パスワードの時代は終焉?! 「 パスキー」とは? 利用者と運営サイトの導入メリット | PCI DSS Ready Cloud

パスワードの時代は終焉?! 「 パスキー」とは? 利用者と運営サイトの導入メリット

  • このエントリーをはてなブックマークに追加
パスワードが不要になる「パスキー」の仕組みが世界的に広がり始めている。

会員制サイトやアプリなど、ログインをするにはIDとパスワードが必要というのがこれまでの常識だった。パスキーは、このパスワードを使わずに、確実な認証をするというものだ。パスワードを使いわないのでパスワード漏洩も起こらなくなる。ユーザーにとってはログインが簡単になり、サイト運営者にとってはセキュリティレベルが飛躍的にあがるという仕組みだ。

このパスキーは、国際的な業界団体「FIDOアライアンス」(ファイド)が定めた規格に基づき、アップル、グーグル、マイクロソフトなどのプラットフォーム企業が対応を表明しているため、事実上の標準規格として広がっていくことは確実だ。

例えばYahoo!では、2017年4月から、新規アカウントのパスワードを廃止して、FIDOの規格を参考にパスワードレス認証を始めた。2018年からは既存ユーザーに対してもパスワードを無効にする機能を提供し、現在ではほぼすべての人がパスワードを必要としないログインをするようになっている。ユーザーの利便性が向上するとともに、サイト側ではパスワード漏洩に対する対策が不要になる。

Yahoo!でのログインは次のような手順になる。

1)ログイン画面で、アカウント名を入力する(以前ログインをしていればアカウント名も自動設定される)

2)「次へ」ボタンをタップする(指紋認証、顔認証などが行われる)。
この2つだけだ。特に顔認証の場合、画面を見ていれば勝手に顔認証が行われるため、「次へ」ボタンを押すだけでログインができる感覚だ。非常に便利で、一度パスキーによるログインを経験してしまうと、元のパスワード方式には戻れなくなる。

このパスキーは、ユーザー、サイト運営者の双方に大きなメリットをもたらしてくれる。

ユーザーにとっては次のようなメリットがある。
1)簡単にログインができるようになる。
IDはほとんどの場合、メールアドレスかそれに準じるものにしていることが多いため、楽に覚えることができる。必要なのはそれだけであり、パスワードや二要素認証ということも必要ないため、簡単にログインができるようになる。パスキーそのものが二要素認証の機能を含んでいる。

2)パスワードを管理する必要がなくなる
パスワードの管理はユーザーの大きな悩みになっていた。単純なパスワードではセキュリティが確保できないため、運営側は複雑なパスワードや、サービスごとにパスワードを変えることを推奨している。さらには、定期的にパスワードを変えることも求められる。管理をしなければならないパスワードは日々増えていくが、きちんと管理をしている人は多くない。

3)フィッシング詐欺などの被害がなくなる
フィッシング詐欺は、さまざまな手法で、本物そっくりの偽サイトに誘導して、そこにIDとパスワードを入力させるというものだ。犯行集団は、そこで得たIDとパスワードを使い、本物のサイトになりすましアクセスをし、金品を盗むなどする。しかし、サイト側がパスキーに対応をすると、パスワードそのものがなくなる。そのため、フィッシング詐欺のやりようがなくなるのだ。

この3つのユーザーのメリットが、ほぼそのままサイト運営者のメリットにもつながる。

1)簡単にログインができ、利用者、利用頻度が増える
簡単にログインができるということは、ユーザーから選ばれ、しかも頻繁にログインされるようになる。特にプッシュ通知の反応率がよくなるため、会員に対するマーケティング施策の効果が向上することが期待できる。

2)パスワード忘れ対策が必要なくなる
パスワードを使った認証を採用する場合、パスワード忘れに対する対応が必要となる。一般的には、パスワードをリセットするリンクを登録済みのメールアドレスに送信するというやり方を取るが、さまざまな問題が発生する。登録してあるメールアドレスをそのままにして、新しいメールアドレスを使った場合、ユーザーの視点からは「パスワードのリセットメールが届かない」という不満が生じる。そのため、パスワードをリセットする他の手段を提供したり、サポートセンターを用意するなどの必要が出てくる。
この手順はユーザーにとって複雑で面倒なものであり、パスワードを忘れたことがきっかけとなり、そのサービスの利用をやめてしまうユーザーも少なくないと見られる。パスキーを採用すると、このような離脱も防ぐことができる。

3)ユーザーをフィッシング詐欺から守ることができる
フィッシング詐欺の被害に遭うことは、サイト運営者の責任ではないが、ユーザーを守るために、フィッシング詐欺に関する注意喚起などは行う必要がある。
また、パスワードの漏洩ルートを特定するのは簡単ではなく、ユーザーの不注意によりフィッシング詐欺にあったとしても、サイト運営者の落ち度によってパスワードが漏洩しているのではないかという疑いを持たれることになり、サイトのイメージが悪化をする。パスキーではこのようなリスクがなくなる。

4)個人情報を保持する必要がなくなる
従来のパスワード認証では、パスワード情報を運営サイト側で保持しなければならなかった。もちろん、そのまま保持するのは危険なので、ハッシュ化と呼ばれる処理などをして、流出をしても簡単には利用されないようにしているが、それでも流出の危険性はついてまわる。しかし、パスキーでは後編で説明する公開鍵のみを保持すれば認証が可能になる。公開鍵はその名前のとおり、公開してもかまわない暗号鍵であるため、流出をしても問題はない。つまり、パスキーは、流出して問題になるような情報をそもそも保持しない仕組みなのだ。クレジットカードの番号非保持化と同じように、サイト側の管理負担は軽くなる。

