最新セキュリティマネジメント(第56回) パスキー認証で強固なセキュリティを確立しよう

リスクマネジメント 働き方改革

公開日:2026.01.16

 最近、Webサイトにログインする際に「パスキー認証」が求められるケースが増えてきた。このパスキー認証とは、生体認証やPINなどのデバイス固有の本人確認と公開鍵暗号方式を組み合わせた多要素認証の仕組みである。しかし、多くのユーザーはパスキー認証を十分理解せずに設定して利用しているのではないだろうか。

 この認証方式は手軽に利用できるにもかかわらず、従来のIDとパスワードよりもセキュリティが強固である点が特徴の1つだ。これにより、不正アクセスのリスクを大幅に低減できる。その秘訣は、パスワード自体を不要にし、デバイスの生体認証と暗号技術を組み合わせた仕組みにある。今回は、このパスキー認証について、どんな認証方式なのかを紹介していきたい。

資料DLバナー_セキュリティおまかせ.png

多要素認証によってパスワードが不要に

 パスキー認証の最大のメリットは、パスワードが不要となる点だ。しかも従来のIDとパスワードの組み合わせよりセキュリティレベルが高まる。このメリットは、生体認証といった端末固有の本人確認機能と公開鍵暗号方式(データを暗号化・復号化するための鍵が送信側と受信側で異なる方式)の組み合わせによって実現される。

 スマートフォンユーザーの多くは、顔認証や指紋認証といった生体認証機能を活用しており、パソコンでは個人識別番号のPINを使った本人確認が一般的だ。これらのデバイスは、利用者が本人であると確認できた場合に限り、画面ロックを解除して操作を許可する。

 パスキー認証では、このデバイス固有の本人確認の仕組みを活用する。本人確認後、認証結果が暗号化されてWebサイトへ送信される。サーバーに保管されている公開鍵で利用者の本人確認が行われると、サービス利用が承認される仕組みである。

 この認証方式は公開鍵暗号方式と呼ばれ、インターネット通信の暗号化や電子署名、マイナンバーカードなどで既に活用されている技術だ。これに端末の生体認証を組み合わせることで、誰もが簡単に利用できる2段階の多要素認証が実現する。これにより、パスワードが不要となる。

パスキー認証がもたらすユーザーとサービス提供者双方のメリット

 パスキー認証推進の背景には、IDやパスワードの不正取得によるセキュリティ犯罪の多発がある。独立行政法人情報処理推進機構(以下、IPA)発表の「情報セキュリティ10大脅威」でも、「インターネット上のサービスへの不正ログイン」は常に上位に位置する脅威で、継続的な注意喚起がなされている。

 IDとパスワードのみの認証では、不正ログインのリスクを完全に排除できない現実がある。Webサイト自体がサイバー攻撃を受ける可能性や、ユーザーがフィッシング詐欺の被害に遭う可能性も残る。こうしたセキュリティ犯罪は依然として後を絶たない。

 パスワードを使わないパスキー認証なら、パスワード漏えいリスクを大幅に低減できると考えられ、IPAもパスワードに代わる新たな認証方式としてパスキー利用を推奨している。特に評価されているのが、デバイスの種類を問わず、利用したいサービスに簡単かつ安全にログインできる点だ。例えば、PINをパスキーとして使っていてフィッシング詐欺に遭い、PINが盗まれたとしても問題は限定的だ。PIN自体はデバイスのロック解除にのみ機能し、それだけではサービス認証に使えないためだ。

 パスキー導入はユーザーだけでなく、サービス提供企業にとってもメリットが大きい。パスワード保管の必要性がなくなり、管理負担や情報漏えいリスクが解消される。ネットワーク上でやり取りされる認証データは毎回ランダムに変わるため、再利用も不可能だ。

 生体認証やPIN情報はデバイス内だけに保存され、サービス提供者側には共有されない仕組みだ。公開鍵情報だけでは悪用できず、パスキー採用によりサービス提供側は管理責任や漏えいトラブルから解放される。

 GoogleApple、マイクロソフトなどのプラットフォーマーをはじめ、証券会社、IT企業、ECサイトでパスキー導入が進んでいる。多くの企業が既存システムのパスキー対応改修に取り組み始めた。この技術はユーザーとサービス提供側の双方に大きなメリットをもたらすため、その価値を十分理解しておくべきだろう。

※掲載している情報は、記事執筆時点のものです。

執筆=高橋 秀典

【TP】

セキュリティおまかせプラン

あわせて読みたい記事

「リスクマネジメント」カテゴリーから探す

連載バックナンバー

最新セキュリティマネジメント

もっと見る

カテゴリー 一覧