2021年にAppleが開発者向けカンファレンスで「パスキー」という言葉を使い始めてから、インターネット上のサービスにおいて、パスキーによる認証が急速に利用できるようになってきています。Googleでは、2024年10月時点で8億人以上のユーザがパスキーを利用していると発表注1しているほか、Amazon、NTTドコモ、Sony、ニンテンドー、メルカリ、Yahoo! JAPANをはじめ名だたる企業のサービスがすでにパスキーによるログインを提供しています。
これは、パスキーが今までのパスワードやSMS認証に代わって、セキュリティとユーザビリティを両立する、非常に優れた認証方式であるためです。特に、フィッシング攻撃への耐性は強力で、パスキーを導入した顧客がフィッシング被害を受けたという申告が0件であると公表しているサービスもあるほどです。
認証の強度といえば、知識・所有・生体の三要素が基本で、要素が多いほうがより強力であるという考え方もありますが、昨今、脅威・リスクに対して有効な要素の組み合わせを考えることが重要になってきています。たとえば、二段階認証を突破するフィッシングが増えてきていることからもわかるとおり、「多要素だから安全」という考え方は成り立たなくなってきているのです。そして、インターネットの個人向けサービスにおける最大のセキュリティリスク注2である、フィッシングのリスクを大幅に削減できる認証技術として、パスキーが大きな注目を集めているのも不思議はありません。
それでも、まだ生まれて数年しか経っていないことから、仕様も急速に進化しており、実装のベストプラクティスも変化しています。既存のパスワードを使った認証から完全に脱却するには、まだまだ課題も残っています。
本書では、そういった、パスキーの良いところも悪いところもできるかぎり取り上げ、実践的にパスキーを導入・運用するための知識を提供することを目指しています。パスキーの歴史から基本的なしくみ、ユーザー体験の設計、具体的な実装方法と注意点、さらに高度な使い方まで、幅広くカバーしています。
本書を通じて、読者の皆様がパスキーについての理解を深め、より安全で使いやすい認証システムの構築に役立てていただければ幸いです。パスキーの可能性と課題を十分に理解し、適切に活用することで、インターネットサービスのセキュリティと利便性を大きく向上させることができるでしょう。
小岩井航介(こいわいこうすけ)
米国OpenID Foundation理事。OpenID ファウンデーション・ジャパン KYC WGリーダ。
FIDOアライアンス,W3Cにも参加中。所属先企業ではID・認証に関する実装・運用と,新技術全般に関する検証,活用検討を担当。デジタル庁 DIW(デジタルIDウォレット)アドバイザリーボード 構成員。
[GitHub]kkoiwai