まずは体験！ “パスキー”がパスワードのない世界を（今度こそ）実現する：半径300メートルのIT

サイバー攻撃が高度化し、パスワードを使ったセキュリティ対策が万全とは呼ばれなくなった今、新たな手段として注目されているのが「パスキー」です。これによってどのようなメリットが得られるのでしょうか。Googleのパスキーを試してみました。

[宮田健，ITmedia]

　とうとう、「パスキー」の利用が本格化しそうです。国内ではこれまで、ヤフーやNTTドコモ（dアカウント）、au（au ID）などがパスキー対応をアナウンスしていましたが、今回ついにGoogleがこれに対応しました。個人的には非常に大きな出来事で、これをきっかけに「パスワードのない世界」が実現するのではないかと期待しています。筆者はこの報を聞いてすぐにパスキーに移行しました。

Googleはパスキー対応を発表した（出典：GoogleのWebサイト）

早速、Googleアカウントでパスキーを設定してみた

　これまで私たちがインターネット上で「自分自身が間違いなく自分である」と証明するためには、自分しか知らない情報を基にするしかありませんでした。その代表例が「パスワード」です。サービス側にパスワードをあらかじめ登録しておき、自分の記憶とサービス側に登録した情報が一致したら、あなた本人であるという証明になっていました。

　しかしサイバー攻撃が高度化する昨今、サービス側に登録されたパスワードにつながる情報（あるいはパスワードそのもの）が奪われたり、漏えいしたりすることでなりすましによる不正ログインが発生しています。

　アカウント情報の流出を確認できるサービス「Have I Been Pwned:」を見ると、漏えいしたアカウント数は増加の一途をたどっているのに加え、定期的に発表される「使用されているパスワードランキング」では相変わらず“123456”や“password”、“1qaz2wsx”といった脆弱（ぜいじゃく）な文字列が並んでいます。また、「パスワードの使い回しは止めよう」と呼びかけても実践する方はほとんどいません。なぜなら、そんな運用は難しすぎるからです。

　こうした悩みを解消するのが今回紹介する「パスキー」です。パスキーは認証時に上述したような秘密情報を使う点は同じですが、その保存をユーザーの記憶に頼るのではなく「デバイス」に閉じ込めて、さらにはその秘密情報をネットワークに流さず、サービス側にも渡さないことで認証を実現します。仕組み自体は込み入っていますがユーザー側の負担は少ないので、使うだけで安全になると考えてよい技術です。

　まずは早速、あなたのGoogleアカウントをパスキー対応にしましょう。生体認証の機能が搭載されたスマートフォンを利用している前提で設定していきます。まずは「g.co/passkeys」からアカウントでパスキーの使用を開始してください。

アカウントのパスキー使用を開始する（出典：GoogleのWebサイト）

　登録が完了すると、スマートフォン側で指紋認証や顔認証、画面ロック解除などの方法を使うことで、スマートフォン側に登録された情報を基に、Googleアカウントへのログインが実行されます。PCでログインする際にも、表示されたQRコードを使ってスマートフォン側で認証できるようになります。スマートフォンで生体認証を実行するとPC側でもログインが完了します。ここまで、パスワードは利用していません。

　パスキーの登録はそこまで面倒な作業ではないですし、一度登録すれば、以降のログインはかつて二要素認証で利用していた6桁の入力も不要で、認証がより簡単かつ安全に実施できるようになります。パスキーはいわば、その仕組みの中で所持情報と生体情報という「二要素認証」を実行しているのです。

パスキーを設定するとログインもこの画面のようになる（出典：GoogleのWebサイト）

　パスキー非対応のサービスもあるため、パスワードが一切不要になるわけではありませんが、Googleに関してはパスワード入力の機会はグッと減るはずです。ぜひ皆さんにはまず、この「パスワードのない世界」を真っ先に体験してほしいと思います。

パスキーの利用はセキュリティの“最優先事項”に

　新しい仕組みに対しては、多くの方が最初は拒否反応を示してしまうものです。しかしセキュリティの新機能が出た際には完全に移行する必要はないものの、まずは一度だけでも体感しておくことが重要だと筆者は考えています。特にGoogleアカウントは業務で利用している方も多い分、サイバー攻撃者に狙われる可能性が高いため、しっかりとセキュリティを確保してほしいと思います。

　パスキーを設定すれば、多くのGoogleサービスはパスキー前提のログイン画面遷移になります。特にアカウント操作などの重要な操作もこれに変わるため、「パスワード」は不要になるでしょう。万が一偽のWebサイトにログインしそうになったときでも、パスキーを設定しておけば気が付けるはずです。しばらくの間は、これだけでもかなり安全性が確保できると思います。

　しかしサイバー攻撃者側も近い将来、「パスワードのない世界」を前提としたサイバー攻撃を開発し、実行してくるのは間違いないでしょう。その際はパスキーそのものを攻撃するよりも“パスキーの仕組みにトラブルがあったのでパスワードを入力せよ”などといった、「人間」側を狙って攻撃してくるはずです。とはいえこれはパスキーが普及してからの話ですので、まずはパスキーを導入して現在のセキュリティを確保しておくことが重要です。

　パスキーは、パスワードのない世界を目指してきた技術者たちがつくった仕組みを、利用者の利便性も考えた形で実装したもので、それなりの歴史もあります。Googleがパスキーに対応したことは非常に大きなことで、ほとんどの人が所有しているアカウントに、さらなる安全策が提供されたことは注目すべき出来事だと思っています。

　これまでも当コラムで「長くて強いパスワードを使おう」「二要素認証が使えるサービスは有効にしよう」「パスワードの使い回しは止めよう」といったことを提案し続けてきました。しかし、その最優先対応として「パスキーを使おう」というのが加わりました。パスキーが各種サービスで利用できるようになれば、サイバー攻撃の形も大きく変わるはずです。これをお読みの皆さまの中でB2Cのサービスを提供している事業者の方は、情報漏えい対策としてぜひパスキーの導入を前向きに検討してください。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。