Webアプリケーションの認証からパスワードを無くす動きが加速している。2022年9月以降、米Apple(アップル)と米Google(グーグル)が、スマートフォンやパソコン向けのOSやWebブラウザーに「パスキー」と呼ばれる仕組みを相次いで採用。複数の端末からWebサイトにパスワードレスでログインできるようにした。パスキーはパスワードレス普及の切り札となる可能性がある。
「パスキーは2022年最大の成果だ」――。
パスワードレス認証の仕組みを検討する非営利団体であるFIDOアライアンスのエグゼクティブディレクター兼CMO(最高マーケティング責任者)であるアンドリュー・シキア氏は2022年12月9日、日本では3年ぶりの開催となったFIDOアライアンスの記者説明会でこう強調した。複数の端末からWebサイトなどにログインする操作がこれまでよりも安全かつ簡単になるという。
iPhoneやAndroid、Windowsで利用可能に
シキア氏が強調する通り、パスキーを採用する動きが国内外の有力ベンダーで盛んだ。2022年3月にFIDOアライアンスが提案すると、アップル、グーグル、米Microsoft(マイクロソフト)がOSへの搭載を表明。同年12月時点ではアップルが「iOS 16」と「macOS Ventura」に、グーグルもベータ版ながら「Android」に搭載した。マイクロソフトの「Windows」も近日中に対応する。
日本のベンダーも自社のネットサービスでの対応を進める。例えばヤフーが「Yahoo! JAPAN ID」、KDDIが「au ID」でパスキーにそれぞれ対応した。NTTドコモも2023年2月から、「dアカウント」のログインにパスキーを利用できるようにする。
パスキーは、FIDOアライアンスが策定するWebアプリケーションのパスワードレス認証仕様「WebAuthn」の使い勝手を高める機能だ。WebAuthnではまず、iPhoneやAndroidなどの端末で生体認証などを使って本人確認を実施。認証を済ませると、「FIDO認証資格情報」と呼ばれる「鍵」を端末に生成する。このFIDO認証資格情報をネットサービスのサーバー側とやりとりしてログインする。
この手順であれば認証情報そのものがネットワーク上を流れないため、パスワード方式と比べて安全性が高い。ただ、パスキーが登場する以前のWebAuthnは、使い勝手に課題があった。
認証資格情報が端末と1対1でひも付けられる仕組みのため、ユーザーが端末を紛失したり、新しい端末に買い替えたりしたときに認証資格情報をゼロから取得し直さなければならないことだ。同じ理由から、複数の端末を利用するユーザーもそれぞれの端末で認証資格情報を取得する必要がある。
「鍵」の情報を複数の端末で同期
そこでFIDOアライアンスは、1つの認証資格情報を複数の端末で使用できる「マルチデバイス対応FIDO認証資格情報」という機能を考えた。普及を進めるため、あえて技術仕様に落とし込まずに「パスキー」として呼称することにした。これがパスキーの正体である。
このパスキーを、アップルやグーグルは自社のOSとクラウドサービスを生かして実装した。それぞれ「iCloudキーチェーン」「Google Password Manager」と呼ぶクラウド上でパスワードを管理する機能を拡張し、同じOSを搭載する端末同士でパスキーを同期できるようにした。
端末を変更したときの利便性が高まる
認証を受けるユーザーから見たパスキーのメリットは3つある。1点目はアカウントの復旧が容易になることだ。端末を買い替えたり、故障・紛失したりしたときも、クラウドサービスを介して取得済みのパスキーを新しい端末に取り込めば、利用するネットサービスにパスワードレスでログインできる。
