拡がるパスワードレス認証「パスキー」の今　導入支援に向け日本語サイト公開

生体認証によるログインを実現するパスキーの開発・普及を行う業界団体FIDOアライアンスは、2024年の状況や新サービスの報告を行う報道関係者向けの説明会を開催した。世界では150億を超えるアカウントでパスキーが利用可能になっており、さらなる普及を進めるために、パスキー導入を計画する事業者などを支援するサイトの日本語版も公開した。

パスキー普及を目指すFIDOアライアンス。(写真左から)FIDO Japan WG副座長メルカリ執行役員Group CISO市原尚久氏、同副座長LINEヤフーLY会員サービス統括本部ID本部本部長・伊藤雄哉氏、同座長NTTドコモチーフセキュリティアーキテクト森山光一氏、FIDOアライアンスエグゼクティブディレクター兼CEOアンドリュー・シキア氏、FIDOアライアンス執行評議会ボードメンバーYubico CTOクリストファー・ハレル氏、FIDOアライアンスシニア・ディレクタージューン・リー氏、FIDOアライアンスAPACマーケット開発シニアマネージャー土屋敦裕氏

拡大する「パスキー」とはなにか

パスキーは、Webサービスのログインなどユーザー認証において、複数デバイスで共通して生体認証を使うための標準仕様。FIDOアライアンスとWeb標準規格を策定するW3Cが共同して開発しており、パスワードを使わないことで利便性が向上するとともに、特にフィッシング詐欺に対して強いという点が特徴とされている。

FIDOアライアンスの参画企業。ユーザー認証においてフィッシング詐欺に強く利便性も向上することから多くの企業が採用しており、「最近は新規の採用例を追いかけるのが難しくなってきた」(アンドリュー・シキア氏)というほど

FIDOアライアンスは、生体認証を使ったユーザー認証にフォーカスして技術開発。2015年にはNTTドコモが参画し、少しずつ利用が増えてきた。2022年には複数のデバイス間で認証情報を同期できるパスキーが開発され、利用がさらに拡大した。

シキア氏が「10年以上、変更していない」というスライド

特にGoogle、Apple、Microsoftというプラットフォーマーが対応を表明したことで普及が進んだ。FIDOアライアンスのエグゼクティブディレクターでCEOのアンドリュー・シキア氏は、「パスキーは事実上、あらゆるコンピューター、デバイス、OS、ブラウザなどで対応されている」とアピールする。

パスキーの説明。それまでFIDO認証と呼ばれてきた技術におけるFIDO認証情報(FIDOクレデンシャル)の呼称として、このクレデンシャルの複数デバイス間の同期に関する仕様も備えている

現在はブラウザやOSのサポートが広がり、多くの環境で動作するようになった

たとえばAmazonは2023年10月から対応。すでに1億7,500万アカウントがパスキーを登録し、ログイン成功率が改善しているという。ソニー・インタラクティブエンタテインメント(SIE)ではパスキーの採用によってサインインに要する時間が24％削減。サポートコストの低減などを実現した。

グローバルでの事例。AmazonやGoogleなど利用数も多く、各社とも効果が出ているという

Googleは8億を超えるアカウントがパスキーを利用しており、サインイン成功率は30％向上、サインイン時間は平均20％改善で、63％の利用者が満足しているという。日本では、KDDIで1,300万人、LINEヤフーで2,700万人、メルカリで700万人など、利用者も拡大。ドコモもdアカウント認証のパスキー利用率が昨年の37％から50％に拡大して、認証の半数がパスキーとなった。安全性に関しても、ドコモのオンラインショップでは2年以上身に覚えのない購入が発生していないという。

日本の事例。各社とも利用者数が伸びており、ドコモのように不正利用も0を維持している例もある

iPhoneで作ったパスキーをAndroidに。共有の新仕様は「'25年半ばにも正式版にしたい」

パスキーは、認証するための情報(クレデンシャル)をGoogle、Apple、Microsoftというプラットフォーマーのサービスに保存するため、「大手IT企業にユーザーがロックインされる」という懸念もあったとシキア氏は明かす。

