ニュース
パスワード要らずでログインできる「パスキー」は1年で倍増、企業への問い合わせ3割減
2024年12月12日 17:16
FIDO(ファイド)アライアンスは12日、都内で第11回FIDO東京セミナーを開催した。パスキー認証の展開から約2年経つ2024年、パスキー(Passkey)認証やFIDO認証の現況はどうなっているのか。
今回は、セミナーに合わせて来日したFIDOアライアンス CEO兼 エグゼクティブ・ディレクターのアンドリュー・シキア(Andrew Shikiar)氏と、FIDOアライアンス 執行評議会・ボードメンバー・FIDO Japan WG座長であるNTTドコモ チーフ セキュリティ アーキテクトの森山光一氏が、全体概況や日本におけるFIDO認証を紹介した。
法人向けにも広がるパスキー、2年間の実績
パスキー認証は2022年から展開されている認証方法の1つで、ユーザーが保有するデバイスを認証器としデバイス上で本人確認をすることでサービスにログインできる。これまでのIDとパスワードによる認証では、認証に関わる情報がネットワーク上に送信されるが、パスキー認証では、秘密鍵がユーザーのデバイス上でのみ保存されておりネットワーク上に出ることがないため、ハッキング攻撃に強いとされている。
デバイス固定型のパスキーに加え、AndroidスマートフォンやiPhoneでは、クラウドによる同期型パスキーが利用できる。クラウドサービスで認証するため、ユーザーの所有するデバイス同士で認証を共有できる。
アンドリュー氏は、この同期型パスキーについて、「最新のデバイス、OS、ブラウザで対応している、これは、FIDOアライアンスがW3Cなどと強固な協力関係を築いたためだ」と標準化活動の成果をアピールする。パスキー登場から2年間でグローバルの認知度は39%→57%に上昇、国内の認知度も62%と約6割のユーザーに認知されるようになった。利用できるサービスも「サービスプロバイダーが毎日増加している」(アンドリュー氏)とし、コンシューマー向けサービスだけでなく、エンタープライズ向け、いわゆる従業員向けの認証サービスとしての導入も進んでいる。
日本を含めた世界のサービスでは、アマゾン(Amazon)やソニーインタラクティブエンターテインメント(SIE)、グーグル(Google)、TikTokで利用できる。どの企業のサービスも膨大なユーザーを抱えているが、サインイン時間の短縮やログイン成功率の向上などパスキー導入の効果が導入初期から現れている。
加えて、KDDIではパスワード忘れの問い合わせ数が3割減少するといった運営面でのメリットや、不正ログイン被害やフィッシング被害が確認されていないなど、強固なセキュリティ性能を持ちながらも、ユーザーとプロバイダー双方にメリットが現れている。
強固なセキュリティ面は、フィッシング被害の軽減にも効果があるとし、政府や警察庁との連携による次世代認証技術の普及促進にも努めている。
パスキーの未来
一方でアンドリュー氏は、パスキーの展開を「道半ばだ」とコメント。さらなる普及に向けての取り組みが進められている。
パスキーセントラル
取り組みの1つに、パスキーに関する情報を集積した「パスキー・セントラル」がある。パスキー・セントラルは、10月に提供が開始されたもので、パスキーに関するあらゆる情報や指針が紹介されている。パスキー導入をしようとしている企業や、導入済みの企業を支援すべく、状況に応じて案内されている。
このパスキー・セントラルは、12日に日本語対応となった。パスキーの紹介や実施企業のインタビュー記事など、導入の前段階に関わるコンテンツも掲載されている。
同期型パスキーの移行
同期型パスキーは、アップルやグーグルのクラウドサービスを使って認証する。裏を返せば、鍵を保管しているアップルやグーグルに依存してしまうのではないかと懸念を示すユーザーもいる。この「大手のアカウントに縛られる可能性」を軽減するため、いわゆる“クレデンシャル・マネージャー”間でパスキーの移行ができるようになる新たな仕様が公開された。
