より高度な新しい認証方法
パスキーは多要素認証の一種であり、公開鍵暗号に加えて生体認証 (指紋認証、顔認識など) またはデバイス PIN を使用してアカウント所有者の身元を確認するしくみです。パスキーは、従来方式のパスワードを代替することができます。
パスキーとは
パスキーの概要と、パスキーが従来のパスワードよりも好ましい理由、パスキーがサイバーセキュリティを変えつつある状況について説明します。
パスキーは多要素認証の一種であり、公開鍵暗号に加えて生体認証 (指紋認証、顔認識など) またはデバイス PIN を使用してアカウント所有者の身元を確認するしくみです。パスキーは、従来方式のパスワードを代替することができます。
重要なポイント
- パスキーは人とデバイスごとに異なるものであり、個人と組織にとって、オンライン アカウントに安全にサインインするための簡単で便利な手段となります。
- パスキーには、フィッシング攻撃への防御力を高める効果、アカウント乗っ取りリスクの軽減効果、規制へのコンプライアンス改善効果など、セキュリティ上のさまざまなメリットがあります。
- パスキーは複数種類のシステムやデバイスに対応でき、既にあるセキュリティ インフラストラクチャへの統合も可能です。
- パスキーの導入作業は、アセスメントや計画立案からトレーニングや意識向上までを含む 5 つのフェーズを経て進められます。
- パスキーの普及が進む中で、世の中の組織は、変化に対する従業員の抵抗感、相互運用性の問題や、導入にまつわるその他の課題を克服する方法を見出しつつあります。
パスキーによるサイバーセキュリティの強化
パスキーの登場以前、ほとんどの多要素認証形式は、パスワードとの組み合わせによって使用されていました。たとえば、アカウントのパスワードが入力された後、短時間で無効になる ID 確認用のワンタイム コードを、認証アプリまたは SMS 経由で提供する方法などがあります。パスキー認証を使用すると、パスワードや追加の認証なしで、オンライン アカウントに安全にサインインできます。パスワードと違って、パスキーは人とデバイスごとにすべて異なるため、サイバー攻撃者が標的にすることは格段に難しくなります。
必然的に、アクセス制御を改善する方策として、多くの組織が従来方式のパスワードからパスキーへの移行を進めています。パスキーはセキュリティがより強力であり、組織のコンプライアンス要件を満たすのに役立ち、また、物理的な操作を要求することが追加の保護レイヤーとして働きます。
過去に例のない深刻さでフィッシングやデータ侵害などのサイバー脅威が蔓延する中、パスキーによる安全な認証方法が登場したことは、サイバーセキュリティにおける大きな進歩です。
パスキーのセキュリティ上の利点
堅牢なパスワード保護の方策が導入されている場合であっても、パスキーには、従来方式のパスワードを上回るセキュリティ上のメリットが複数あります。ここでは、パスキーを使用することで得られるセキュリティ上の大きなメリットをいくつか紹介します。
物理的な所持が要求される
パスキーはユーザーごと、デバイスごとに異なるため、ハッカーがパスキーを推測することや盗むことは、ほぼ不可能です。ハッカーが何らかの方法でパスキーを知り得たとしても、実際に使用するには、当該ユーザーのデバイスを物理的に操作できる必要があります。
フィッシング攻撃に対する保護の強化
パスキーはフィッシング攻撃に対して耐性を発揮します。パスワードは誰にでも推測されて任意のデバイスに入力される可能性がありますが、パスキーは、特定のデバイスを物理的に所持していないと使用できないからです。パスキーを使用している場合、万一フィッシングの被害に遭っても、攻撃者がアカウントにアクセスするには、当該ユーザーのデバイスにのみ保存されている物理的なパスキーを使用する必要があります。このため、パスキーを使用すると、ログインのセキュリティ、メールのセキュリティ、および全体的なセキュリティを大幅に改善できます。
アカウント乗っ取りのリスクを軽減
パスキーでは、物理的な所持要件と強力なセキュリティ機能により、従来のパスワードベースの認証方法に比べ、アカウントの乗っ取りに遭うリスクを軽減できます。パスキーが侵害された場合も、攻撃者が認証プロセスを完了するには、そのパスキーに関連付けられたデバイスを物理的に操作する必要があります。
セキュリティ基準への準拠
パスキーでは、金融、医療、政府機関など規制対象となる業界のセキュリティ基準とコンプライアンス要件を多くの場合に満たし、または上回ることができます。その堅牢なセキュリティ機能は、機密データの保護や業界特有の規制に対するコンプライアンスの実現に適しています。また、パスキーを OAuth と組み合わせると、機密情報の侵害を発生させることなくアプリとサービスの間のアクセスに承認を付与することができます。
