ニュース

ISR、パスワードを使用しない認証方式「パスキー」について説明 生体認証の利用で安全性・利便性を大幅に向上

 株式会社インターナショナルシステムリサーチ(以下、ISR)は8日、パスワードを使用しない認証方式「パスキー」をテーマにした記者説明会を開催した。今回の説明会では、パスキー認証の安全性・利便性に関する基本的な情報から、パスキーの導入状況、パスキーを活用したセキュリティ対策などについて解説した。

 まず、パスキーが注目を集めている背景として、フィッシングや総当たり攻撃、なりすましによるアカウントの不正利用など、パスワードを狙ったサイバー攻撃が増加していることを指摘。直近では今年5月に、詐欺容疑で逮捕された男性のパソコンから、数百万人分にのぼるIDとパスワードと1億件のメールアドレスが見つかり話題となった。金融機関や大手ショッピングサイト、通販サイトを装った偽サイトも確認されており、フィッシング詐欺用に作られたとみられている。また、3月には、大手転職サイトのサーバーに対し、第三者が何らかの方法で入手したメールアドレスやパスワードのリストを使って大量の不正なアクセスを仕掛ける事件が発生している。

 Verizonが6月5日に発表した「2023 Data Breach Investigations Report」の調査報告によると、セキュリティ侵害の初期アクセスの86%は「パスワード」が使われていることがわかった。また、パスワードを盗む手段として、「ソーシャルエンジニアリング攻撃」が増加していることが示された。ソーシャルエンジニアリング攻撃とは、マルウェアなどのソフトウェアを使用せず、なりすまし(プリテキスティング)によってパスワードを盗み出す方法で、対策ができていない企業が多いという。

「ソーシャルエンジニアリング攻撃」が増加

 こうした背景の中で、パスワードに替わる新たな認証方法として登場してきたのが「パスキー」である。パスキーは、FIDOアライアンスが策定した認証仕様(FIDO2)で使う「FIDO認証資格情報(秘密鍵)」のことを指し、パスワードに比べて高い安全性と利便性を兼ね備えているのが特徴だ。安全性の面では、FIDO2仕様に基づいており、端末内蔵の生体認証器を利用して顔や指紋による認証を行い、端末内部にあるセキュリティチップに認証資格情報が保存されるため、フィッシングなどによる認証情報の漏えいや窃取に耐性がある。利便性の面では、生体認証が可能なため、かざすだけで認証が完了する。また、同じOSを搭載する複数の端末で認証資格情報を同期できるため、端末ごとに認証資格情報を登録する必要がない。紛失や故障などによる端末買い替えの際にも、認証資格情報の再登録をせずに利用が可能となる。

「パスキー」の概要

 ISR 代表取締役のメンデス・ラウル氏は、「パスキー認証では、ブラウザがどのパスキーがどのサイトに属するかを判断するため、パスワードと違って決して書き留めることができない。また、サイト間で再利用することができず、フィッシングが非常に困難なため、パスワードレス認証の安全性を大幅に高めることができる。ユーザーにとっては、パスワードを覚える必要がなくなり、身近なスマートフォンやパソコンを使って顔・指紋などの生体情報で認証が行えるため、利便性も向上する」としている。

インターナショナルシステムリサーチ 代表取締役のメンデス・ラウル氏

 パスキーの導入状況としては、グローバルではBest Buyなどの大手小売店、login.govなどの政府機関、Paypalなどの金融機関といった、大手企業・組織を中心にパスキーの対応が進んでいる。国内でも、ヤフー、KDDI、NTTドコモの通信サービス大手がパスキー認証に対応している。そして、5月3日には、Googleが個人のGoogleアカウントの追加サインインオプションとして、パスキーのサポートを開始することを発表。さらに、6月6日には、企業向けであるGoogle Workspaceでもパスキーによる認証が可能になったことを発表している。このほか、AppleとMicrosoftもパスキーを採用することをすでに発表しており、MacBookやiOSデバイス、Windows 10/11、Androidなど日常的に使用しているほぼすべての端末がパスキー認証に対応することとなる。

「パスキー」を使った認証の手順

 パスキーを活用することで、企業では、低コストかつ容易にセキュアな環境を構築することが可能になる。例えば、Google Workspaceを利用しているがセキュリティ対策に予算をかけられない中小企業では、パスキー認証を使えば、スマートフォンやセキュリティキー、コンピュータの画面ロックを使って、Google Workspaceアカウントへパスワードレス認証によるサインインが行えるようになる。

 また、Google Workspace以外にも複数のクラウドサービスを利用している企業の場合は、ISRが提供しているSSOサービス「CloudGate UNO」を利用することで、一度のパスキー認証だけで、連携する複数のクラウドサービスや社内システムにサインインできるようになる。ISRでは、2019年5月からFIDOによるパスワードレス認証サービスの提供を開始しており、2020年12月からはパスワードレス認証を全プランで標準機能として提供しているという。

 ラウル氏は、パスキーの今後の展望について、「パスキーは、これまでの5年間に普及したコンシューマデバイスにおける、生体認証を可能にするニューロ回路のチップに基づいて、今後2~3年で全国的な普及が進むと予想する。特に、コンシューマデバイスを使ったパスキー認証の波は、B-C市場から最初に広がると見ており、コンシューマの個人情報を扱っているB-Cサービス事業者ではパスキーの導入が急務となる」との考えを示した。