Webアプリケーションの認証からパスワードを無くす動きが加速している。2022年9月以降、米アップルと米グーグルが、スマートフォンやパソコンのOSやWebブラウザーに「パスキー」と呼ばれる仕組みを相次いで採用。複数の端末からWebサイトにパスワードレスでログインできるようにした。パスキーはパスワードレス普及の切り札となる可能性がある。
有力ベンダーが続々対応
パスキーを採用する動きが国内外の有力ベンダーで盛んだ。2022年3月にFIDOアライアンス▼がパスキーを提案すると、アップル、グーグル、米マイクロソフトがOSへの搭載を表明。同年12月時点ではアップルが「iOS 16」と「macOS Ventura」に、グーグルもベータ版ながら「Android」に搭載した。マイクロソフトの「Windows」も近日中に対応する。
日本のベンダーも自社のネットサービスでの対応を進める。例えばヤフーが「Yahoo! JAPAN ID」、KDDIが「au ID」でパスキーにそれぞれ対応した。NTTドコモも2023年2月から、「dアカウント」のログインにパスキーを利用できるようにする。
パスキーは、FIDOアライアンスが策定するWebアプリケーションのパスワードレス認証仕様「WebAuthn」の使い勝手を高める機能だ。WebAuthnではまず、スマホやパソコンといった端末で生体認証などを使って本人確認を実施。認証を済ませると、「FIDO認証資格情報」と呼ばれる「鍵」を端末に生成する。このFIDO認証資格情報をネットサービスのサーバー側とやりとりしてログインする(図1)。
この手順であれば認証情報そのものがネットワーク上を流れないため、パスワード認証と比べて安全性が高い。ただ、パスキーが登場する以前のWebAuthnは、使い勝手に課題があった。
認証資格情報が端末と1対1でひも付けられる仕組みのため、ユーザーが端末を紛失したり、新しい端末に買い替えたりしたときに認証資格情報をゼロから取得し直さなければならないことだ(図2(a))。同じ理由から、複数の端末を利用するユーザーもそれぞれの端末で認証資格情報を取得する必要がある。
