パスキー認証とは
パスキーとは
パスキーとは、パスキー認証で使用される認証資格情報を指します。パスキー認証は、パスワード認証に代わるかんたんでより安全な認証方法です。 Apple、Google、Microsoftなどのプラットフォームベンダーにおいて採用され、現在ではさらに多くのサービスや企業で導入され始めています。
パスキーの利用には Windows Hello・Touch ID・iPhone・Android・外付けのセキュリティキーなどの生体認証や PINコード、パターンが使えるため、普段利用しているデバイスや自社のセキュリティポリシーに合わせて選択することができます。
パスキーの利用を開始するにあたり、管理者はパスキーの保管先やセキュリティ強度の異なる「デバイス固定パスキー」と「同期パスキー」という 2種類のパスキーを理解する必要があります。ここでは、それらのパスキーを含め解説をしていきます。
パスキーの利用環境については こちら で詳しくご確認ください。
パスワードとパスキーの違い
パスキー認証について説明する前に、先ずはパスワード認証のリスクについて解説します。 パスワード認証は多くのサービスやWebサイトで利用されていますが、その仕組みにより様々な点でリスクを伴っています。
パスワード認証のリスク
パスワードは利用者自身が記憶しておく必要があり、付箋へ書き込んだり、かんたんで覚えやすいパスワードや 別のサイトでの使い回しなどがよく行われます。しかし、忘れないためのそれらの工夫がかえって人的要因の 漏洩リスクとなっています。また仕組み上、パスワードは登録時にサーバー側へ送られ、利用者と同じパスワードを サーバー側でも保管し認証時に照合を行うため通信経路におけるフィッシング詐欺や通信機器の脆弱性による盗難のリスクがあります。 パスワードを保管するサーバー側では総当たりリスト攻撃などの脅威も多く存在します。
他にも、サーバー側は送られてきたパスワードが正しいかどうかだけを判断するため、真正性を評価できず たとえハッキングされたパスワードであってもパスワードが正しければ認証成功とみなし、厳密な本人確認ができないというリスクがあります。
一方、パスキー認証ではどうなるのか?次の章で詳しく説明します。
パスキー認証の利点
パスキー認証はパスワード認証の代替として設計されているため、パスワード認証のリスクを回避する仕組みがあります。 その特徴をここでは2つご紹介します。
その1.認証資格情報の共有がない:パスキー認証はユーザー側で本人検証が行われ、公開鍵暗号方式で署名付きの 暗号キーをやりとりするので偽サイトが介在しにくい仕組みです。通信路でやり取りされるデータは、 たとえ盗られてもそれだけで認証可能な情報ではないため安全性は保たれています。
その2.人的要因の削減:パスキー認証はパスキー自体の管理をシステム側で行うため利用者はそれを記憶する必要はありません。 また、パスキー登録時にサイト情報が保存され、認証時は正しいサイトであることをシステム側が自動判別するので 利用者が偽の Webサイトへ誘導される心配もありません。
デバイス固定パスキーと同期パスキーの違い
パスキーは様々なデバイスやトランスポートに対応しており利便性が高い反面、複雑で理解しづらい面もあります。 ここでは、パスキーに存在する2つの種類について解説します。
デバイス固定パスキー
1つのデバイスに紐づいて登録されるパスキーです。登録時に作成されたパスキーはデバイスから決して外へ 出ないため安全性が高いといわれていますが、デバイスの故障や紛失が起きた場合にはサインオンができなくなります。 次に紹介する「同期パスキー」は比較的新しい概念であるため、 古い OSや「同期パスキー」が登場する以前に利用されていた FIDO2対応の認証はデバイス固定パスキーに含まれます。
同期パスキー
プラットフォームベンダーが提供するアカウントを介してユーザーのデバイス間で同期されるパスキーです。 Appleであれば Apple IDを基に iCloudキーチェーンを利用してパスキーが同期され、Googleであれば Googleアカウントを基に Googleパスワードマネージャーを利用してパスキーが同期されます。
メリットとデメリット、セキュリティ強度の違い
デバイス固定パスキーも同期パスキーも「多要素認証(MFA)」であり、「公開鍵暗号方式」を利用した 「フィッシング耐性を持つ」認証であることに違いはありません。さらに、デバイス固定パスキーはパスキーが 外に出ない安全性の高さ、同期パスキーは同期による利便性の高さにそれぞれの特徴があります。 共通したデメリットとしては、プラットフォームベンダーにより対応状況が異なるため OSやブラウザーに 依存することが多く、組み合わせによっては利用できないことなどがある点です。なお、同期パスキーの セキュリティ強度はクラウドベンダーへ依存しているのが現状ですので注意が必要です。
まとめ
パスキー認証は、セキュリティと利便性の両面で優れた認証方法です。
現在のところはまだプラットフォームに依存することが多く挙動が安定しなかったり、会社として 同期パスキーの使用を許可させるかを決め、場合によってはそれらを規制する必要があったりまたパスキーを 事前に複数登録するなど課題もありますが、パスワード認証よりも安全性は高く操作性も向上します。
先ずは、パスワード認証とパスキー認証を併用し、その後、パスキー認証のみに移行する方法もありますので、 すでに Windows Helloなどパスキー認証が利用できるPCがある場合には併用してご利用の検討をお勧めします。
補足: CloudGate UNO におけるパスキー認証
- CloudGate UNO のパスキー認証は以前は「FIDO2認証」と呼ばれていました。「FIDO2認証」から利用しているユーザーも引き続き利用可能です。
- パスキーが作成・保存される「認証器」は、 CloudGate UNO Administrator Site (管理者サイト)から管理することができます。また、 認証器の種類で登録に制限をかける ことも可能です。