インターナショナルシステムリサーチ(ISR)は6月8日、パスワードに代わる認証方法として注目される「パスキー」をテーマにしたメディア向け勉強会を開催した。
パスキーはWebサービスやデバイスなどの本人認証にパスワードを利用しない認証方式だ。Yahoo! JapanやKDDI、NTTドコモなどの国内大手企業でも自社サービスのログイン認証でパスキーでの対応を始めている。勉強会ではパスキーの特徴や、企業が活用するメリットが紹介された。
パスワードを狙うサイバー攻撃に耐性あり
ISR 代表取締役社長のメンデス・ラウル氏は、「パスキーはオンライン認証規格である『FIDO(ファイド)2』に準拠した認証だ。FIDO2による認証ではセキュリティキー、スマートフォン、PCなどのデバイスによって生成される『秘密鍵』と『公開鍵』というキーペアを用いて認証を行う」と説明した。
-
ISR 代表取締役社長 メンデス・ラウル氏
パスキーによる認証では、利用されるデバイスが認証器と呼ばれ、顔や指紋などの生体情報やPINコードによる本人検証が行われる。その検証結果が暗号化されてサーバに送信され、公開鍵で復号して本人認証が完了するという仕組みだ。
-
「パスキー」による認証のイメージ
パスキーでは端末内蔵の生体認証器を利用して認証が可能なうえ、端末内部にあるセキュリティチップに認証資格情報が保存される。そのため、フィッシングなどのパスワードを狙ったサイバー攻撃によって認証情報の漏えいや窃取に耐性がある点が特徴だ。
また、同じOSを搭載する端末同士で認証資格情報を同期できるため、端末ごとに認証資格情報を登録する必要がないという。例えば、1つのApple IDでMacOS搭載のPCとiPhoneのサインイン認証が可能だ。
「国内外でパスワードを狙うサイバー攻撃が後を絶たない。米ベライゾンが実施した『2023 Data Breach Investigations Report』では、セキュリティ侵害の初期アクセスの86%は盗まれたパスワードによるものだという。パスワードを窃取するソーシャルエンジニアリングも新たな手法が次々に生まれる中で、パスキーを利用してパスワードレスなセキュリティ運用に移行するメリットは大きい」(ラウル氏)
ハイブリッド認証などパスキーの3つの活用例
勉強会では、パスキーの利用パターンが2つ紹介された。1つ目が、「同期可能なパスキー」だ。例えば、端末Aを用いてクラウドプラットフォームにパスキーの認証を行い、作成された認証情報を端末B、Cと同期させることで、特定のクラウドサービスを介してパスキーを共有することができる。
-
「同期可能なパスキー」のイメージ
2つ目が「端末に基づくパスキー」だ。こちらはセキュリティキーA、端末Bなど異なる認証器でそれぞれパスキーを作成するというものだ。注意しなければいけないのは、セキュリティキーAと端末Bの間では、認証資格情報を共有できないという点だ。
-
「端末に基づくパスキー」のイメージ
このほか、パスキーを利用したハイブリッド認証も紹介された。例えば、認証を行いたいPCと認証器として利用するスマートフォンをBluetoothで接続。PCの画面上に表示されるQRコードをスマートフォンで読み込んで、スマートフォン上で認証を行うことでPCでの認証を完了させるといった認証が可能だという。
-
パスキーを利用したハイブリッド認証
「米Googleが2023年6月6日に公開したブログで、Google WorkspaceアカウントとGoogle Cloudアカウントへのログインでのパスキー対応を発表した。これにより企業内での利用が拡大するだろう」とラウル氏は予想する。
企業でGoogle Workspaceを利用しており、同サービスのセキュリティを強化したいものの予算をかけられない場合もある。だが、Google Workspaceでパスキーによる認証が可能になったことで、認証器やPCへのログインを利用して、アカウントへパスワードレスでのサインインが可能になった。
新たに費用をかけずにパスワードレス認証が可能になるという利点からパスキーの採用が拡大することが考えられる一方で、ラウル氏は「今後はパスキーによる認証の運用を安全に実施していくためセキュリティベンダーの支援が重要になる」と指摘した。
Ankerモバイルバッテリーがリコール
