今日において、何らかのWebサービスにログインする際は、IDとパスワードを入力することで利用者が本人かどうか認証するという流れが一般的である。しかし、このような認証方法では、ログインした人間が本人なのかをWebサービス側が厳密に判断することは難しい。これは、仮にパスワードが正しい内容だったとしても、それを入力した人間が本人であるかを確かめられないからだ。

「企業が不正アクセスの被害に遭い、大量に個人情報が流出した」としばしば報道されることからも分かるように、時にパスワードは意図せず第三者へ流出することがある。このような形で流出したパスワードを使用し、本人以外の人間が不正にサービスへログインすることは、現在の一般的な認証方法では完全に防ぐことは難しいだろう。

このように、我々が当たり前に使用している多くのWebサービスは、常になりすましの恐怖に脅かされている状況にあるとも言える。そのような状況の中、新たな認証方法として注目を集めているのがパスキーだ。

公開鍵暗号方式を活用した新しい認証方法

パスキーとは、FIDO （Fast IDentity Online）アライアンス（先進的なオンライン認証技術の標準化を目指す世界的業界団体）が定める認証方式だ。パスワードによる認証に比べ、より高度なセキュリティを有していることが特徴である。

パスキーが強固なセキュリティを持つ理由は、認証に公開鍵暗号方式を活用しているためだ。公開鍵暗号とは暗号化技術の一種である。これは暗号化されたデータを公開鍵と秘密鍵という2種類の鍵で管理するもので、第三者によるなりすましに強いという特徴がある。また、秘密鍵の管理にスマートフォンなどのデジタルデバイスで指紋認証や顔認証などの生体認証を用いた本人認証を行うため、さらにセキュリティを高めることが可能だ。

実際のパスキー認証の流れ

実際にパスキーを使用してWebサービスで認証する場合はどのような流れになるのだろうか。以下は、スマートフォンで認証する場合の例である。

まず、認証を行う前に、ユーザーはWebサイトでパスキーを作成しておく必要がある。一般的に、パスキーを作成する際に任意のアカウントを設定した後、生体認証ダイアログ（スマートフォンで指紋認証や顔認証を行うパターンが多い）でユーザー情報を登録する。同時に公開鍵と秘密鍵がスマートフォンに紐付けされるため、以降は同じ端末であれば自動的に認証が行われる。従って「サービスを利用するたびにパスワードを入力する」必要はない。

パスキーは単にセキュリティを強固にするだけではなく、さまざまなWebサービスにログインする手間を削減してくれるというメリットも存在する。実際、利用しているWebサービスごとに異なるIDやパスワードを入力することは非常に面倒だ。また、しばらくサービスを使用していない間にパスワードを忘れてしまい、ログインできなくなったという経験がある方も多いだろう。しかし、パスキーは同じ規格を採用するサービスであれば、パスキーの共有ができる。そうすれば、前述のような手間やトラブルとは無縁になることだろう。

さらに、同じユーザーのスマートフォンであれば、別端末であっても一度生体認証を行うことで、それ以降は同一のパスキーを使用してサービスにログインできる。これにより、複数端末を同時に使用する場合はもちろん、「機種変更したため、さまざまなWebサービスにもう一度パスワードを入力し直す」といった手間を削減できるというメリットも得られる。

このように多数のメリットが期待されるパスキーだが、今のところ国内ではあまり知名度がなく、それ故か対応するWebサービスが広まっていないのが現状だ。パスキーに対応するサービスとしないサービスが混在する状況では、結果的にパスワードによる認証も使用せざるを得ない。従ってユーザーにとっては、セキュリティ面の統合的な向上もログインにおける完璧な手間の削減もしばらく体験できなそうだ。

こうなると、よりパスキーへの理解が広がり、ほとんどのWebサービスが対応する日が待ち遠しい。ベンダーとしてはパスキーの利便性をアピールし、一日も早くパスキーの対応を進めるような手助けをしつつ、そこにビジネスのチャンスを見出すことが重要になりそうだ。