2023.01.24

パスワードが完全に不要になる「パスキー」 様変わりする本人確認の仕組み

  • このエントリーをはてなブックマークに追加
いよいよ「パスワードが完全に不要になる」パスキーが広がり始める。

これまでアカウント作成とパスワードの入力が必要だったものを、スマートフォンの指紋認証や顔認証で本人確認をし、ログインができるというものだ。アカウントの作成やパスワードの設定、管理が不要になる。Apple、Google、Microsoftという主要ブラットフォーマーが対応をしたことにより、広く普及するのは確実だと見られている。すでにYahoo! JAPANのサイトがパスキーに対応をしている。

Yahoo! JAPAN(https://www.yahoo.co.jp/)では、もはやアカウントやパスワードの発行も停止している。ログインボタンを押してから、スマホの指紋認証、顔認証を実行するだけでログインができる。実に簡単だ。「パスワードを人に見られないように管理をする」「安全性をあげるためにパスワードを難しくする、定期的に変える」というパスワード管理も不要になる。

このパスキーは、ECなどの会員サイトにとって非常に大きなインパクトがある。運営側にとっては次のようなメリットがある。

1:パスワードの管理、サポートが不要になる。
利用者の一定数は「パスワードを忘れてしまった」というトラブルを起こすことがある。このような利用者のために、ECのような消費者サービスではコールセンターを設置することが必須となり、パスワードを安全にリセットする仕組みも提供しなけれならない。しかし、パスキーに対応すると、そもそもパスワードというものが存在しないため、ログイン関連のトラブルに対するサポートは不要になる。

2:個人情報漏洩のリスクが減る
ECなどの会員制サイトを運用するには、常に利用者の個人情報が漏洩しないように最大限の注意を払わなければならない。どれだけ対策をしても、漏洩インシデントをゼロにすることはできない。しかし、パスワードそのものが存在しないので漏洩をするということが起こらない。多くのECサイトでは、クレジットカードの非保持化またはPCI DSS準拠をしているはずなので、パスワードとクレジットカード番号という重要な顧客個人情報の漏洩を心配する必要が限りなくゼロに近くなる。

3:なりすまし被害がなくなる
会員制サイトでは、従来はアカウントとパスワードによる本人確認であったため、その情報を知っていれば、他人がなりすましてログインすることが可能だった。しかし、パスキーでは本人のスマホで指紋認証または顔認証が必要となるため、なりすましでログインすることはきわめて難しくなる。逆に言うと、家族でひとつのアカウントを共有するということもできなくなるため、家族アカウントのような仕組みが必要になってくる。

4:フィッシング詐欺の被害がなくなる
フィッシング詐欺は、有名サイトと誤解させる内容のショートメッセージを送り、偽サイトにアクセスをさせ、本人にパスワードやクレジットカード番号を入力させ、個人情報を盗む手口だ。例えば、「プライム会員の有効期限が切れています。アマソン」などと有名サイトと誤解をさせて、偽サイトのリンクをタップさせる。
フィッシング詐欺は、あくまでも本人の責任で、サイト側に落ち度はないが、道義的には会員に向けて注意喚起をする、フィッシング詐欺の起こりづらいサイトの仕組みにするなどの対策が求められる。

しかし、パスキーに対応しているサイトでは、万が一偽サイトに誘導されたとしても、偽サイトにはログインができない。また、利用者から盗める情報も存在しない。指紋認証や顔認証で利用される指紋データ、顔データはスマホの外には送信されない仕組みになっているからだ。つまり、フィッシング詐欺が激減をする。


利用者にとっても、さまざまなメリットがある。

1:ログインが簡単になる
ログインは、指紋認証または顔認証をするだけとなり、非常に簡単になる。スマホのロック解除をする感覚だ。

2:パスワードの管理が不要になる
新しいサイトの会員登録をするときにはアカウント名とパスワードを決めなけれならず、これを煩わしいと感じている消費者は多い。なぜなら、「8文字以上」「大文字、小文字、数字、記号を使う」「他のサイトと同じパスワードは使わない」など条件が多く、パスワードを決めた後は必ずどこかにメモをつくっておかなければ忘れてしまう。このパスワード決めのところで登録をやめてしまう離脱も起きている。一方、パスキーであれば指紋認証、顔認証でアカウントが作成できる。

3:二要素認証も不要になる
セキュリティーを強化するために多くのサイトが採用をしているのが二要素認証だ。ログインをしようとすると、サイト側が登録されている携帯電話番号に対して、一時使用の検証コード(4桁の数字が一般的)を送る。利用者はこの検証コードを見て、サイトに入力することでログインが完了するというものだ。携帯電話番号の持ち主であるということが確認でき、なりすまし被害などを防ぐことができる。

フィッシング対策協議会は、利用者の認証に関する意識調査「インターネットサービス利用者に対する「認証方法」に関するアンケート調査結果」を公開している。
この調査によると、パスワードの管理法として、「記憶している」「紙のメモ帳に記録」というあまり推奨ができない方法をとっている人が多く、「ブラウザーに記憶させる」「管理ソフトを使用」という推奨される方法をとっている人は20%以下という低さになった。

