パスキーでパスワードが不要に!?使い方やセキュリティが高い理由とは？

パスキーとは何か

長く複雑なパスワードが不要で、フィッシング詐欺にも強く安全にログインができるパスキー。まずは基本的な概念と特徴を見ていきましょう。

パスキーの基本概念

パスキーとはパスワードの代わりになる認証情報のことです。公開鍵と秘密鍵のペアからなり、サービス提供者側と利用者側で違う鍵を持ちます。利用者側の鍵は指紋や顔などの生体認証を利用したパスワードの標準認証方式で、Windows、Android、iOSなどのデバイスに保護されています。基本的には他のデバイスで使うことはできませんが、パスワードマネージャーの機能を拡張すると、異なる複数デバイスでも利用することが可能です。

パスキーとパスワードの違い

パスキーの基本概念を理解するために、パスワードと比べてみましょう。

パスワードの問題点

パスワードは「本人しか知らない」ことを前提とした認証方法ですが、この前提が成り立たないことがしばしば起こっています。これまでの認証方法であるパスワードには、次のような問題点がありました。

●  パスワードの使い回しや推測されやすいパスワードの設定によって、不正ログインが起こりやすい
●  フィッシング詐欺でパスワードが漏えいすると、アカウントの乗っ取りや不正利用が起こりやすい
●  サービス提供者側から認証情報や個人情報が漏えいするリスクがある

まったく意味を持たないパスワードを記憶にとどめておくことは難しいもの。利用中のサービスから定期的に、パスワードの変更を推奨されて困った経験のある人も多いのではないでしょうか。
このようなパスワードの問題を解決するために生まれたのがパスキーです。続いて、パスキーの認証の流れを詳しく見ていきましょう。

パスキーは秘密鍵と公開鍵を使った認証方式

パスキーを使った認証は次のような流れで行います。

1. サービス利用開始時に、利用者が公開鍵と秘密鍵のペアを作成
2. サービス提供者側に公開鍵を登録
3. 利用者はデバイスに秘密鍵を保存。秘密鍵はデバイスの保護機能を適用し、そのデバイスでのみ利用可能な状態にする
4. ログインの際、サービス提供者側は公開鍵を使って本人確認を行う。利用者は秘密鍵で応答する

秘密鍵と公開鍵を利用するパスキーのメリットは、サービス提供者にすべてのログイン情報を登録する必要がないことと言えるでしょう。サービス提供者側に保存された情報は公開鍵なので、仮に情報が漏れたとしても秘密鍵がなければログインすることはできません。また、利用者が保存する秘密鍵は、デバイスごとに違うものが生成されます。そのため、万が一盗み取られたとしても、ほかのデバイスからログインできず、不正利用が起こりにくいのです。

パスキーの重要性とメリット

パスキーはどのような場面で使われているのでしょうか。馴染みがないと思えるかもしれませんが、すでにパスキーは身近なところで使われています。

パスキーの使用例

パスキーは次のような場所で使われています。

●    Yahoo!JAPANのログイン時にIDと生体認証だけでログインできる
●    iOS 16以降を搭載したiPhoneなどで、Apple IDでログインすると、対応するWebサイトやアプリにパスキーでサインインできる

このようなサービスでは、パスワードを使わずにログインできます。パスキーが採用しているのは公開鍵暗号方式という技術です。1つのパスワードを複数人で共有する共通鍵暗号方式と比べて、フィッシング詐欺やパスワードリスト攻撃に強いのが大きなメリットといえるでしょう。
また、AppleユーザーならiCloudキーチェーンを使えば、複数のデバイス間でパスキーを同期できます。

パスキーと多要素認証で組み合わせが可能

パスキーは多要素認証（MFA/マルチファクタ認証）と組み合わせることができます。多要素認証は、複数の認証要素を組み合わせることで、より高いセキュリティを確保する方法です。決済情報や金融情報などを扱うWebサイトでは、異なる要素を2つ組み合わせた2要素認証が一般的となっています。

例えばApple IDの場合、パスキーでサインインする際は、パスワード認証とスマートフォンに送信される確認コードなどを組み合わせた、2要素認証が必要です。
LINEアカウントの場合、パスワードとLINEアプリに表示されるQRコードを読み取ってログインする2要素認証の設定ができます。
よりセキュリティが高いのは、生体認証を利用した2要素認証です。スマートフォンの普及と高性能化にともなって、近年は認証時にスマートフォンを利用することも増えました。基本的にスマートフォンを他人と共有することはほとんどありません。顔や指紋などを登録する生体認証機能が搭載されたものも多いので、無理なく2要素認証ができるからです。

このようにパスキーと多要素認証を組み合わせることで、不正アクセスや情報漏えいなどのリスクを減らすことができます。

パスキーはセキュリティもユーザビリティも高い

ここでこれまで解説したパスキーのメリットをおさらいしてみましょう。パスワードとパスキーの違いを整理してみました。

パスキーのメリットの1つは、パスワードの問題点を解消することで、より高いセキュリティを実現できることです。
パスワードは推測されたり、使い回されたり、盗まれたりする際にリスクが生じます。一方、パスキーはそのようなリスクがありません。サービス側とユーザー側で別々に鍵を保管し、生体認証で認証するパスキーは、パスワードで起こりうる流出や紛失の心配がないからです。

パスキーにはセキュリティ以外のメリットもあります。私たちユーザーから見ると、パスキーのメリットは、ユーザビリティに優れていることでしょう。
またパスワード入力の必要がないパスキーには、パスワード忘れの心配がありません。顔や指紋などの生体認証でログインできるため、快適で便利なインターネット利用に必要不可欠と言っても過言ではないのです。

