エンタープライズ

パスワード不要の“パスキー”とは?セキュリティと利便性を両立する新しい認証

PCログイン時に、PC画面のQRコードをスマートフォンで読み取り、指紋認証や顔認証でパスワードを使わずにアクセスできる…このような仕組みが「パスキー(Passkeys)」です。今回は、セキュリティの向上と利便性を両立するとして期待されているパスキーとは何か解説します。

パスキーとは?FIDO2とIDaaSが支える新しい認証

「パスキー」は、パスワードを使わない新しい認証手段として注目を集めています。SaaSなどにアクセスする際に、表示されたQRコードを読み取り、指紋認証や顔認証などの生体認証、もしくはデバイス自体を鍵として使うことで、簡単かつ安全にログインできる仕組みです。すでに、金融関連のアプリや決済サービス、GoogleやApple、Microsoftなどのアプリケーションで取り入れられているので、知らないうちにパスキーを利用していたという方も多いのではないでしょうか。

このパスキーの基盤となるのがFIDO2です。しかし、かつてのFIDO2の認証登録フローでは、端末ごとに秘密鍵が生成され、その鍵は端末内に保管されていました。この方式は高いセキュリティを実現する一方で、利用している端末が複数ある場合にはそれぞれで登録作業が必要であったり、機種変更時に再登録を行ったりというような、ユーザーの利便性を大きく損なってしまうという課題がありました。

これまでのFIDO2の課題
  • 利用している端末ごとに認証器登録が必要である。
  • 端末が変わった場合、もう一度認証器を登録し直さなければならない。
    複数のサービスでFIDO2を使用していた場合は、サービスごとに再登録が必要である。
  • 認証器を紛失した場合、ログインできなくなる可能性がある。

この課題を解決するために策定された新たな仕様がパスキーです。パスキーがどのようにして課題を解決しているのか、「ハイブリッドトランスポート」と「クレデンシャル同期」という2つの仕組みについて紹介します。

ハイブリッドトランスポート

ハイブリッドトランスポートは、異なるデバイス間でも認証を行えるようにする仕組みです。PCにログインする際にQRコードをスマートフォンで読み取り、読み取ったスマートフォンで生体認証に成功すると、その結果がPCへ送信されてログインが完了します。スマートフォン1台を登録しておけば、複数のデバイスにもシームレスに利用できます。

クレデンシャル同期

クレデンシャル同期は、パスキーの認証情報をクラウド経由で複数のデバイスに自動で同期する仕組みです。機種変更時や新しい端末の追加時でも、再登録の手間なく安全にログインできます。

このパスキーの採用により、次のようなメリットが得られると考えられます。

  1. ①パスワードレス認証:
    パスワード不要になるので「パスワード忘れ対策」も不要になる。
  2. ②セキュリティ強化:
    パスワード盗難によるなりすまし、標的型攻撃などのリスク軽減できる。
  3. ③利便性向上:
    生体認証やデバイス認証だけでログインが容易になる。さらに、IDaaSと連携することで複数システムへのシームレスなアクセスを実現できる。

つまり、パスキーの活用によりセキュリティ強化が実現するのみならず、ユーザー・管理者ともに利便性が向上することが期待できます。


IDaaSを活用したパスキーの導入イメージ

次に、パスキーを利用する際の具体的な例を、ハイブリッドトランスポートとクレデンシャル同期の両方について見てみましょう。(画面はExticを利用する場合)

ハイブリッドトランスポートの場合

ここでは、ハイブリッドトランスポートのデモ画面を通じて、ログインまでの流れを紹介します。下図の左側がPCのWebブラウザで、右側がスマートフォン(Android端末)の画面です。

Webブラウザで、Exticログイン画面の[パスワードレス認証]をクリックすると、下図のようにQRコードが表示されます。これをスマートフォンで読み取ります。

スマートフォン側で認証が完了すると、Exticにログインが成功した状態となります。

クレデンシャル同期の場合

次に、クレデンシャル同期のログインまでの流れを紹介します。下図の左側がPCのWebブラウザで、右側がスマートフォン(Android端末)の画面です。まず、スマートフォンでGoogleパスワードマネージャーを開き、パスキーが登録されていることを確認します。PC側でも、同じGoogleアカウントにログインしていることを確認します。

この状態でWebブラウザで、Exticログイン画面の[パスワードレス認証]をクリックします。 PC側では「Windows Hello」のセキュリティ保護を経由し、スマートフォンのパスキーを利用した認証を行い、ログインできました。

  デモの詳細についてはこちらを御覧ください


まとめ

今回は、パスワードレス認証「パスキー」の概要やIDaaSとの関係、ハイブリッドトランスポートとクレデンシャル同期双方のログインの流れについて解説しました。パスキーは、FIDO2を基盤とし、IDaaSと連携することで、管理者の負担を軽減し、ユーザー体験を大幅に向上させることができます。活用することで、企業が抱えるセキュリティ強化と利便性向上という課題解決につなげてみてはいかがでしょうか。

また、パスキーに関するデモや事例を知りたい方はぜひ、以下のオンデマンドセミナーをご視聴ください。