回復のセキュリティ
従来方式のサインイン資格情報では、資格情報を紛失したユーザーがアカウントへのアクセスを回復するには、多くの場合、パスワードの再設定や、何らかの形式の 2 要素認証が必要になります。一方、パスキーは当該ユーザーのデバイス間で安全に同期できます。パスキーを同期しているデバイスを紛失した場合、ユーザーは別のデバイスを使用してアカウントへのアクセスを回復できます。
パスキーの互換性と統合性
パスキーは多種多様なシステムやデバイスに対応でき、互換性の幅はいっそう広がりつつあります。Microsoft、Google、Apple の製品やサービスには、既にパスキーが統合され始めています。このため、以下の種類を含めたさまざまなデバイスで、パスキーによるアカウント保護が可能になっています。
- Windows デバイス。
- iOS 16 以降の iPhone および iPad。
- macOS 13 以降のコンピューター。
- Android デバイス。
パスキーの実装: 理論から実践へ
セキュリティと利便性の改善を目的として、多くの組織が従来方式のパスワードからパスキーへの移行を進めています。パスキーを実装するプロセスは、以下に示す 5 つのフェーズに分けることができます。
1. アセスメントと計画。 このフェーズでは、組織における現行のパスワード管理方法、セキュリティ ニーズ、コンプライアンス要件を評価し、パスキーの実装に関する要件と目的を決定します。
2. パスキー ソリューションの選択。 パスキーに対する組織のニーズを見極めた後は、それに沿ったソリューションを見つけます。考慮すべき要素としては、セキュリティ機能、スケーラビリティ、既存セキュリティ システムとの互換性などがあります。
3. パスキーに関するポリシーの策定。 組織におけるパスキーの作成、使用、保護、保存に関する要件を規定した、パスキーに関するポリシーとガイドラインを定義します。
4. 実装と統合。 パスキーについての明確なポリシーを策定した後は、選択したパスキー ソリューションを組織全体にデプロイします。そのうえで、セキュリティの設定を組織の要件に合わせて構成し、テストを実施して、既存システムとの統合が正しく機能することを確認します。
5. トレーニングと意識向上。 パスキーを組織のセキュリティ システムに統合する作業の完了と同時に、包括的な従業員トレーニングを実施し、パスキーの作成、使用、保存が安全に行われる態勢をしっかりと整備します。
1. アセスメントと計画。 このフェーズでは、組織における現行のパスワード管理方法、セキュリティ ニーズ、コンプライアンス要件を評価し、パスキーの実装に関する要件と目的を決定します。
2. パスキー ソリューションの選択。 パスキーに対する組織のニーズを見極めた後は、それに沿ったソリューションを見つけます。考慮すべき要素としては、セキュリティ機能、スケーラビリティ、既存セキュリティ システムとの互換性などがあります。
3. パスキーに関するポリシーの策定。 組織におけるパスキーの作成、使用、保護、保存に関する要件を規定した、パスキーに関するポリシーとガイドラインを定義します。
4. 実装と統合。 パスキーについての明確なポリシーを策定した後は、選択したパスキー ソリューションを組織全体にデプロイします。そのうえで、セキュリティの設定を組織の要件に合わせて構成し、テストを実施して、既存システムとの統合が正しく機能することを確認します。
5. トレーニングと意識向上。 パスキーを組織のセキュリティ システムに統合する作業の完了と同時に、包括的な従業員トレーニングを実施し、パスキーの作成、使用、保存が安全に行われる態勢をしっかりと整備します。
効果的なパスキー管理
パスキーの使い方について、ベスト プラクティスのリストを作成することをおすすめします。以下に挙げるベスト プラクティスをリストづくりの出発点にするとよいでしょう。
- パスキーを簡単に生成して使用を開始できるよう、パスキー作成の利便性を高める方策を従業員に提供します。
- 従業員がパスキーのソースを簡単に見つけられるよう、すべてのパスキーを確実に検出可能な状態にしておきます。個々のパスキーについて、それぞれの本来のソースを明確に示します。
- 冗長性を確保し、手作業での再設定が必要になる状況を避けるため、パスキーを複数のデバイス上で使用することを奨励します。
- 非常用のフォールバック手段 (パスワードなど) を使用してサインインした従業員に対し、新しいパスキーの作成を促すメッセージを表示することを検討します。
パスキーは、どのようなしくみで機能しますか?
