パスキーをラクラク実装できる新サービスとは セキュリティ対策と利便性を両立：もうパスワードは使わない

従来は当たり前だったパスワード認証だが、現在はセキュリティ対策や利便性の観点から課題も多い。そこで新しい認証方式「パスキー」が注目を集めている。パスキーのメリット、新サービスの狙いとは。

PR／ITmedia

PR

　WebサイトやWebサービスを展開する企業にとって、ユーザー体験（UX）の向上は重要なテーマだ。優れたUXはユーザーの満足度に直結し、アクティブユーザーを増加させ、サポートへの問い合わせ件数を削減できる。分かりにくい画面設計や煩雑なログインなどのUXは、ユーザーのサービス満足度を低下させる要因になる。

　UXの低下を招く原因はさまざまで、その一つにパスワードによる認証方式が挙げられる。従来の認証はパスワードに頼っていたが、現在はセキュリティ対策や利便性の観点から課題も多い。本稿は、WebサイトやWebサービスにおけるパスワード認証の問題点について事業者およびユーザーの視点から明らかにするとともに、パスワードに代わる新しい認証方式である「パスキー」のメリットと新サービスについて解説する。

パスワード認証はもう“限界”？

　「昨今、パスワードに頼った認証は“限界説”がささやかれています」と話すのはNTTテクノクロスの井上 淳氏（ビジネスイノベーション事業部　TrustBindシリーズプロダクトオーナー）だ。

　WebサイトやWebサービスは、これまでパスワードによる認証が“常識”とされてきた。しかし、偽のWebサイトにパスワードを入力させて認証情報を窃取するフィッシング詐欺が流行していたり、漏えいしたパスワードが使い回されていることを前提にリスト型攻撃でなりすましログインを仕掛けたりと、サイバー攻撃が巧妙化している。従来のパスワード認証では、十分な安全性を確保できるとは言い難い。

　井上氏は「パスワードの使い回しは高いリスクがあるとはいえ、ユーザーの立場になると全てのサービスで別のパスワードを設定するのは負担が重くなってしまいます。パスワードマネジャーを使用する手もありますが、管理が面倒になって活用されないケースも見受けられます。偽のWebサイトについても目視で真偽を判断するのは難しいので対策が困難です」と説明する。

　パスワードによる認証は利便性の面でも問題がある。WebサイトにログインするたびにIDやパスワードを入力するのは手間が掛かる。たまにしか利用しないWebサイトのパスワードを忘れてしまったというユーザーもいるだろう。

　利便性の問題は事業者にとっても不利なポイントだ。井上氏によると、事業者によってはログイン用のパスワードを忘れたユーザーへの再発行処理が負担になっているケースもある。

　「よくあるのが『パスワードを再発行したが電子メールが届かない』と顧客が相談してくるケースです。企業によってはカスタマーセンターなどが個別に対応するため、工数が掛かり負担になっています」

　セキュリティ対策を強化するために、パスワードに加えてデバイスによる二要素認証やOTP（One-time Password：ワンタイムパスワード）を事業者がサービスに組み込むこともある。しかし、井上氏によるとこれは実装のハードルが高く、認証が1画面で完結しないためログイン処理の煩雑さが増して利便性を下げ、ユーザーにストレスを与えてしまう面もあるという。

　「UXを低下させないためにも、認証には安全性を確保しながら操作性を損なわないというセキュリティ対策と利便性のバランスが問われています」

新たに注目されるパスキー　メリットと導入障壁は

　こうした中、パスワードに代わる新たな認証手段として注目を集めているのがFIDOアライアンスとW3Cが共同で規格化した認証方式「パスキー」だ。パスキーは、ユーザーのスマートフォンやPCなどに搭載された生体認証によるデバイス認証機能をWebサイトの認証に利用する。

　パスキーの仕組み自体は業界によって標準化されており、GoogleやApple、Microsoftをはじめとする企業がFIDOアライアンスに参加して規格をまとめている。国内ではNTTドコモ、任天堂、メルカリ、ソニーといったユーザーが多いサービスを展開する企業がパスキーを積極的に取り入れている。

　ユーザーにとってパスキーの導入は、パスワードを覚える必要がなく、普段通りにデバイスの画面ロックを解除するのと同様の手順でWebサイトやWebサービスにログイン可能だ。指紋や顔などの生体情報は偽装やなりすましが難しく、セキュリティ面でも安全性を確保できる。「ログイン時間も従来のパスワード方式と比較して大幅に短縮されます」

　一方、事業者にとっては顧客のパスワードを自社サーバに保存する必要がないため、情報漏えいのリスクが少ないのがメリットだ。パスキーはWebサイトごとに単一のキーを発行する。チャレンジレスポンス認証や対象ドメインの限定により、攻撃者がユーザーの認証情報を取得することを困難にして、パスキーはフィッシング耐性を高めている。