しかし、仕様の改善も含めて、2024年には1PasswordやBitwardenなどのパスワード管理ツールでパスキーが保管できるようになった。さらに10月にはドラフト版ながらクレデンシャルを交換するための「クレデンシャル交換プロトコル(CXP)」、「クレデンシャル交換フォーマット(CXF)」の仕様を公開。これによってパスキーを別のプラットフォームに移行できるようになる。たとえばiPhoneで作成したパスキーをAndroidに移行できるようになる。

シキア氏は「来年半ばにも正式版にしたい」と話すが、森山氏によると検証が必要な事項も多いため、時期的にはまだ未確定のようだ。

保管してあるクレデンシャルを移行できる新たな仕様も策定している

政府もパスキーに注目、産官学連携の取り組みも

グローバルでは、さらにパスキーの応用範囲が拡大している。欧州ではデジタルIDウォレット(EUDIW)の取り組みが進められているが、パスキーの利用も検討されている。決済方面ではVisaやMastercardの国際ブランドがパスキーを採用したサービスを展開しようとしている。Samsungはテレビなどのデジタルホーム製品でのパスキー対応を宣言。自動車業界でも車内の支払いなどでのパスキー利用を想定しているという。

グローバルにおける新たなパスキーの利用状況。現在、各業界で取り組みが進められている

日本では、FIDOアライアンスが警察庁サイバー警察局とも対話。結果として「キャッシュレス社会の安全・安心の確保に関する検討会」報告書にパスキーが言及され、さらに政府の「国民を詐欺から守るための総合対策」にもパスキーの話題が盛り込まれた。

日本では警察庁との対話からパスキーが盛り込まれた

そこからさらに政府の対策にもパスキーが言及された。こうした政府の取り組みに技術名が直接名指しされるのは珍しい

国内での利用範囲の拡大に繋げる取り組みとして「パスキーハッカソン」を実施。慶應義塾大学や早稲田大学の学生や企業が参加して大きな盛り上がりになったという。さらに情報セキュリティ大学大学院の稲葉緑准教授のパスキー利用を促すためのセキュリティ心理学的アプローチといった研究も行われていて、産学官で連携した取り組みが行われている。

パスキーハッカソンでは慶應義塾大学と早稲田大学がそれぞれ受賞している

こうした取り組みの中で、FIDOアライアンスは10月に「パスキー・セントラル」と呼ばれるサイトを立ち上げた。「膨大な研究開発の集大成で、パスキーにおけるあらゆる事柄について独自の信頼性の高い指針を提供する」とシキア氏は話す。このサイトからパスキー導入や運用の支援など、さまざまな情報を提供。12月12日からはこれを日本語化して提供を開始した。

FIDOアライアンスが立ち上げたパスキー・セントラル。パスキーに関する情報を集約している

12月12日からパスキー・セントラルを日本語化

日本の状況について、ドコモのチーフセキュリティアーキテクトである森山光一氏は、FIDO認証の導入状況について23年12月に14社だったのが、24年12月には27社まで拡大。さらに25年2月には日本経済新聞の日経IDがパスキーサポートするため、ちょうど2倍の28社に拡大している点をアピールする。

2023年12月の時点での日本での対応状況

2024年12月にはほぼ倍増。掲載されている事業者以外だと任天堂も対応している

さらに日本経済新聞社の日経IDでも対応が予定されている

「本当にパスワードのいらない世界が実現しつつある」

さらなる利用者の拡大に向けた課題についてシキア氏は、「課題はUX」だと話す。仕様や導入企業の中でも改善も進められているほか、「パスキー・セントラル」にはデザインや設計のガイドラインも含まれているという。

パスキー自体はユーザー認証のための仕様ではあるが、身元確認の重要性も認識していると森山氏。FIDOアライアンスにはIDWG(Identity Verification and Binding Working Group)もあり、身元確認に関する取り組みも進められているという。日本ではマイナンバーカード機能がiPhoneにも搭載されることになっており、パスキーとの組み合わせによって身元確認とユーザー認証がより利便性高く厳格に実施できると期待されている。