パスキーは、公開鍵暗号化という、Web サイトの認証用として長い実績があるテクノロジを応用して実現されています。公開鍵暗号化は、暗号化に使用する公開鍵と復号化に使用する秘密鍵という、2 個 1 組の鍵によって機能します。この方式では、事前に秘密鍵を交換することなくシステム間の安全な通信と認証が可能です。 パスキーの場合は、Web サイトの認証に使用されるのと同じ公開鍵暗号方式によって個人アカウントの認証を行います。アカウントへのサインインに必要なパスキーがユーザーのデバイス上に存在することを確認し、さらに、生体認証またはデバイス PIN によって、ユーザーがデバイスを所持していることを確認します。
パスキーの普及を促す FIDO Alliance の役割
Fast Identity Online (FIDO) Alliance は、パスワードレス認証の採用を促進する目的で設立されたオープンな業界団体です。2013 年から、FIDO Alliance は、全世界のパスワード依存度を下げるために、新しい認証形式に関する標準規格と仕様の策定に取り組んでいます。FIDO Alliance の策定する標準規格と相互運用性プロトコルでは、パスキーを使用し、ユーザーがさまざまなデバイスやサービスに対して横断的に安全な認証を利用できます。
パスキー導入の阻害要因を克服するには
現在、多くの組織が、セキュリティの改善を目的として従来方式のパスワードからパスキーへの移行を進めている一方、パスキーの実装に関してはいくつかの阻害要因や懸念があります。
パスキーの採用に関して、いくつかの一般的な阻害要因と、考えられる解決策を紹介します。
阻害要因:従業員が変化に対して抵抗を示す場合があります。特に、従来方式のパスワードによる認証に慣れている従業員からの強い抵抗があり得ます。また、パスキーの利点や効果的な使用方法が従業員に十分理解されていないと、受容率が上がらないことがあります。
解決策:包括的な教育とトレーニング プログラムを提供し、パスキーの利点や安全な使い方を従業員によく理解させます。
阻害要因:一部のデバイス、プラットフォーム、またはアプリケーションがパスキー システムに対応しておらず、相互運用性の問題が発生する場合があります。
解決策:デバイス メーカーやソフトウェア開発元と話し合い、さまざまなデバイス、プラットフォーム、アプリケーションとパスキーシステムとの互換性を確保します。
阻害要因:従業員がパスキー システムのセキュリティに懸念を抱いている場合があります。特に、生体認証データの保護やパスキー ストレージの完全性について不安を感じている可能性があります。
解決策:暗号化、多要素認証、安全な保存慣行などの堅牢なセキュリティ対策を導入して、セキュリティ面に関する従業員の懸念を解消し、従業員のデータを保護します。
新しいテクノロジの導入には困難がつきものですが、パスキーによって実現するセキュリティ体制強化、利便性、ユーザーフレンドリーな認証処理によって得られるメリットの大きさは、これらを含めたさまざまな阻害要因を乗り越える努力に十分見合うと考えられます。
パスキーの採用に関して、いくつかの一般的な阻害要因と、考えられる解決策を紹介します。
阻害要因:従業員が変化に対して抵抗を示す場合があります。特に、従来方式のパスワードによる認証に慣れている従業員からの強い抵抗があり得ます。また、パスキーの利点や効果的な使用方法が従業員に十分理解されていないと、受容率が上がらないことがあります。