「クレデンシャル交換プロトコル」(CXP、Credential Exchange Protocol)と「クレデンシャル交換フォーマット」(CXF、Credential Exchange Format)の2つの仕様では、たとえばグーグルのアカウントに保管されている秘密鍵をアップルのアカウントに移動させたり、グーグルのほかのアカウントへ移動させたりできることが想定されている。
実際に利用できるようになる目安をアンドリュー氏は「来年半ば」とコメント。森山氏も、メンバー企業からの声も聞きながら、問題点を洗い出し、自信を持って使ってもらえるようにしていくとした。
決済や自動車にも
パスキーは認証情報の管理から拡大し、デジタルウォレットや決済分野でも活用されている。このほか、サムスン電子の家電やオートモビリティ分野にも活動範囲が拡大しつつある。
日本でも1年間で利用サービスが倍増
FIDO Japan WGの活動は今年で9年目を迎え、毎月実施している会合が2025年1月に100回目を迎えることとなった。
国内企業だけでなく日本で活動するグローバル企業を含めておよそ60社が参加。FIDO認証の導入企業が昨年から「およそ倍増した」(森山氏)とし、今後は警察庁との協力など、フィッシング被害軽減を目指した次世代認証技術の普及促進が進められている。
日本のWGでも、エンタープライズ向けのユースケースについて拡大への議論が始まったといい「導入事例を増やしていくことが来年の目標になるだろう」(森山氏)と、日本でも従業員向け認証への活用が期待される。
日経IDがパスキー対応
日本での主要なトピックの1つとして森山氏は、日本経済新聞社での導入事例を紹介。日本経済新聞 電子版など日本経済新聞社のグループ共通IDへのログインで、2025年2月以降、パスキーが利用できるようになる。
大学、学生との連携強化
6月に実施したパスキーハッカソンで、慶應義塾大学に最優秀賞、早稲田大学にFIDO賞が与えられた。ハッカソンでは、さまざまなイノベーションが生まれつつあるとし、この取り組みを強化していく。
たとえば、パスキーを通じてスマートロックを解錠するものや独自の認証プロトコルが出展された。また、一般ユーザーのパスキー利用を促す通知デザインの研究などプロダクトだけではない研究といった、ユーザー体験価値に関わるものも登場した。
アンドリュー氏は、ユーザー体験について課題感があるとコメント。パスキー拡大への課題を問われたアンドリュー氏は「OSやブラウザ」と「導入企業」のそれぞれに課題があると指摘。アライアンスでもこの2つの側面で課題解決を支援しており、認証プロバイダーへの働きかけやガイドラインなどを策定し、パスキー・セントラルへも反映させていく。
マイナンバーカードとの連携にも期待
日本ではマイナンバーカードのスマートフォンやiPhone(2025年予定)への搭載が進められている。森山氏は、マイナンバーカードの認証にもパスキーが取り入れられればと期待感を示す。
端末上でマイナンバーカードを本人確認情報として使用するには、使用者が本人かどうかを確認する必要があるが、利用の度にICチップで本人確認するという方法では利便性が損なわれかねない。森山氏は、期待していることとして「端末のマイナンバーカードを利用する際の本人確認としてパスキー認証を使用すること」を挙げた。
一方、国により身元確認に対する考え方や求め方が異なるとも指摘。日本においては、本人確認にマイナンバーカードのICチップ利用も検討されているため、厳格な本人確認をした上でそれを根拠としてパスキー認証をする組み合わせが本人性の確認に重要な要素となる。
パスキー一本化は「企業が決めること」
パスキーを導入している企業の中には、認証をパスキーに一本化しているところと従来のパスワード認証も並行して設けているところがある。
アライアンスの方向性について、アンドリュー氏は「企業ごとに判断してもらいたい」とコメント。ユーザーのことがわかるのは企業側だとし、「ユーザーのことを一番知っている企業がパスワード併用もしくは廃止する判断をしてほしい」とした。
