パスワード漏洩にうんざり? 今こそ「パスキー」を設定しよう

「パスキー」と呼ばれる仕組みをご存知でしょうか。OSやWebサービスのログイン時に、従来型の「パスワード」を使わずに、「FIDO2」(ファイド2)という規格でユーザーを自動的に認証する仕組みです。ログイン時に必要な操作は、本人確認を兼ねて手元の端末のロックを生体認証やPINで解除する操作だけ。パスワードよりはるかに高度で安全なシステムになっており、大手サービスでは対応が進んでいます。

サービス側の対応例を挙げると、Google、Microsoft、Amazon、Adobeといったグローバル企業のアカウントではログイン時にパスキーが使えるようサポートされていますし、FacebookとMessengerでもモバイル端末で対応が始まります。

国内でも、主要なモバイル通信事業者のアカウントをはじめ、LINEヤフー、楽天、メルカリ、任天堂、ソニーなど大手企業ではサポートが進んでいます。特にここ2～3年で大きく進展した印象です。

ただし注意しておきたいのは、パスワードとパスキーが併存し、パスワードを不要にできないサービスがかなり存在していることです。この場合、堅牢性のレベルはパスワードに足を引っ張られる形になるので、過信は禁物です。

これは、現在はまだパスワードが主流で、パスキーに移行する過渡期である、と考えられていることが影響しているようです。もしものときの救済措置としてパスワードを残しているわけですね。パスワードを削除できるのはMicrosoftのアカウントなど今はまだ一部に限られています(Googleは“可能な場合はパスワードをスキップする”という設定が選べます)。ユーザー側の意識や環境整備も含めて、今後の進展に期待したいところです。

金融機関のサービスもモバイルアプリを中心にパスキーへの対応が進んでいます。一方で、二段階認証を含め、こうした現代的なセキュリティ強化策を“必須化”していなかった一部が攻撃者に狙われ、被害が拡大している例もあります。2025年になってもセキュリティに疎い金融サービスは“被害に遭う予備軍”とみなしてよく、警戒する必要があると思います。

このように、日常的に使っているサービスがパスキーに対応しているかどうか、改めて調べてみることをオススメします。特に、お金を扱うサービスや、クレジットカードを登録して簡単に商品を購入できるサービスなどは、注意を払うに値します。パスキーに対応していなくても、少なくとも二段階認証の設定は必須と考えていいでしょう。

ハードウェアの環境は整っている

これらのサービスでパスキーを利用するには、PCやスマートフォンといったハードウェアとOS、サービスを利用する窓口になるWebブラウザが、パスキーに対応している必要があります。ただ、主要なものは対応が済んでいる状況なので、最近のものであればあまり意識する必要はないと思います。

Androidスマートフォン

パスキーに課題がないわけではなく、主に運用面ですが、クロスプラットフォームでの利用に課題が残っています。FIDO2自体はクロスプラットフォーム設計であるものの、例えば、パスキーを保存する「Windows Hello」(Windows)と「iCloudキーチェーン」(macOS/iOS)の間でパスキーを同期できないといった問題です。

ただし、「Google パスワード マネージャー」に保存したパスキーは、iOSを含めたクロスプラットフォーム対応が実現しているので、OSをまたいだ利用が多いという人は利用してみる価値があると思います。

USBメモリのような「セキュリティ キー」も

USBメモリのようなスタイルの「セキュリティ キー」と呼ばれる製品も存在します。これはパスキーを保管できるFIDO2準拠のデバイスで、ハードウェアのセキュリティモジュール(セキュアエレメント)を内蔵しています。セキュリティ キーを使うと、PCやスマートフォンといったパーソナルなデバイスやOSに依存せずにパスキーを利用できます。

Swissbitのセキュリティ キー

日常的に異なるOSを使う場合や、ノートPCを持ち運ぶことが多く盗難や紛失のリスクに備えたい場合、あるいは共用PCを使うことが多い場合は、秘密鍵の格納場所をPC本体に紐づけずに利用できる「セキュリティ キー」が便利です。

ただし、パスキーに対応していても、セキュリティ キーのような外部セキュリティデバイスの利用をサポートしていないサービスは意外に多いので、今のところ、特定のサービスを安全に利用したい法人利用がメインといえます。なお、このセキュリティ キー自体の紛失には十分に気をつける必要があります。

PCにUSBで接続

認証時、PIN入力後にランプが点灯

センサーにタッチすると認証が完了。このタッチ操作はセキュリティ キーのみのプロセスです

パスワードが要らない世界へ

コンピューター上でIDとパスワードを使ってログインする仕組みは1960年代前半に開発されたとされ、その登場から60年以上が経過しています。長らく有効な代替手段が登場しなかったことも影響しているとはいえ、インターネットが世に登場してから30年以上が経った今も、この仕組みはオンライン上で使われ続けています。

テクノロジーの進化が著しい時代において、ID・パスワードだけを使うシンプルなログイン方法は明らかに時代遅れです。悪意のある攻撃は、激しく、大規模になっており、情報が漏洩する、だまし取られるといったことを含め、セキュリティリスクはますます高くなっています。二段階認証(二要素認証)は旧来のパスワード方式の弱さを補うものとして有効ですが、メールやSMSを使う場合は安全性に限界があるほか、ユーザー側で面倒な操作が増えますし、付け焼き刃であることは否めません。

現在、テクノロジー業界で取り組まれているのは、「パスワードは複雑なものにしましょう」といった次元の話ではなく、パスワードそのものを必要としない、時代に見合った認証システムの普及です。パスキーが準拠するFIDO2は、そうした取り組みで採用された公開鍵暗号方式の認証規格で、積年の課題といっていいパスワード方式の弱さを根本から改善するものです。

ID・パスワードの漏洩や悪用による被害は今なお発生しており、対策は急務です。パスワードを廃絶した世界の到来にはもう少し時間がかかりそうですが、パスキーは今から設定しておいても決して早すぎることはないでしょう。