パスキーの仕組みはユーザーのデバイスに保存された秘密鍵、サービス側の公開鍵による非対称暗号方式に基づいている。サインイン時にはユーザーの生体情報や暗証番号を使ってデバイス上の秘密鍵にアクセスし、Challenge-Responseによる認証が行われるため、パスワードのような共通の秘密情報をサーバーに送信する必要がない。

Microsoftアカウントでパスキーを利用するには、Windows、Mac、iOS、Androidなどのサポートされたプラットフォームとデバイスが必要だ。設定は簡単で、アカウント設定ページから数ステップで完了する。一度設定すれば、以降はサインインの度にパスワードを入力する煩わしさから解放され、フィッシング詐欺の危険性も大幅に減らせるというメリットがある。

パスワードレス認証への移行が加速、セキュリティと利便性の両立へ

パスワードの脆弱性は以前から指摘されており、Microsoftによると2023年8月時点で1秒あたり4,000件ものパスワード攻撃が検知されているという。一方でユーザーに複雑なパスワードを課すことは利便性を損ない、かえって安全性を低下させる懸念もある為、多要素認証の導入は一定の効果を上げてきたが煩雑さは否めないだろう。

このジレンマを解消し、セキュリティと利便性を高次元で両立するのがパスキー認証だ。生体情報や暗証番号はデバイスから外部に漏れることはなく、サーバー側で漏洩の心配もない。フィッシングサイトへの入力も防止できる為、ユーザーにとってはいつものロック解除動作でサインインできる簡便さが魅力となる。

Googleも近く同様のパスキーサポートを予告するなど、FIDO2規格の業界への浸透は加速している。バックエンドでの対応が必要なため、全てのサービスですぐに使えるようになるわけではないが、パスワードレス社会への第一歩は力強く踏み出された。セキュリティ意識の高まりとともに、パスキー認証のさらなる普及に期待がかかる。

おすすめのPython研修一覧

Python研修を提供しているおすすめの企業・法人を一覧で掲載しております。

Python研修の一覧を見る

おすすめのDX研修一覧

DX研修を提供しているおすすめの企業・法人を一覧で掲載しております。

DX研修の一覧を見る

おすすめのJava研修一覧

Java研修を提供しているおすすめの企業・法人を一覧で掲載しております。

Java研修の一覧を見る

おすすめのJavaScript研修一覧

JavaScript研修を提供しているおすすめの企業・法人を一覧で掲載しております。

JavaScript研修の一覧を見る

trends編集部「K」の一言

エンドユーザー向けのメリットが大きいパスキー認証だが、パスワード管理のコストと漏洩リスクから解放されるのは大きな恩恵だ。一方でWebAuthnやCTAP2などの新しい認証APIへの習熟とバックエンドシステムの修正が必要になる。

既存サービスでのパスキー導入は、段階的なアプローチが求められるだろう。当面はパスワード認証と併存させつつ、利用が進むにつれて移行を促していくことになるだろう。ゼロトラストセキュリティモデルとの親和性の高さから、パスキーはシングルサインオン（SSO）基盤の1要素としても注目される。社内システムへのアクセス管理など、企業のID基盤への波及も予想される。

新規開発するサービスでは、パスキーファーストでの認証設計が主流になっていくと見られる。ただし、リカバリー方法など運用面の課題もあり、生体情報の変更やデバイスの紛失などでパスキーによるサインインができなくなるケースへの対処だ。パスワードに代わる新しいリカバリー手段の確立、トラステッドデバイスの登録フローなど、まだ詰めるべき点は少なくない。

いずれにしろ、パスキーの台頭はアプリケーション開発者にパラダイムシフトを迫ることは間違いない。Microsoftをはじめとする主要プラットフォーマーの動向を注視しつつ、サポート体制の整備を進めていく必要があるだろう。先行者利益を獲得するためにも、計画的な対応が肝要だ。パスワードレス時代を見据えた技術力の向上が、これからの開発者に問われている。

Microsoftは今回の発表に合わせ、パスキー認証の設定方法や開発者向けリソースを公開している。導入の敷居は低くないが、ユーザーの信頼と満足度を左右する重要な局面だ。セキュリティと利便性のバランスをどう取るかが、これからのサービス設計における一つの分水嶺になるかもしれない。