パスキーのセキュリティ上の注意点

パスワードでの管理に比べて、セキュリティ上の安全性が高く便利なパスキーは無敵に思えるかもしれません。しかし、パスキーならではの注意点もあります。どのような注意が必要なのでしょうか。

パスキーはデバイスに依存する

パスキーの欠点は、パスキー利用はデバイスに依存するということです。認証情報はデバイスに格納されているので、デバイスを紛失した場合は認証情報が漏えいする可能性があります。
そのためパスキーを設定したデバイスを紛失してしまった場合、後述する方法でパスキー解除（削除）をしておくとよいでしょう。

パスキーは共有デバイスに設定しない

パスキーは個人のスマートフォンなどのデバイスでのみ、作成しましょう。学校や勤務先、家族と共有しているパソコンやタブレット、スマートフォンでのパスキー設定は避けてください。

パスキーがあれば、そのデバイスを使う人が簡単にアカウントにアクセスできます。悪意がある人なら、アカウントの乗っ取りもできてしまうでしょう。そのため見ず知らずの人の端末はもちろん気心知れた関係でも他人の端末では、自分のアカウントでログインしないのが安心です。

パスキーの設定方法と推奨事項

続いて、パスキーの使い方をおさえておきましょう。パスキーを使うには、まず対応しているWebサイトやアプリケーションソフトを探し、そのサイトやアプリケーションソフトでパスキーを使えるように設定する必要があります。

パスキーの設定手法

パスキーの設定方法はデバイスやサービスによってさまざまです。利用しようとするサービスがパスキーに対応しているかどうかを知りたいときは、次のことをチェックしてみましょう。

●    パスワード設定画面で「パスキーを使用する」ボタンがある
●    サインインオプションの選択肢に「パスキー」がある

実際のパスキー設定方法は、利用するサービスの画面の案内に従ってください。

Googleアカウントなど、日常的に使う多くのサービスが続々とパスキーに対応しています。Yahoo!JAPANのように「パスキー」という言葉を使っていないサービスもありますが、「生体認証（指紋・顔など）」の設定はパスキーのことです。

Googleアカウントのパスキー設定方法

一例として、ここではGoogleアカウントのパスキーの設定方法を見ていきましょう（2023年7月時点）。

1.    Googleアカウントにログインします。
2.    「セキュリティ」をクリックします。
3.    「Googleにログインする方法」をクリックします。
4.    「パスキー」をクリックします。
5.    「パスキーを使用」を選択します。

iPhoneのパスキー設定方法

サービスでパスキーを設定するには、パスキー設定したスマートフォンなどの端末が必要です。参考までにiPhoneのパスキー設定を見てみましょう。Face IDまたはTouch IDを利用するiPhoneの設定方法は次のとおりです（2023年7月時点）。

1.    iPhoneの「設定」アプリを開きます。
2.    「Touch IDとパスコード」または「Face IDとパスコード」をタップします。
3.    「パスキー」をタップします。
4.    「パスキーを使用する」をオンにします。
5.    パスキーを入力します。
6.    「次へ」をタップします。
7.    パスキーを再度入力します。
8.    「次へ」をタップします。

以上でパスキーが設定されました。生体認証やPINなどの認証に成功するとパスキーの設定が完了します。スマートフォンでパスキーを設定しておくと、パスキーを設定していない端末からもスマートフォンのパスキーで認証できることがあります。

パスキーの解除・削除方法

基本的にはパスキーの利用がおすすめですが、パスキーを解除・削除したいと思うこともあるかもしれません。うっかり共有デバイスにパスキーを設定してしまったときなどのために、解除・削除方法も確認しておくのがおすすめです。

設定済みのパスキーを解除（削除）する方法

先にGoogleアカウントとiPhoneのパスキー設定を解説したので、ここではその解除・削除方法を見ていきましょう。

Googleアカウントのパスキー解除方法

Googleアカウントのパスキー解除・削除方法は次のとおりです（2023年7月時点）。

1.    Google アカウントに移動
2.    [セキュリティ] を選択
3.    [Google へのログイン] で [パスキー] をタップ
4.    削除するパスキーを選択
5.    ×アイコンをタップ

これでパスキーの設定は解除されました。

iPhoneのパスキー解除方法

続いて、デバイス側のパスキーも解除します。iPhoneの解除方法は次のとおりです（2023年7月時点）。

1.    iPhoneの「設定」アプリを開く
2.    「Touch IDとパスコード」または「Face IDとパスコード」をタップ
3.    「パスキー」をタップ
4.    「パスキーを使用しない」をタップ
5.    パスコードを入力
6.    「次へ」をタップ
7.    パスコードを再度入力
8.    「次へ」をタップ

以上の手順でデバイスのパスキーの設定が解除されました。

まとめ

パスキーはパスワードの代わりとなる認証情報です。フィッシング詐欺などにも強く、セキュリティと利便性の両面で優れた選択肢となっています。パスワードの問題点を解消し、多要素認証と組み合わせることでセキュリティを向上させられるのが大きなメリットです。

設定方法も簡単で、すでに多くのサービスがパスキーに対応しています。パスキーの利用にはデバイスに依存する点や共有デバイスでの使用といった注意が必要ですが、解除・削除は簡単に行えます。

パスキーはパスワードの問題点を解消し、セキュリティと利便性を高める重要なツールとして有効です。まだ設定していない人は、この機会に設定してみてはいかがでしょうか。

◎製品名、会社名等は、各社の商標または登録商標です。