もし、ユーザーのセキュリティ意識が高く、パスワードの管理をしっかりと行い、二要素認証をきちんとしてくれるのであれば、パスワード方式であっても大きな問題は起こらない。しかし、現実には、世の中の人は想像以上に認証関連情報を雑に扱っている。

その実態をよく示しているのが、「インターネットサービス利用者に対する認証方法に関するアンケート第2回調査結果」(フィッシング対策協議会、https://www.antiphishing.jp/)だ。
パスワードの管理方法を尋ねると、複数回答で「記憶に頼っている」人が65.9%もいた。セキュアな管理方法としてぎりぎり許容ができる「スマートフォン内のメモで管理」は20.3%、推奨できる方法であるブラウザに記憶、管理ソフトを使うはそれぞれ19.1%、6.9%しかいなかった。つまり、2/3の人が記憶で管理をしており、パスワード忘れを起こす可能性がある。

ログインに対する不満、困ったことを複数回答で尋ねると、上位から「ログインできない」(42.6%)、「パスワードが増えすぎる」(36.2%)、「二要素認証が面倒」(29.3%)となる、「ログインできない」の理由のほとんどはパスワードの入力間違いであるから、パスキーを導入することで、この上位3つの不満を一気に解決することが可能だ。

また、「パスワードの入力間違いなどでアカウントがロックされたことがあるか」という質問には49.2%の人が「ある」と回答している。近年のビジネス系サービスでは、不正アクセスを防ぐために、AIによりアクセス状況を判断して、アカウントの凍結を積極的に行うようになっている。例えば、普段とは異なる位置情報、普段とは異なる時間帯でのアクセスでは、パスワードを数回間違えただけでアカウントが凍結されることがある。半分程度の人がこのような経験をしているため、多くの人が「認証は面倒くさい、不安」という意識を持っていると考えられる。

実際、「本人認証の手続きが面倒で利用をやめたことがあるか」という問いには、複数回答で「面倒でやめたことがある」が43.7%、「複雑でやり方が理解できずやめたことがある」が21.4%にもなった。「ない」と回答したのはわずか37.1%で、6割以上の人がサービスの利用をやめるほど、認証の面倒さ、複雑さがハードルになっていることがわかる。もはや、認証方法はサービス品質の重要な要素のひとつだと考えるべきだ。

このアンケート調査には、各サービスごとにどのような方法で本人認証をしているかを尋ねた結果が掲載されている。その中から「認証なし」「IDとパスワードのみ」の数値だけを抽出して整理をすると、「IDパスワードのみ(二要素認証もなし)」の割合が高いだけでなく、「認証なし」の割合も高いということがわかる。「認証なし」とはゲストアクセスなどのことで、個人情報を設定、入力しない分、こちらの方が安心だと考えている人も多い。つまり、多くの人は、ゲストアクセスが可能な場合はそれを利用し、ゲストアクセス機能がない場合はしたかなくIDとパスワードを登録するという感覚であると思われる。二要素認証や生体認証を登録するのはネットバンキングや証券などの金融系サービスに限られている。

パスキーはこのようなパスワードの問題を一気に解決することができ、ユーザーにとってもサイト運営者にとっても大きなメリットをもたらしてくれる。
ただし、問題は新しい仕組みであるためにユーザーの認知がまだ広まっていないことだ。このアンケートでは、過去の調査との整合性をとるために、「パスキー」という言葉ではなく、より広い概念の「パスワードレス」について尋ねているが、それでも「理解している」は24.0%であり、パスワードの85.7%と比べて、認知率が大きく劣っている。また、「パスワードレス」という言い方は、簡易型認証であるかのようなイメージを与え、セキュリティレベルが劣るのではないかという誤解を与えかねない。そこで「パスキー」という名称が用いられるようになっているが、今度は新しい認証方式であることから、二要素認証などよりも複雑で面倒なのではないかという誤解を生んでしまっているところがある。

このような誤解を解消して、パスキーに対する認知を広げていく必要がある。そこで、後編では、パスキーの技術的な仕組みについてご紹介する。(執筆:牧野 武文氏)

図1:Yahoo!アプリでのログイン画面。以前ログインしたことがあれば、アカウント名も自動的に表示されるため、「次へ」ボタンを押すだけでログインできる。指紋認証または顔認証が行われる。黒マスク部分にアカウント名が表示されている。



図2:パスワードの管理方法を複数回答で尋ねると、「記憶に頼る」という回答が最も多くなった。推奨される「スマホ内のメモ」「ブラウザに記憶」「管理ソフト」などはいずれも20%以下でしかない。「インターネットサービス利用者に対する認証方法に関するアンケート第2回調査結果」(フィッシング対策協議会)より作成。



図3:ログインでの不満を尋ねると、上位にきたのはパスワードに関するものばかりだった。パスキーを導入すると、この4つの不満がすべて解消される。



図4:パスワードの入力間違いなどで、アカウントがロックされた経験がある人は、半数近くにものぼった。


図5:本人認証の手続きが面倒だという理由で、サービスの利用をやめたことがある人の経験を43.7%の人が持っている。認証手続きは、もはやサービス品質の重要な要素になっている。



図6:各サービスごとに「IDパスワード認証」「認証なし」で利用している割合を尋ねた結果。多くの人が、認証なしで利用できるサービスについては認証をせずに利用していることがわかる。


図7:認証関係の用語の認知率を尋ねた結果。パスワードレスは24.0%の人しか理解しておらず、他の用語に比べて認知率がまだ低い。

この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加