結局、多くの人は「パスワードを管理する必要がなく」「本人認証の手順が簡単なもの」を求めている。スマホのロック解除感覚でログインができるパスキーは、まさに利用者から望まれていた本人認証のやり方だ。


パスキーの本人確認の原理は意外に単純だ。

1:ユーザー登録をすると、公開鍵暗号の組みが生成され、公開鍵はサイト側が、秘密鍵は利用者側(のスマホ)に保存される。公開鍵暗号は対になった鍵のペアのことで、ここでは、サイト側が保持をする公開鍵は「秘密の箱を開ける専用鍵」、利用者側が保持をする秘密鍵は「秘密の箱に鍵をかける専用鍵」と考えていただきたい。

2:ログインが試みられると、サイトはログインを試みた人にチャレンジと呼ばれる文字列を送信する。この文字列の中身は重要ではない。

3:チャレンジ文字列を受け取った利用者側では、指紋認証または顔認証をする。

4:本人確認が完了すると、チャレンジ文字列は秘密鍵で秘密の箱に鍵をかけてしまわれる。他の人がこの箱を開けることはできない。

5:秘密の箱を受け取ったサイト側では、秘密の箱を公開鍵で開ける。中から出てきたチャレンジ文字列が、サイトが送った文字列と同じであれば、間違いなく本人がアクセスしてきていることになり、ログインを許可する。
重要なのは、指紋データや顔データをサイトに送るのではないといことだ。送るのは秘密鍵で箱に入れたチャレンジ文字列であり、送ったものと同じものが送り返されることで本人かどうかを確認している(厳密な表現をすれば、利用者が受け取ったチャレンジ文字列に秘密鍵で署名をし、サイト側では公開鍵を使ってその有効性を検証するということになる)。


もちろん、パスキーに対応するには運営するウェブシステムの改修が必要となる。そのため、すぐにすべてのサイトに普及をするわけではなく、何年かをかけて徐々に普及をしていくことになる。

しかし、考えておかなければならないのは、その間はパスキー対応のサイトとアカウントとパスワードを入力しなければならないサイトが混在をすることになると言うことだ。

そのとき、アンケート調査で「パスワードの管理は記憶や紙で」「二要素認証は面倒」と答えている多くの人は、パスキー非対応のサイトへの会員登録を避けたり、登録をしても利用する頻度が落ちることが予想される。誰だって、同じようなサービスであれば、簡単にログインして使える方を選ぶものだ。遠くのスーパーまで行けば安く買えることがわかっていても、近くのコンビニで買ってしまうのと同じだ。

先ほどの調査では、サービスを利用するときに、アカウント登録をする中で本人認証の手順が面倒だったり、理解できなくてやめた経験がある人は52.1%にものぼった。これはパスキーがまだ存在しない時代に調査されたものであるため、パスキーがある程度の広がりを見せ、指紋認証や顔認証だけでログインができる経験をしてしまうと、さらに煩わしさのコントラストが高まることになり、本人確認が原因でアカウント登録を途中でやめる人の率は高くなっていくことが予想される。


パスキーに対応するための開発工数そのものは多くはないが、セキュリティー機能であるために検証には手間がかかるため、開発費用は決して安くない。しかし、利用者の利用率に直接関わる機能になるため、サイト運営者は急いで情報収集を進めることをお勧めする。(執筆:牧野 武文氏)




■図1:Yahoo! JAPANはすでにパスキーに対応をしている。設定から、指紋認証や顔認証が可能な端末(スマートフォン、タブレット、PC)を登録することでパスキーが利用できるようになる。以後は、指紋認証、顔認証だけでログインができる。




■図2:パスキーでアカウント登録したサイトのログイン画面にアクセスをすると、アカウント名やパスワードを入れなくても、パスキーを促すポップアップウィンドウが現れる。ここで指紋認証や顔認証をするだけでログインができる。




■図3:パスワードをどのように管理をしているか尋ねた質問の回答。「記憶」「紙のメモ」というあまり推奨できない方法をとっている人が圧倒的に多い。一方、ブラウザーやデバイスに記憶させる、管理ソフトを使うという推奨できる方法をとっている人は少数派だった。「インターネットサービス利用者に対する「認証方法」に関するアンケート調査結果」(フィッシング対策協議会)




■図4:本人認証について不満に感じたり、嫌な思いをした経験に対する回答では、「ログインできない」が圧倒的に多いが、「二要素認証が面倒」という回答も22.8%あった。「インターネットサービス利用者に対する「認証方法」に関するアンケート調査結果」(フィッシング対策協議会)



■図5:本人確認の手順が面倒でアカウント登録をやめたことがある経験を尋ねた問いに対する回答では、52.1%の人が「やめた経験がある」と答えている。「インターネットサービス利用者に対する「認証方法」に関するアンケート調査結果」(フィッシング対策協議会)



この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加