パスキーだけでは不十分？ 証券各社が目指す「パスワードレス」への長い道のり（2/7 ページ）

[斎藤健二，ITmedia]

パスキーとは何か――「秘密鍵」という新しい認証

　パスキーの本質とは何か。ウェルスナビの浦野氏は、「パスワードは秘密の文字列、パスキーは秘密鍵。デジタルな電子的な鍵である」と説明する。

　分かりやすく例えるなら、証券会社の口座は「家」、パスキーは「家のドアの鍵」だ。家に入るには必ずこの鍵が必要で、鍵はスマートフォンの中に保管されている。スマホから鍵を取り出すには、スマホの機能を使った顔認証や指紋認証が必要になる。つまり、ログインするにはパスキーを保存したスマホが手元にあり、かつ生体認証を通過しなければならない。

パスキーの仕組み（Geminiを用いて筆者作成）

　この仕組みがフィッシング詐欺に強い理由はこうだ。従来のパスワードは、いわば「合言葉」になる。偽サイトで合言葉を聞き出されてしまえば、攻撃者はその合言葉を使って本物のサイトに侵入できる。一方で、パスキーは物理的な鍵に近い。偽サイトに誘導されても、鍵そのものはスマホの中から出ていかないのである。

　また、パスキーは秘密鍵を保管するパスワードマネージャーとセットで使うことが前提となっている。AppleのiCloudキーチェーンやGoogleパスワードマネージャーがその役割を担う。「ユーザーが何かを覚えておく必要がなく、スマートフォンの生体認証でロックを解除するという操作以外、負荷がほとんどない」と浦野氏は説明する。

　パスワードマネージャーを使うもう一つのメリットが、クラウド同期である。パスキーがクラウド上に保存されるため、機種変更をしても引き継がれる。従来の認証アプリでは、機種変更や端末紛失時に「ログインできなくなった」という問い合わせが各社のサポート窓口に寄せられていた。そのため、「カスタマーサポートの負荷も相当高かった」と浦野氏は振り返るが、クラウド同期により、この問題は解消される。

　ただし、生体認証を使うことへの不安を感じるユーザーもいる。「生体情報が、証券会社に送られるのではないか」という声が各社に寄せられているという。だが、生体認証はあくまで端末内の秘密鍵を使う「許可」を得るためのもので、生体情報そのものがサービス提供者に送られることはない。

SBI証券ではパスキーを設定しても、従来通りパスワードでのログインも可能だしかし楽天証券は発行できるパスキーを1つに制限している。「何台でも使えるようにしたら利便性は上がるが、利便性が目的ならパスキーを入れる必要はない」（楽天証券の平山氏）