ドコモが「パスキー」を導入してフィッシング被害報告が0件に パスワードレス認証の効果（1/2 ページ）

[小山安博，ITmedia]

　パスワードを使わないパスワードレス認証であるパスキーを推進するFIDO Allianceは会見を開き、既に70億を超えるオンラインアカウントがパスキー利用可能な状態になって、利用が拡大していることをアピールした。国内でも利用が拡大しており、新たにメルカリがボードメンバーに加盟し、住信SBIネット銀行がアライアンスに加盟した。

FIDO Allianceの1年の取り組みが紹介された。写真左からメルカリ執行役員CISO市原尚久氏、LINEヤフーLY会員サービス統括本部ID本部本部長伊藤雄哉氏、FIDO Japan WG座長でNTTドコモのチーフ・セキュリティ・アーキテクト森山光一氏、FIDO Allianceエグゼクティブディレクター兼最高マーケティング責任者のアンドリュー・シキア氏、FIDO Alliance FIDO2技術作業部会共同座長でGoogle ID&セキュリティプロダクトマネージャーのクリスチャーン・ブランド博士

パスキーでは複数デバイスで同期が可能に　名称は模索中

　FIDO Allianceが推進するパスキーは、FIDO2と呼ばれる生体認証を使ったパスワードレス認証の仕組みを利用したもの。FIDO2では、生体認証を使ったログインの認証情報をローカルの端末内に保管する。Web標準化団体W3Cと共同で策定されたWebAuthnでは、このFIDO2認証がWebサイトのログインでも利用できる。

　生体認証の情報は端末内にとどまり、Webサイトとは公開鍵暗号方式を用いて資格情報（FIDO認証資格情報）をやりとりすることで本人認証をする。ログインするWebサイト側には公開鍵が、端末側には秘密鍵が保管されることになり、鍵同士がペアになるため、正式サイトを偽装したフィッシングサイトがログインを求めても、ペアとなる鍵がないためログインができずフィッシングが成立しなくなる、というメリットがある。

FIDO認証の仕組み。生体認証などのローカル認証で端末内のAuthenticator（認証器）がアプリごとに秘密鍵を生成。Webサイトのログインに際しては最初の登録時にサーバに公開鍵を登録し、以降はそれを使った認証を行う秘密鍵を含むFIDO認証資格情報（FIDOクレデンシャル）を複数端末で同期することもできる

　ただ、このログインに使われるFIDO認証資格情報は端末にひも付いていて、機種変更、端末紛失などの場合に、改めて一からFIDO認証資格情報の作成をしなければならなかった。これを複数のデバイスで同期するようにしたのがマルチデバイス対応FIDO認証資格情報という仕組みで、これがパスキーだ。

　ただし、複数の名称が混在することになって分かりづらさもあるとして、FIDO Allianceでは適切な名称を模索しているらしく、同期をしないFIDO2認証もパスキーと呼ぶようになり、今回の会見ではさらに、本来の意味での複数端末で同期するパスキーを「同期パスキー」（シンクパスキー）という表現にしたようだ。ただし、現時点では「用語をどうするかは模索しながら」（FIDO Japan WG座長でNTTドコモのチーフ・セキュリティ・アーキテクトの森山光一氏）進めているとのことだ。

　そんなパスキーだが、Google、Apple、Microsoftに加えて多くの企業が参入。AdobeやAmazon、NTTドコモ、PayPal、TokTok、Yahoo! JAPANなど多彩なサービスが対応している。

グローバルでも多くの企業がパスキーを採用。1Passwordの調査では90以上のサービスでパスキー（同期パスキー）に対応している

世界で70億のアカウントがパスキーを利用可能に

　FIDO Allianceエグゼクティブディレクター兼最高マーケティング責任者のアンドリュー・シキア氏は、「2023年がパスキーの年と言っても過言ではない」と話す。特にGoogleがデフォルトでパスキーになるなど、パスキー対応アカウントが拡大。ざっくりとした試算としながらも、世界で70億のアカウントが既にパスキー利用が可能になっているとした。

パスキー利用可能なアカウントは70億を突破。Google、Apple、Microsoft、Yahoo! JAPAN、Amazon、ドコモ、KDDIなどが対応しているため、日本人の多くもすでにパスキーが利用できる環境にあるだろう

　パスキーを使うことで、例えばGoogleはログイン成功率が4倍になり、ログイン時間が半減したという。メルカリでは、ログイン時間において今までのSMSによる2段階認証の24.9秒に比べて、パスキーは4.4秒で20秒の短縮を実現。企業内の利用に対する調査では、パスワードリセットが95％削減され、従業員の認証時間が30％短縮されるなど、投資対効果が324％に上ったという。

パスキー利用によるメリット

　認知度も向上している。LastPassとの共同調査では、世界で52％のコンシューマーユーザーがパスキーの存在を把握。日本では34％の認知度だったという。さらに企業のIT部門のトップだと84％が認知していたそうだ。

パスキーの認知度も向上している

　セキュリティや利便性の向上につながるとして、各国政府との連携も進められている。FIDO Allianceには10カ国の政府関係者が参加しているとのことで、例えば米政府では、サイバーセキュリティ・社会基盤安全保障庁（CISA）トップがパスキーを「ゴールドスタンダード（規範的な存在）」と表現しているという。

政府機関では、米国や台湾、オーストラリアなどで促進されようとしている。日本ではマイナンバーカードを使ってパスキーを生成すれば、本人認証と身元確認が同時にできるセキュリティ強度の高いパスキーが実現できるだろう

　さらに米国立標準技術研究所（NIST）がデジタルの本人確認に関する「デジタルアイデンティーティガイドライン」の最新版でパスキーに言及する見込みとのことで、森山氏はこれに掲載されることで、金融期間などのより堅牢（けんろう）なセキュリティを重視する分野での利用が拡大することを期待する。

　政府機関では、台湾のTAIWAN FIDO、オーストラリアのmyGovIDと呼ばれるサービスでパスキーが活用されているという。

2024年はさらなる普及促進を図る。開発者支援も重視する

　2024年は、FIDO Allianceとしてさらに普及拡大に努める方針で、一般消費者にサービスを提供する事業者の採用を促し、金融機関への導入も図っていく。既に金融期間でもデバイスひも付けのパスキー（従来のFIDO2認証）は採用が進んでいるが、同期パスキーへの移行も促していく。「新しい時代に向けて、パスキーに合わせた改革をしてもらえるように働きかけをしたい」とシキア氏。

FIDO Allianceのアンドリュー・シキア氏

ドコモの森山光一氏