インターナショナルシステムリサーチ(ISR)は6月8日、パスワードに代わる認証方法として注目される「パスキー」をテーマにしたメディア向け勉強会を開催した。

パスキーはWebサービスやデバイスなどの本人認証にパスワードを利用しない認証方式だ。Yahoo! JapanやKDDI、NTTドコモなどの国内大手企業でも自社サービスのログイン認証でパスキーでの対応を始めている。勉強会ではパスキーの特徴や、企業が活用するメリットが紹介された。

【関連記事】
≪避けては通れない“ID管理” 米OktaマッキノンCEOが掲げる事業戦略とは?≫
≪パスワードの代替「パスキー」が抱える暗号鍵共有のリスクをどう回避するか?≫

パスワードを狙うサイバー攻撃に耐性あり

ISR 代表取締役社長のメンデス・ラウル氏は、「パスキーはオンライン認証規格である『FIDO(ファイド)2』に準拠した認証だ。FIDO2による認証ではセキュリティキー、スマートフォン、PCなどのデバイスによって生成される『秘密鍵』と『公開鍵』というキーペアを用いて認証を行う」と説明した。

  • ISR 代表取締役社長 メンデス・ラウル氏

    ISR 代表取締役社長 メンデス・ラウル氏

パスキーによる認証では、利用されるデバイスが認証器と呼ばれ、顔や指紋などの生体情報やPINコードによる本人検証が行われる。その検証結果が暗号化されてサーバに送信され、公開鍵で復号して本人認証が完了するという仕組みだ。

  • 「パスキー」による認証のイメージ

    「パスキー」による認証のイメージ

パスキーでは端末内蔵の生体認証器を利用して認証が可能なうえ、端末内部にあるセキュリティチップに認証資格情報が保存される。そのため、フィッシングなどのパスワードを狙ったサイバー攻撃によって認証情報の漏えいや窃取に耐性がある点が特徴だ。

また、同じOSを搭載する端末同士で認証資格情報を同期できるため、端末ごとに認証資格情報を登録する必要がないという。例えば、1つのApple IDでMacOS搭載のPCとiPhoneのサインイン認証が可能だ。

この記事は
Members+会員の方のみ御覧いただけます

ログイン/無料会員登録

会員サービスの詳細はこちら