まずは体験! “パスキー”がパスワードのない世界を(今度こそ)実現する:半径300メートルのIT
サイバー攻撃が高度化し、パスワードを使ったセキュリティ対策が万全とは呼ばれなくなった今、新たな手段として注目されているのが「パスキー」です。これによってどのようなメリットが得られるのでしょうか。Googleのパスキーを試してみました。
とうとう、「パスキー」の利用が本格化しそうです。国内ではこれまで、ヤフーやNTTドコモ(dアカウント)、au(au ID)などがパスキー対応をアナウンスしていましたが、今回ついにGoogleがこれに対応しました。個人的には非常に大きな出来事で、これをきっかけに「パスワードのない世界」が実現するのではないかと期待しています。筆者はこの報を聞いてすぐにパスキーに移行しました。
早速、Googleアカウントでパスキーを設定してみた
これまで私たちがインターネット上で「自分自身が間違いなく自分である」と証明するためには、自分しか知らない情報を基にするしかありませんでした。その代表例が「パスワード」です。サービス側にパスワードをあらかじめ登録しておき、自分の記憶とサービス側に登録した情報が一致したら、あなた本人であるという証明になっていました。
しかしサイバー攻撃が高度化する昨今、サービス側に登録されたパスワードにつながる情報(あるいはパスワードそのもの)が奪われたり、漏えいしたりすることでなりすましによる不正ログインが発生しています。
アカウント情報の流出を確認できるサービス「Have I Been Pwned:」を見ると、漏えいしたアカウント数は増加の一途をたどっているのに加え、定期的に発表される「使用されているパスワードランキング」では相変わらず“123456”や“password”、“1qaz2wsx”といった脆弱(ぜいじゃく)な文字列が並んでいます。また、「パスワードの使い回しは止めよう」と呼びかけても実践する方はほとんどいません。なぜなら、そんな運用は難しすぎるからです。
こうした悩みを解消するのが今回紹介する「パスキー」です。パスキーは認証時に上述したような秘密情報を使う点は同じですが、その保存をユーザーの記憶に頼るのではなく「デバイス」に閉じ込めて、さらにはその秘密情報をネットワークに流さず、サービス側にも渡さないことで認証を実現します。仕組み自体は込み入っていますがユーザー側の負担は少ないので、使うだけで安全になると考えてよい技術です。
まずは早速、あなたのGoogleアカウントをパスキー対応にしましょう。生体認証の機能が搭載されたスマートフォンを利用している前提で設定していきます。まずは「g.co/passkeys」からアカウントでパスキーの使用を開始してください。
登録が完了すると、スマートフォン側で指紋認証や顔認証、画面ロック解除などの方法を使うことで、スマートフォン側に登録された情報を基に、Googleアカウントへのログインが実行されます。PCでログインする際にも、表示されたQRコードを使ってスマートフォン側で認証できるようになります。スマートフォンで生体認証を実行するとPC側でもログインが完了します。ここまで、パスワードは利用していません。
パスキーの登録はそこまで面倒な作業ではないですし、一度登録すれば、以降のログインはかつて二要素認証で利用していた6桁の入力も不要で、認証がより簡単かつ安全に実施できるようになります。パスキーはいわば、その仕組みの中で所持情報と生体情報という「二要素認証」を実行しているのです。
パスキー非対応のサービスもあるため、パスワードが一切不要になるわけではありませんが、Googleに関してはパスワード入力の機会はグッと減るはずです。ぜひ皆さんにはまず、この「パスワードのない世界」を真っ先に体験してほしいと思います。
パスキーの利用はセキュリティの“最優先事項”に
新しい仕組みに対しては、多くの方が最初は拒否反応を示してしまうものです。しかしセキュリティの新機能が出た際には完全に移行する必要はないものの、まずは一度だけでも体感しておくことが重要だと筆者は考えています。特にGoogleアカウントは業務で利用している方も多い分、サイバー攻撃者に狙われる可能性が高いため、しっかりとセキュリティを確保してほしいと思います。
パスキーを設定すれば、多くのGoogleサービスはパスキー前提のログイン画面遷移になります。特にアカウント操作などの重要な操作もこれに変わるため、「パスワード」は不要になるでしょう。万が一偽のWebサイトにログインしそうになったときでも、パスキーを設定しておけば気が付けるはずです。しばらくの間は、これだけでもかなり安全性が確保できると思います。
しかしサイバー攻撃者側も近い将来、「パスワードのない世界」を前提としたサイバー攻撃を開発し、実行してくるのは間違いないでしょう。その際はパスキーそのものを攻撃するよりも“パスキーの仕組みにトラブルがあったのでパスワードを入力せよ”などといった、「人間」側を狙って攻撃してくるはずです。とはいえこれはパスキーが普及してからの話ですので、まずはパスキーを導入して現在のセキュリティを確保しておくことが重要です。
パスキーは、パスワードのない世界を目指してきた技術者たちがつくった仕組みを、利用者の利便性も考えた形で実装したもので、それなりの歴史もあります。Googleがパスキーに対応したことは非常に大きなことで、ほとんどの人が所有しているアカウントに、さらなる安全策が提供されたことは注目すべき出来事だと思っています。
これまでも当コラムで「長くて強いパスワードを使おう」「二要素認証が使えるサービスは有効にしよう」「パスワードの使い回しは止めよう」といったことを提案し続けてきました。しかし、その最優先対応として「パスキーを使おう」というのが加わりました。パスキーが各種サービスで利用できるようになれば、サイバー攻撃の形も大きく変わるはずです。これをお読みの皆さまの中でB2Cのサービスを提供している事業者の方は、情報漏えい対策としてぜひパスキーの導入を前向きに検討してください。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- サイバー攻撃の今 日本を含むアジア太平洋地域は今後も狙われる
活発化するサイバー攻撃。次は「どこが」「何が」狙われるのだろうか。IBMの調査レポートから今後とるべき対策が示された。 - Twitterが二要素認証の仕様を変更 これって「アリ」か「ナシ」か?
Twitterは二要素認証の仕様を変更し、SMSを利用した二要素認証を有料ユーザーの「Twitter Blue」だけが利用可能にする旨をアナウンスしました。この変更の「アリ」な部分と「ナシ」な部分を考えてみましょう。 - 「新しいこと」よりまずは「基本の徹底」だ 2023年のセキュリティ対策を考える
2023年が始まりました。変わらずサイバー攻撃は激化の一途をたどっています。企業としては「新しいセキュリティ対策」や「完璧なセキュリティ対策」といった言葉についつい踊らされてしまいますが、まずは「基本の徹底」から確認しましょう。 - “手のひらをかざすだけで決済完了”が間近に 生体認証を前に進める富士通の新技術
富士通は同社が推し進める“手のひら静脈認証”の登録処理を、スマートフォンなどに搭載されたカメラで可能にする技術を開発した。同技術によって今後、生体認証の利用シーン拡大が予測される。