ニュース

Oktaがパスワードレス認証のパスキーを解説、「セキュリティと利便性の高い機能」

 Okta Japan株式会社は26日、パスワードレス認証のひとつであるパスキーに関する説明会を開催し、Okta Japan プリンシパルデベロッパーアドボケイトの池原大然氏が、その特徴やOktaの提供するパスキー機能について解説した。

Okta Japan プリンシパルデベロッパーアドボケイト 池原大然氏

 パスキーは、FIDOアライアンスによって策定されたセキュリティ技術で、パスワードを使わない認証方法のこと。公開鍵暗号方式を使用しており、「通常のIDとパスワードを使った認証ではサーバー側にパスワードが保存されるが、パスキーを使用する場合、サーバー側には公開鍵が保存され、秘密鍵はユーザーの認証デバイスに保存されるため、万が一パスワードが漏えいしてもアカウントを乗っ取られるリスクは低い」(池原氏)という。

 また、パスキーではユーザーアカウント(ユーザーID)とWebサイトまたはアプリケーション(Relying Party ID)がひも付いているため、「フィッシングサイトなどの詐欺サイトにおける認証情報の悪用をブラウザ側で防止できる」と、池原氏はその安全性を強調した。

 また池原氏は、ユーザー側の利点として「パスワードのないシームレスなログインが可能だ」と話す。「認証時には、二要素認証を使ったワンタイムパスコードのコピー&ペーストではなく、スマートフォンのロックを解除する暗証番号や指紋認証など、より親しみのある方法で認証できる。また、一度登録した認証情報は、クラウドサービスを介して複数のデバイス間で同期できるため、デバイスごとに認証情報を登録する必要がないことも大きな利点だ」とした。

パスキーが提供するセキュリティと利便性

 現在パスキーは、特定のデバイスにひも付けられ、ほかのデバイスでは使用できない「デバイス固定パスキー」と、クラウドサービスを使って異なるデバイスで共有できる「同期パスキー」の2種類に分類されており、「セキュリティの要件に合わせて、どちらを使い、どう制限するか検討していく必要がある」(池原氏)という。

 池原氏は、パスキーの課題についても指摘。そのひとつは、すべてのOSやブラウザがパスキーに対応しているとは限らないため、サポート状況を認識しておく必要があることだ。例えば最近では、2024年1月のアップデートで、FirefoxがmacOSでiCloudキーチェーンを使用したパスキーに対応したという。

 もうひとつの課題は、サービスを使うユーザーの環境によっては直接パスキーを作成できない可能性があることだ。池原氏は、「スマートフォンなどの認証機を持っていないユーザーや、一部のデバイスでは対応していないこともある。その場合、ユーザーにはパスキーが利用できるほかの端末を使ってパスキーの作成と利用ができる『Hybrid Transports』を利用してもらうことも検討する必要があるだろう。また、すべてのユーザーを置き去りにしないよう、既存の認証方式も確保しておくべきだ」とした。

パスキーの課題

 さらに池原氏は、異なるプラットフォーム間での同期も課題として挙げている。ただし、プラットフォーム間の同期の仕組みに対する実装も進みつつあるため、「この課題は今後解決されるだろう」と述べた。

 池原氏は、パスキー機能を実装する際の考慮点についても触れ、「今後パスキー機能を自社で構築しメンテナンスするのか、それができる人材が存在するのかなどを検討する必要がある。また、パスキーを使いたいユーザーもいれば、使いたくない・使えないユーザーもいるため、その点にも考慮が必要だ。さらに、初めてパスキー使うユーザーに対し、ログインUIやパスキー登録時のフロー、アカウント回復時はどうすればいいのかなど、さまざまな点を検討した上でサービスを提供する必要がある」とした。

Oktaの提供するパスキー機能

 Oktaでは、2021年5月に買収を完了したAuth0による開発者向けアイデンティティサービスとして、「Okta Customer Identity Cloud」を提供している。これは、顧客向けサービスに求められるユーザー認証や認可の機能を提供するもので、シングルサインオン(SSO)や多様素認証、パスワードレス、認証連携などの機能を、Oktaのサービスとして利用できる。

Okta Customer Identity Cloud

 Okta Customer Identity Cloudのコア機能のひとつに、Universal Login機能がある。この機能について池原氏は、「サインアップやログインUIを、Oktaが提供する認証サーバーにて提供するもので、開発運用コストが軽減できる。セキュリティの担保も可能で、メンテナンスや脆弱性への対応もOktaが担当する」と説明。Universal Loginでは、アプリケーションを変えることなく認証機能を変更でき、ある程度の機能は管理ページから機能を有効化するだけですぐに利用できるという。

Universal Loginを利用したユーザーの認証

 Okta Customer Identity Cloudでは、2023年9月にパスキー機能の早期アクセスを開始、2024年2月に一般提供を開始した。管理画面でこの機能を有効化するだけで、パスキー機能を即座に導入することが可能だ。

Okta Customer Identity Cloudのパスキー機能

 この機能を活用することで、「新規ユーザーの登録時にパスキーの作成を提案するといったシナリオが考えられる」と池原氏は語る。通常の新規ユーザー登録では、ユーザー名とパスワードを登録するが、パスキー機能を導入すると、ユーザーIDを入力した段階でパスキーを認証方式として使用するかどうか選択できるようになるという。パスキーを使用しないユーザーには、ユーザーが受け入れる認証方式を提供するといったように、「ユーザーに選択肢を与えるフローが構築できる」と池原氏。また、既存ユーザーに対しては、認証後にパスキーの作成を提案することもできるという。

新規ユーザー登録時にパスキー作成を提案
既存ユーザーは認証後にパスキー作成を提案

 このようにパスキーは、「セキュリティと利便性を兼ね備えた機能だ」と池原氏は語る。その上で、「Okta Customer Identity Cloudのパスキー機能を使用することで、保守運用コストを低減させることが可能だ」とした。