パスワードを使わないパスワードレス認証であるパスキーを推進するFIDO Allianceは会見を開き、既に70億を超えるオンラインアカウントがパスキー利用可能な状態になって、利用が拡大していることをアピールした。国内でも利用が拡大しており、新たにメルカリがボードメンバーに加盟し、住信SBIネット銀行がアライアンスに加盟した。
FIDO Allianceが推進するパスキーは、FIDO2と呼ばれる生体認証を使ったパスワードレス認証の仕組みを利用したもの。FIDO2では、生体認証を使ったログインの認証情報をローカルの端末内に保管する。Web標準化団体W3Cと共同で策定されたWebAuthnでは、このFIDO2認証がWebサイトのログインでも利用できる。
生体認証の情報は端末内にとどまり、Webサイトとは公開鍵暗号方式を用いて資格情報(FIDO認証資格情報)をやりとりすることで本人認証をする。ログインするWebサイト側には公開鍵が、端末側には秘密鍵が保管されることになり、鍵同士がペアになるため、正式サイトを偽装したフィッシングサイトがログインを求めても、ペアとなる鍵がないためログインができずフィッシングが成立しなくなる、というメリットがある。
ただ、このログインに使われるFIDO認証資格情報は端末にひも付いていて、機種変更、端末紛失などの場合に、改めて一からFIDO認証資格情報の作成をしなければならなかった。これを複数のデバイスで同期するようにしたのがマルチデバイス対応FIDO認証資格情報という仕組みで、これがパスキーだ。
ただし、複数の名称が混在することになって分かりづらさもあるとして、FIDO Allianceでは適切な名称を模索しているらしく、同期をしないFIDO2認証もパスキーと呼ぶようになり、今回の会見ではさらに、本来の意味での複数端末で同期するパスキーを「同期パスキー」(シンクパスキー)という表現にしたようだ。ただし、現時点では「用語をどうするかは模索しながら」(FIDO Japan WG座長でNTTドコモのチーフ・セキュリティ・アーキテクトの森山光一氏)進めているとのことだ。
そんなパスキーだが、Google、Apple、Microsoftに加えて多くの企業が参入。AdobeやAmazon、NTTドコモ、PayPal、TokTok、Yahoo! JAPANなど多彩なサービスが対応している。
FIDO Allianceエグゼクティブディレクター兼最高マーケティング責任者のアンドリュー・シキア氏は、「2023年がパスキーの年と言っても過言ではない」と話す。特にGoogleがデフォルトでパスキーになるなど、パスキー対応アカウントが拡大。ざっくりとした試算としながらも、世界で70億のアカウントが既にパスキー利用が可能になっているとした。
パスキーを使うことで、例えばGoogleはログイン成功率が4倍になり、ログイン時間が半減したという。メルカリでは、ログイン時間において今までのSMSによる2段階認証の24.9秒に比べて、パスキーは4.4秒で20秒の短縮を実現。企業内の利用に対する調査では、パスワードリセットが95%削減され、従業員の認証時間が30%短縮されるなど、投資対効果が324%に上ったという。
認知度も向上している。LastPassとの共同調査では、世界で52%のコンシューマーユーザーがパスキーの存在を把握。日本では34%の認知度だったという。さらに企業のIT部門のトップだと84%が認知していたそうだ。
セキュリティや利便性の向上につながるとして、各国政府との連携も進められている。FIDO Allianceには10カ国の政府関係者が参加しているとのことで、例えば米政府では、サイバーセキュリティ・社会基盤安全保障庁(CISA)トップがパスキーを「ゴールドスタンダード(規範的な存在)」と表現しているという。
さらに米国立標準技術研究所(NIST)がデジタルの本人確認に関する「デジタルアイデンティーティガイドライン」の最新版でパスキーに言及する見込みとのことで、森山氏はこれに掲載されることで、金融期間などのより堅牢(けんろう)なセキュリティを重視する分野での利用が拡大することを期待する。
政府機関では、台湾のTAIWAN FIDO、オーストラリアのmyGovIDと呼ばれるサービスでパスキーが活用されているという。
2024年は、FIDO Allianceとしてさらに普及拡大に努める方針で、一般消費者にサービスを提供する事業者の採用を促し、金融機関への導入も図っていく。既に金融期間でもデバイスひも付けのパスキー(従来のFIDO2認証)は採用が進んでいるが、同期パスキーへの移行も促していく。「新しい時代に向けて、パスキーに合わせた改革をしてもらえるように働きかけをしたい」とシキア氏。
Copyright © ITmedia, Inc. All Rights Reserved.