Okta Japanは4月26日、オンラインでパスワードレス認証のパスキー導入について記者説明会を開催した。説明は、Okta Japa プリンシパルデベロッパーアドボケイトの池原大然氏が行った。
複雑化の一途をたどるパスワード認証
まず、池原氏はパスワード認証の課題として「最小文字数や特殊文字、大文字、小文字の組み合わせが要件となっていることから、複雑化している。また、一般消費者向けのサービスでもアカウントのセキュリティを高める目的でMFA(多要素認証)が採用されているが、MFA提供時には電波がない場所では使えないほか、遅延、SIMスワップの存在、SMS送信コストに加え、フィッシングによる誤入力、通常の認証に他の認証も使うとなるとユーザー体験を損なう可能性もある」との認識を示した。
昨年、同社が実施した調査によると世界の回答者の65%(日本は68%)が管理しなければならないユーザー名とパスワードの数に圧倒されていると回答し、世界の回答者39パーセント(同33%)はユーザー名、パスワードを忘れてログインできないことが月に1回以上あると回答。さらに、世界の回答者の60%(同42%)はログインのプロセスがシンプルで安全、摩擦がなければサービスを購入する可能性が高くなると回答したという。
そのため、昨今ではセキュリティと利便性を求めるユーザー認証としてパスワードレス認証が注目を集めている。同氏は「パスワードレス認証はパスワードの代わりに別の手法を用いてユーザー確認を行う方式。ユーザー自体は記憶・保存する情報ではなく、メール送信されるマジックリンクやワンタイムコード、セキュリティキー、生体情報などがある。しかし、メールやワンタイムコードなどはセキュリティが高いとは言えない」と話す。
公開鍵暗号にもとづくパスキー
そこで、池原氏が提言するものがパスキーだ。パスキーはパスワードを使用しないあらゆるFIDO認証資格情報となり、公開鍵暗号にもとづいている。
同氏は「IDとパスワードを使った場合は認証を行うサーバ側にパスワードが保存される一方、FIDO認証を行う際はサーバ側には公開鍵暗号方式を使った公開鍵が保存され、重要な秘密鍵についてはユーザーの手元にある認証器に保存される。これにより、パスワードが漏えいすればパスワードを使い、悪意のある者がアカウントを乗っ取ることができるが、公開暗号方式の認証を利用すれば万が一サーバ側で流失してしまっても、認証を突破する可能性は低くなる。また、認証情報にはユーザーアカウント、ユーザーID、それを利用するWebサイト、アプリケーションなどが紐づいているため、フィッシングサイトを利用することをブラウザ側で防止できる」と説明した。
現在、パスキーは特定のデバイスに紐づけられ、他のデバイスでは使用できない「デバイス固定パスキー(Device-bound passkeys)」と、異なるデバイス間で共有できる「同期パスキー(Sunced passkeys)」の2種類がある。NIST(米国国立標準技術研究所)では4月に同期が可能な認証器(同期パスキー)の利用に関するガイドラインとして「NIST SP 800-63B」の補足文書を公開している。
パスキーの課題としては、2024年1月にFireFoxがmacOSでiCloudキーチェーンを使用したパスキーに対応したが、OSやブラウザのサポート状況は大半は対応を進めている状況となっている。
さらに、サービスを使うユーザーの環境によっては直接パスキーを作成できないと認識しなければならないため、ユーザーにはパスキーが利用できる他の端末を使い、作成・利用ができるHybrid Transportsの利用の検討や、既存の認証方式を確保しておく検討も必要だという。また、異なるプラットフォーム間での同期といった課題も存在している。
「Okta Customer Identity Cloud」のパスキー機能
サービス提供事業者がパスキー機能を実装する際に考慮すべき点として、池原氏は実装・保守運用コストをどのように捉えるのか、またパスキーを使う場合のログインUIやパスキー登録時のフロー、アカウント回復といったユーザー体験をどのように設計するのかということを挙げている。
同社では、消費者向けサービスの認証基盤「Okta Customer Identity Cloud」でパスキー機能を提供している。特に消費者向けサービスを開発する際に認証機能やUI、シングルサインオン、MFAなどを自社で構築するのではなく、同社のサービスとして活用し、ユーザーの認証を行うというものだ。
コアの機能としてWebのサインアップ、ログインUIを同社が提供する認証サーバで提供する「Universal Login」は開発運用コストを軽減し、セキュリティの向上、認証のトレンドに沿った継続的な機能提供、アプリケーションを変更せずに認証機能を変更することができるという。
無料版を含むすべてのプランで利用でき、2023年9月に早期アクセスを開始し、今年2月に一般提供を開始。機能の有効化をボタン1つで可能とし、要件に合わせた追加設定項目を提供している。設定可能な項目はパスキー認証を開始する方法の「Passley Challenge」、パスキーの段階的な登録を有効化する「Progressive Enrollment」、パスキーのローカル登録を有効化する「Local Enrollment」がある。
一方、パスキーを登録しているデバイスの紛失や保存されているアカウントへのアクセスができなくなった場合、アカウントの回復については、パスキー以外でのフォールバックを導入する必要があるという。
池原氏は「現在、全員がパスキーを利用できるわけではないため、Okta Customer Identity Cloudではパスキーのみの認証を許可していない。そのため、通常のパスワードリセットを用いたアカウント回復手段を提供するほか、セキュリティの懸念については追加の認証を可能する拡張機能を提供し、開発側で追加の本人確認を実施できる手段を提供する」と述べている。
説明会の最後に同氏は「セキュリティを確保しつつ、ユーザーの利便性を損なわない認証方法のニーズはあり、Okta Customer Identity Cloudで提供しているパスキー機能を使用すれば、実装することで保守運用コストの低減、ユーザーのセキュリティと利便性を同時に提供できる」と結んだ。