セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場技術や仕組みパスキーの使い方

パスキーの使い方

2024.07.29 技術や仕組み

パスキーとは
パスワードレスへのこれまでの試み
パスキーの技術的な要素
パスキーを実際に使ってみる：ニンテンドーアカウントにて

パスキーとは

パスキーはパスワードレス認証の一つであり、現在普及が進んでいます。ニンテンドーアカウントがパスキーに対応したことをニュースなどでご覧になった方もいるでしょう。この記事ではパスキーの技術的な仕組みをかいつまんで説明するとともに、パスキーを使う際のポイントを紹介します。

パスワードレスへのこれまでの試み

パスワードレスと言いましたが、これは言葉の通り「パスワードが不要な認証」のことです。

パスワードは歴史があり幅広く使われている認証方式ですが、パスワードを決めるのが本人次第であるため、名前や生年月日に由来する弱いパスワードを使われてしまったり、使いまわしをされることを本質的に防げないということがあります。パスワードの使いまわしは、１つのサービスの脆弱性でパスワードが漏えいしてしまった際のリスクを増大させます。

また、フィッシングに弱いのもパスワードの難点です。フィッシングでは、ログイン画面を装った画面を被害者に見せ、ログインを試行させてユーザー名とパスワードの組を抜き取ります。このときフィッシングサイトは実際のサイトとドメインが異なりますが、攻撃者はそれに気づきにくいように様々な細工をしますので、「気を付ける」だけでは被害を防ぐことは困難です。

そんなわけでパスワードを用いない認証、つまりパスワードレス認証については、これまでさまざま試みられてきましたが、盗聴など他の攻撃に弱い電子メールやSMSなどに依存していたり、特別な機器などが必要でコストがかかったりするなど、どれも決め手にかけるものでした。

そこで新たに登場したパスワードレスのソリューションがパスキーです。では、パスキーはどんなもので、既存の方法のどこを改善したものでしょう？

パスキーの技術的な要素

パスキーの技術的な要素にFIDO 2（ファイドツー；Fast Identity Online）があります。FIDO2は公開鍵暗号を用いた電子署名とデバイス認証の組み合わせです。まずはこれを見ていきましょう。

公開鍵暗号は、「公開鍵」と「秘密鍵」という二つの鍵のペアを用いた暗号化方式です。秘密鍵を手元に置き、公開鍵を言葉の通り「公開」して、秘密鍵で署名したコンテンツを公開鍵で検証するのが公開鍵を用いた電子署名です。くわしくは「組織の身分を証明、電子証明書を利用した様々な技術」を参照してください。

FIDO2ではユーザーが利用するデバイス、例えばスマートフォンに秘密鍵をおき、サービス提供側に公開鍵を配置します。あるサービスを使いたい場合、サービスは「チャレンジ」と呼ばれるデータ列をデバイスに送ります。チャレンジを受け取ったデバイス側では生体認証でロックを解除します。ロックが解除できたということは生体認証をパスしたということなので、秘密鍵のアクセスが許可されます。これを用いてチャレンジに署名し、サービス側に返送します。サービスはこれを受け取って公開鍵で署名を検証して、OKならばサービスへのアクセスを許可します。

公開鍵と秘密鍵のペアはサービスごと（ドメインごと）に用意されるので、フィッシング耐性が高いことがFIDO2の特徴です。また生体認証はローカルで行われるので認証情報がネットワークに載って流出することがないのもポイントです。

しかし、FIDO2認証では、デバイスごとに鍵ペアを持つことになるため、デバイスの紛失や機種変更に伴って煩雑な手続きを要することが課題です。そこでパスキーです。
パスキーは、「秘密鍵（の一部）を信頼できるクラウドに預けることで、FIDO2の利便性を向上した」認証システムです。ここで信頼できるクラウドというのはAppleやGoogleといったプラットフォームが提供するものです。

パスキーを実際に使ってみる：ニンテンドーアカウントにて

パスキーはGoogleやAndroidといったプラットフォーマーのアカウントだけでなく、サービス範囲が拡大しています。そんな中で、"ニンテンドーアカウントがパスキーに対応した"というニュースをご覧になった方もいらっしゃるかもしれません。そんなわけで、ニンテンドーアカウントでパスキーを使うやり方を紹介してみましょう。

まずお手持ちのパスキー対応のデバイス（最新のAndroidまたはiPhoneであれば問題ないはずです）で、ニンテンドーアカウントでログインします。続いて「ログインとセキュリティ」から「パスキー」に行って、「新しくパスキーを設定」を押します。するとメールアドレスに認証コードが飛びますので、それを入力すると「パスキーの設定」画面に飛びます。そこでサインインするアカウントを選んで「続行」すると画面ロックの解除を求められますので、生体認証（指紋認証や顔認証）でロックを解除します。これでパスキーが設定されました。

次回以降、同じデバイスでログインするときには「パスキーでログイン」を選んでアカウントを選び、画面ロックを解除すればログインできるようになります。

さて、ニンテンドーアカウントはスマホやPCだけでなく、ニンテンドースイッチからも利用することができます。この場合はどうするかというと、「スマートフォンでパスワードの再入力」を選んで表示されるQRコードをパスキーを設定したスマートフォンで読み取り、「パスキーでログイン」を選ぶと画面ロックの解除が求められるので解除すると、スイッチ側の画面が進み、ログイン状態になります。

ニンテンドースイッチはFIDO2に対応したデバイスではないですが、このようなデバイスであってもスマホを認証機として利用することで、パスワードレス認証の恩恵が受けられるというわけです。

このように便利で安全なパスキー。これからも広く利用できるサービスが広がっていくことが予想されます。もし生体認証ができないスマートフォンをお持ちの方は、これを機に機種変更を検討してパスキーの恩恵を受けられてはどうでしょうか。

この記事の著者おがさわらなるひこ

2015年より株式会社SHIFTにてソフトウェアテスト自動化の顧客導入支援・プラットフォーム開発に従事。加えてSHIFT SECURITY設立に兼務で参画し、初期の標準化や教育などを担当。2019年に同社専任になってからは、開発者向けのソフトウェアセキュリティサービス、スマートフォンアプリ診断手法および社内ツール開発などを主な業務とする。個人としては主にデスクトップ領域のオープンソースソフトウェアの愛好家であり、翻訳やバグ報告、雑誌やWeb媒体への執筆、イベントへの登壇なども行う。隠れた趣味はリバーカヤック。