解決策:包括的な教育とトレーニング プログラムを提供し、パスキーの利点や安全な使い方を従業員によく理解させます。
阻害要因:一部のデバイス、プラットフォーム、またはアプリケーションがパスキー システムに対応しておらず、相互運用性の問題が発生する場合があります。
解決策:デバイス メーカーやソフトウェア開発元と話し合い、さまざまなデバイス、プラットフォーム、アプリケーションとパスキーシステムとの互換性を確保します。
阻害要因:従業員がパスキー システムのセキュリティに懸念を抱いている場合があります。特に、生体認証データの保護やパスキー ストレージの完全性について不安を感じている可能性があります。
解決策:暗号化、多要素認証、安全な保存慣行などの堅牢なセキュリティ対策を導入して、セキュリティ面に関する従業員の懸念を解消し、従業員のデータを保護します。
新しいテクノロジの導入には困難がつきものですが、パスキーによって実現するセキュリティ体制強化、利便性、ユーザーフレンドリーな認証処理によって得られるメリットの大きさは、これらを含めたさまざまな阻害要因を乗り越える努力に十分見合うと考えられます。
ビデオ
4 分でわかるパスキー
パスキーのしくみと、データ侵害やフィッシング詐欺に対する防御力の改善効果について説明します。
サイバーセキュリティのイノベーションを推進
大手テクノロジ企業の製品やサービスには、既にパスキーが統合されつつあります。パスキーの使用によって得られるセキュリティ上のメリットを理解する組織が増えていく中で、このトレンドはおそらく持続すると思われます。そうしたパスキー採用の広がりによって、サイバーセキュリティに関するイノベーションはここまで進歩し、アカウントとデータを守りたい個人や組織のために役立ってきました。同様の進歩は今後も続いていくでしょう。
パスキーの人気が高まる中、"パスワードレスな未来" はしだいに現実世界へと近づきます。組織として、セキュリティ体制を強化し、ユーザー エクスペリエンスの質を高め、未来世界の到来に備えておくためには、従来方式のパスワードからパスキーのようなパスワードレス認証形式への切り替えを検討すべきであると考えられます。Microsoft Security では、パスワードレス認証への移行を開始する組織に役立つ各種のサービスとソリューションを提供しています。
よく寄せられる質問
- パスワードによる認証には文字列が使われるのに対し、パスキーによる安全な認証には、共有シークレットを必要としない公開鍵暗号化が使われます。
- パスキーは、暗号化に使用する公開鍵と復号化に使用する秘密鍵という、2 個 1 組の暗号化鍵によって機能します。パスキーはユーザーのデバイスに保存され、生体認証またはデバイス PIN によるユーザー本人確認に使われます。
- 通常、パスキーを作成する際には 2 個 1 組の暗号化鍵を作成します。その操作は、認証プラットフォームによって提供される暗号化ソフトウェア ライブラリまたはツールを使って行われます。
- パスキーは、従来方式のパスワードよりも安全でユーザーフレンドリーな認証を実現します。セキュリティ侵害のリスクを軽減し、全体的なセキュリティ体制を強化するには、パスキーを使用することをおすすめします。
- Yubikey はセキュリティ鍵の一種です。セキュリティ鍵にはパスキーが格納されます。セキュリティ鍵に格納されたパスキーはデバイスにバインドされます。つまり、格納場所であるデバイスから別の場所へ動かすことはできません。
Microsoft Security をフォロー