セキュリティの
学び場

クラウドサービスとパスワード認証

メールやSNS、ネットバンキング等のクラウドサービスを利用する際には必ず利用者本人である事を確認する「認証」があります。多くの場合、メールアドレスのような「アカウントID」と「パスワード」で認証を行いますが、このような認証を「パスワード認証」と呼びます。

パスワード認証は「パスワードは本人以外知らない」事を前提とした「知識認証」の一種です。パスワード認証は現状、最も広く利用されている認証方式ですが、以下のような問題が知られています。

• 簡単なパスワードは破られやすい
• 使いまわしをすると「弱いサービス」を起点に被害が拡大する
• 攻撃者のサイト（フィッシングサイト）で入力すると簡単に奪われる

特に「簡単なパスワード」と「使いまわし」の問題は利便性とのトレードオフが発生します。

多くのサービスを利用する昨今では「全てのサービスで異なる複雑なパスワードを設定して全て記憶する」ことは事実上不可能です。このようなパスワードの呪縛を解決するために「パスワードマネージャー」が生まれましたが、「クラウド型パスワードマネージャーからの情報漏えい」や「弱いパスワードで認証していたパスワードマネージャーの侵害」などの問題も報告されており、より根本的な解決が模索されています。

パスワードレス認証とは

パスワードの呪縛を根本的に解決するためには「パスワードに依らない認証」が必要になります。このような認証をまとめて「パスワードレス認証」と呼びます。パスワードレス認証には以下のような多くの方法があります。

• 生体認証：指紋や静脈など、個人毎に異なる情報を用いた認証
• 所持認証：本人のみが所持するデバイス（スマホ や ハードウェアトークン）を使った認証
• マジックリンク：本人のメールやSNS等へ認証用のURLを送信する認証

ただし、全てのパスワードレス認証が安全な訳ではありません。パスワードレス認証のセキュリティは「設計と実装」と「認証に用いるサービスやデバイスの信頼性」に大きく依存します。例えば、近年は携帯電話番号を乗っ取る攻撃が知られており、携帯電話のSMSサービスに依存するマジックリンクはその影響を受けます。

パスキーとは

このような中、「安全なパスワードレス認証の共通の実装」として生まれたのがパスキーです。正しくはFIDO（ファイド）アライアンスが定める「マルチデバイス対応FIDO認証資格情報」ですが、親しみやすい名前として「パスキー」という通称が使われています。

パスキーの特徴として以下が挙げられます。

• クラウドサービス開発者にパスキー認証の仕組みが提供されている
• 利用者はスマホ（Android/iOS）やPC（Windows/macOS）だけで簡単に認証できる
• クラウド型パスワードマネージャーと異なり、認証情報はローカル（スマホ等）で管理されるので紛失以外での漏えいリスクが小さい
• 紛失時のリスク低減策（追加の生体認証など）等も定められている

クラウドサービスの提供者（開発者）からすると、これまで、パスワードレス認証を独自に設計・実装する必要がありましたが、パスキーを採用することで容易に「安全なパスワードレス認証」が実現できるようになります。

ユーザーから見ても、普段利用するスマホやPCを利用して安全・簡単にクラウドサービスを利用できるようになります。

2022年には有名なパスワードマネージャーサービスで情報漏えいが発生する等、パスワードレス認証が大きく注目されています。今後、パスキーは認証技術において、ますます重要な技術になると考えられます。