　ただ、パスキーは新興技術ということもあり、この仕組みをフルスクラッチで自社サービスに取り入れるには、最新情報を把握しており認証関連の高いスキルを持つエンジニアが必要だ。

　井上氏は「エンジニアリソースが潤沢でWeb認証に取り組める大企業は、いち早くパスキーを独自に導入しています」と述べる。裏を返せば、既にその有効性を理解しつつある企業が増える中、パスキーを導入したくても自分たちだけではできないという「技術の壁」がパスキーには存在している。

　加えて、パスキーは情報が日々アップデートしているため導入すれば完了というわけにはいかない。パスキーを継続的に運用する体制も求められるので注意が必要だ。

パスキーを簡単に導入　「PASUTTO（ぱすっと）」の特徴

　こうした導入障壁を突破するための心強い味方として、NTTテクノクロスは2024年10月からパスキー認証サービス「PASUTTO（ぱすっと）」を提供している。PASUTTOは認証画面にスクリプトを埋め込み、APIを通じて既存のWebサイトやWebサービスにパスキーを実装するものだ。これを使えばWebサイトやWebサービスに「パスキーでログイン」ボタンを簡単に追加できる。

PASUTTOの利用イメージ（出典：NTTテクノクロス提供資料）

　井上氏は「PASUTTOの特徴の一つが組み込みやすさです。パスキーと既存IDの仕組みをひも付けるのみなのでPASUTTO専用の画面を新たに作成する必要がなく、短期間でパスキーを実装できます。先行導入した企業は約1週間で実装を完了しました」と話す。

　ユーザーはIDを入力せずに、“ワンボタン”でログイン可能だ。これまでのIDとパスワードを置き換える必要もないので、システム全体への影響が低い点もメリットだ。

パスキー実装後は“ワンボタン”でログインできる（出典：NTTテクノクロス提供資料）

　PASUTTOを導入したからといってログイン方法をパスキーに限定する必要はなく、パスワードによる認証も利用可能だ。WebサイトやWebサービスによってバックエンド統合／フロントエンド統合など、さまざまな実装方法を選択できる。NTTテクノクロスは実装方法に関する相談も受け付けているため、ユーザーにとって最も便利で、事業者にとって最適な方法を相談しながら模索できるのも大きなポイントだ。

　機能面以外のPASUTTOの特徴として、井上氏はライセンス体系を挙げる。認証系ソリューションはユーザー単位でライセンス料金が課されることが多い。PASUTTOはサイトライセンスを用意しており、ユーザー数が多いWebサイトやWebサービスを展開する事業者もPASUTTOなら安定的な利用コストでパスキー認証を実装できる。

ログイン成功率を高め、セキュリティ対策の強化も目指す

　PASUTTOを試行している組織では、どのような変化があったのだろうか。ある医療従事者向けポータルサイトへのログインに、PASUTTOの導入を進めている例を見てみよう。

　同ポータルサイトは、2回に1回はユーザーが何らかの理由でログインに失敗しており、失敗率の高さが課題となっていた。ユーザーがログインに必要なメールアドレスとパスワードを覚えることが負担になっているのでは、と同社は理由を予測。ユーザーの負担を軽減しつつログイン率の改善を期待して、PASUTTOの導入を進めている。

　将来的にパスキーでのログイン割合を増やしていき、従来のメールアドレスとパスワードでのログインを見直すことで、利便性とセキュリティ対策を両立したサービスを目指している。

　井上氏は「複雑な仕組みではユーザーが使いこなせないという課題がありました。ユーザーに使いこなしてもらうために、パスキー非対応環境（Apple Account未使用のiPhoneなど）に対して、非対応である旨を事前に表示するなど細部までユーザーフレンドリーな機能をPASUTTOに用意することで、費用対効果の高い成果が得られることを期待しています」と語る。

医療系ITベンダーにおけるPASUTTO導入事例（出典：NTTテクノクロス提供資料）

　NTTテクノクロスは今後、ECサイトを提供している企業にもPASUTTOの導入を広げる計画だ。「顧客のニーズを分析すると、多くの企業は単純に認証を強化したいというよりはユーザーに楽に認証を実施してほしいという思いがあると分かりました。PASUTTOはパスキーという手段によってこれを目指し、『ユーザーに利便性を提供し、それがいつの間にかセキュリティ対策の強化につながる』という世界を実現します」

　新しい認証技術に関心を持っているが技術的なハードルがあってなかなか踏み出せない企業は、NTTテクノクロスのようなプロに相談してみるとよいだろう。