パスキー(Passkey)とは?FIDO2に基づく次世代認証の仕組みと導入方法
オンラインサービスの認証方式は、ここ数年で大きな変革期を迎えています。
従来主流だったID+パスワード認証では、フィッシング攻撃やパスワードリスト攻撃による情報漏えいが後を絶たず、IPA(情報処理推進機構)の調査でも2024年の不正ログイン被害件数は前年比約35%増加しています。
こうした背景から、Google、Apple、Microsoftといった大手IT企業は共同で「パスキー(Passkey)」という新しい認証方式を推進しています。
パスキーはFIDO2標準に基づいた仕組みで、ユーザー名やパスワードを入力する代わりに、端末内で安全に管理される公開鍵暗号方式を利用して本人確認を行います。
最初にパスキーについて説明し、その後、FIDOとの比較のお話をします。
長くなりますので、次回、FIDOについてお話をします。
目次
パスキー(Passkey)とは何か
パスキーは、FIDO2とWebAuthn(Web Authentication API)を基盤とした「パスワードレス認証」の仕組みです。
従来のパスワードの代わりに「鍵ペア(公開鍵・秘密鍵)」を利用し、本人確認を行います。
特徴は以下の通りです。
- パスワードを使わない:漏えいや使い回しリスクが激減
- 公開鍵暗号方式:秘密鍵は端末にのみ保存、サーバーには公開鍵のみ登録
- クロスデバイス対応:Apple、Google、Microsoftのアカウントを通じて、複数端末間で安全に同期可能
- フィッシング耐性:ユーザーが偽サイトに騙されても、秘密鍵が漏れることはない
パスキーの技術的な仕組み
パスキーはFIDO2規格に準拠した「公開鍵暗号方式」をベースにしています。
具体的には、ユーザー端末で秘密鍵と公開鍵のペアを生成し、認証サーバーには公開鍵のみを登録します。
ログイン時の流れは以下の通りです。
- ユーザーがサービスにアクセスし、パスキー認証を選択
- サーバーが「チャレンジコード」を端末に送信
- 端末は秘密鍵を使って署名を生成
- サーバーは登録済みの公開鍵で署名を検証
- 一致すれば本人確認が完了
この仕組みにより、サーバー側に秘密鍵が存在しないため、データベースが侵害されても認証情報が漏えいするリスクがほぼゼロになります。
パスキーと従来のパスワード認証との違い
従来のID+パスワード方式では、以下の問題がありました。
- パスワードの使い回しでセキュリティが低下
- フィッシングサイトで入力を騙されるリスク
- 総当たり攻撃(ブルートフォース)で突破される可能性
パスキーはこれらの課題を根本から解決します。
秘密鍵は端末に安全に保管され、認証は公開鍵で検証されるため、パスワードリスト攻撃やフィッシング攻撃の被害を大幅に防ぐことができます。
FIDOとPasskeyの違いを整理
| 項目 | FIDO | Passkey |
|---|---|---|
| 定義 | 国際標準の認証規格(FIDO1.0 / FIDO2など) | FIDO2に基づく具体的なパスワードレス認証の実装 |
| 対応範囲 | 二要素認証(U2F)、パスワードレス認証(FIDO2) | FIDO2対応サービスに特化し、スマートフォンやPCで利用 |
| 端末間同期 | 規格としては標準化されていない | Apple iCloud、Googleアカウントなどを介して複数端末で同期可能 |
| ユーザー体験 | 物理トークンや生体認証により安全だが設定がやや複雑 | パスワード不要で、スマートフォンで簡単にログイン可能 |
| フィッシング耐性 | 高い | 非常に高い(ドメイン認証と秘密鍵により偽サイトでの漏えいを防止) |
まとめ
パスキーは、FIDO2標準に基づく次世代認証方式で、パスワードに依存しない安全で快適なログイン体験を実現します。
サーバーにパスワードを保存しないため、データ漏えいリスクを大幅に低減できます。
参考文献・参照リンク
| 広告枠・・・広告やリンク先の保証はしません | |
|---|---|