最近、猫も杓子もパスキーという調子で、多くの金融機関がパスキーを導入開始して、テレビ、新聞や雑誌でも取り上げられ、ニュースを賑わせている気がしています。
でも、もしかしたらそれは、自分がパスキーのことをよく発信していて、周りに同類の人がいる、エコーチェンバー現象によってそう見えているのかもしれません。
現に、今でも「パスキー」という言葉は聞いたことがあっても使ってことがなかったり、使っている自覚がない方は多くいらっしゃいます。技術系の方でも同様です。
今回は、どんな方でも、最低限パスキーとはどんなものなのか、イメージをつけてもらうための説明を考えました。
技術者向けの説明(入門編)
以下は、パスキーとは全く関係ない技術者イベントの懇親会でパスキーをご存じなかった方に説明した時の内容を思い出しながら書いています。
ユーザ目線では、「パスキーとは、スマホで生体認証を行うだけでログインができる便利な仕組み」です。技術的には、スマホ内に鍵が保存されていて、サーバとの間で鍵を利用した認証が行われます。スマホのデバイスアンロックに利用する生体認証やパスコードを使って、スマホに格納された鍵を利用するためのロックを解除します。
鍵は通常OSの提供するパスワードマネージャで管理されていて、GoogleアカウントやAppleアカウントに紐づけて暗号化されてクラウドに保存されており、複数端末での利用や端末紛失時の復旧も可能です。OS以外のパスワードマネージャでもパスキーを保存可能なものが多くあります。
パスキーにもいくつか種類があり、代表的なものが上記のようにスマホやPCに格納されるソフトウエア形式のものですが、他にもUSBキーを利用したハードウエア形式のものもあります。こちらはUSBキー内で鍵を管理しており、物理的な盗難以外の手段で鍵が盗まれる危険性がほとんどありません。利用するサービスの性質やユーザの嗜好に応じて鍵の保存、管理手段は使い分けることができます。
パスキーが昨今大きな注目を集めている理由で一番大事だと私が考える点は、フィッシング攻撃からユーザを守ることができる、現実的に唯一の認証手段だからです。
パスキーは原則ドメインに紐づいて保存されています。パスキーを利用する際には、ブラウザから現在アクセス中のドメインがパスキーを管理するソフトウエアやデバイスに送信され、フィッシングサイトなど、登録したドメインと違うドメインからのパスキー要求は却下されます。SMS認証をはじめとする現状の2段階認証は、ユーザが騙されてコードを入力したり、コードが含まれたメッセージ等を転送させられてしまうため、フィッシング攻撃に対して完全に防御することはできません。
パスキーを管理するクラウドがハッキングされない、ブラウザが悪意者のコントロール下にないという前提においては、上記の通りパスキーはフィッシング攻撃を受けることはありません。
もちろん、パスキーは絶対安全な認証手段でもなく、パスキーだけで全てを守れるわけでもないので、サービスの特性に応じて、セキュリティと利便性のバランスを検討して、他の認証手段やセキュリティ保護手段を組み合わせる必要があります。(昨今流行りのマジックリンクやリカバリーコードも、取り得る選択肢の一部です。)
自分の家族向けの説明
ソースを忘れてしまって恐縮なのですが、パスキーをキャッシュカードになぞらえて説明している方がSNS上にいらして、それを拝見して、なるほど、と思ってから、私もキャッシュカードを例にして知り合いに説明することが多いです。
「パスキーはパスワードに変わるものです。これから続々と、色々なサービスに、パスキーでログインできるようになります。パスキーはスマホに入ったキャッシュカードみたいなものです。キャッシュカードだけではお金をおろすことはできなくて、暗証番号を入れたり、生体認証を行う事で使うことができます。なので、キャッシュカードだけ盗まれても安全だし、暗証番号がバレてもキャッシュカードが盗まれなければ安全です。パスキーも同様の仕組みで、パスワードより安全に使うことができます。さらに、パスキーはスマホに入っているので、AppleアカウントやGoogleアカウントなどでバックアップすることができるから、スマホをなくしても安心です。」
枯れた技術の水平思考?
公開鍵暗号方式も、クレデンシャルのクラウドバックアップも、パスキー以前から存在している技術要素でした。そして、パスキーの元となっているFIDO認証も、10年以上前から大きな仕組みは変わらずに存在している認証技術です。それでも、今ほど大々的に普及が進むまでには、長い時間を要しました。Appleにより「パスキー」という名前が付けられ、そしてデバイス固定前提だったFIDOが、パスワードと同じようにクラウドバックアップしたり、他人と共有できるものになり、USBキーのような外付けデバイスにクレデンシャルを格納する前提からスマホなどユーザの普段利用するデバイスに格納できるようになって、かつクラウド同期されていない端末でもハイブリッド方式で利用できるようになったことで、UXが格段と良くなって、セキュリティの若干の犠牲と引き換えに「万人が使える」ものとなり、今に至っていると考えます。
ショートメッセージからSNSになったように、PDAからiPhoneになったように、本質的な技術は変わらなくても、それをどのようにパッケージングしてユーザに見せるかによって、ユーザにどれだけ受け入れられるかは大きく変わってきます。
普及しきった技術を活用して新たな用途を生み出す、横井軍平氏の考え方に似たものがあるなと感じています。(元々セキュリティのための技術要素だったと思うので、新たな用途か?とは別として)
セミナーのお知らせ
今週金曜日、2025年12月5日(金)に、FIDOアライアンス東京セミナーがあります。
「『パスキーのすべて』を知る前に、今さら聞けないパスキーの基本とこれから」 というタイトルで、「パスキーのすべて」筆者3名で登壇させて頂きます。
また、「パスキーのすべて」を販売するパスキー関連書籍コーナーや、FIDOアライアンスで活動する人たちに質問できる Ask Expert ブースも用意されています。私もその2つのブース付近にちょくちょく顔を出す予定です。
残念ながら、すでに満席で申し込み締切となっておりますが、参加申し込みされた皆様は、是非ともお越しください。
もっと詳しく知りたい方は
共著「パスキーのすべて」好評発売中です。
また、出版に合わせて書き下ろした10本のブログ記事も、以下のリンクからご覧いただけます。
最後に
「パスキーのすべて」執筆中に頭に浮かんだもう一つの「パスキーのすべて」
(2024年11月のメモに残っていたものを発掘し、追加修正
フィッシングのピークが去った
専門家がテレビで言ってた
それでもいまだにネットは
落ち着かないような気がしている夕方5時のニュースが
今日はなんだか胸に響いて
「パスキー」なんて便利なもので
ぼんやりさせて最後のパスワード、パスキーになったな
何年経っても思い出す必要ないな
ないかな ないよな
他に残ってないよな
フィッシングにあっても
ブラウザ閉じて安心しているよ