを未然に防ぎ、より安心してシステムを運用できる環境の整備が可能です。

御社のセキュリティ対策についてお悩みがありましたら、ぜひお気軽にご相談ください。

◎製品名、会社名等は、各社の商標または登録商標です。