5月4日は「世界パスワードの日」でしたが、読者の皆さまはご存知でしょうか。日本ではゴールデンウィークの最中ですが、毎年5月の第1木曜日は「World Password Day」として、世界中でセキュリティに関するイベントが開催されています。
この「世界パスワードの日」は、ネットワークセキュリティに関する意識を高めるための記念日で、オンラインアカウントのパスワードを変更し、より強固なパスワードに設定することを呼び掛ける日でもあります。
一般的に、個人アカウントをネットワーク上の脅威から守るためには、パスワードを大文字小文字、数字、記号を組み合わせた複雑なものに設定することや、可能な限りサービスごとに、異なるパスワードを使用することが推奨されています。
さらに、「多要素認証」を使用することも、セキュリティ向上に繋がります。「多要素認証」は、パスワードだけでなく、SMSコード、セキュリティキー、生体認証などの追加の認証フェーズを経ることで、不正アクセスを防止することが可能になります。
しかし、米国の「サイバーセキュリティ研究所(Entrust Cybersecurity Institute)」が世界12の地域を対象に調査した、「アイデンティティーの未来に関するレポート」によると、パスワードを思い出せずに、月に1度はパスワードをリセットしているとした回答が51%あり、毎週パスワードをリセットしているという回答も15%あります。
そして、認証方式としての「パスワード」が最もセキュアだと思っているのは僅か6%で、より安全な認証方式としては、53%が「指紋認証」、47%が「顔認証」と回答し、パスワードよりも4桁や6桁の「PINコード」の方がよりセキュアだと考えている回答者が41%存在しています。
また、その一方で、ネット上での認証の標準化を推進する米国の業界団体「FIDOアライアンス」によると、情報漏洩の8割以上はパスワードが原因で、ネット利用者は平均で約90のアカウントを持ち、パスワードの51%が使い回しされているといわれています。
このような状況の中で、いま注目されているのが「FIDOアライアンス」が中心となり、アップル、グーグル、マイクロソフト等の団体が連携して、ウェブの国際標準化団体「W3C」と共同で推進する、パスワードレス認証方式「パスキー(Passkey)」です。
「パスキー」とは、パスワードレス認証の業界標準を目指す「FIDOアライアンス」が策定する仕様に沿って実装される認証機能で、パスワードを使用せずに、PINコードの入力やデバイス側の生体認証等の機能によって、Webサイト・サービス等へのログインを可能にする仕組みです。
ユーザーが自分自身で設定したPIN(Personal Identification Number)やパスフレーズを使用して、デバイスやサービスにログインするため、パスワードを記憶する必要がなく、パスワードを忘れることや不正アクセス等のリスク軽減が期待されています。
この「パスキー」による認証では、公開鍵暗号技術を使用して、デバイスやサービスに対して認証を行いますが、ユーザーは自分のデバイスにパスキーを登録することで、パスワードを入力せずに、サービスにログインすることが可能になります。
また、「パスキー」の機能では、ログイン時に必要となる認証情報「クレデンシャル」を、複数のデバイス間で同期可能とすることで、PC・スマホ等の複数台でのマルチデバイス認証が、PINコード等の入力で完了するようになっています。
この仕組みによって、サービスを提供する側のWebサイトは、ユーザーのパスワードを保存する必要がなくなるため、Webサイトからのパスワード流出の防止や、フィッシング詐欺による不正サイトへの誘導を防ぐなど、Webの安全性は格段に高まります。
「FIDOアライアンス」が推進する、マルチデバイス対応の「FIDO2」認証技術に対応することで、この仕様に準拠したOS・ブラウザであれば、複数デバイスでの認証が可能になり、既にiOSやmacOS、AndroidやWindowsなどのOSでは「パスキー」への対応が完了し、2023年3月からは、Yahoo! JAPAN がパスワードレス認証に対応しています。
ネットワーク上のサービスを利用する際に、最も一般的なログイン方法として、ユーザーは自分のIDとパスワードを入力することで認証を行いますが、「FIDO」が提供する「パスキー」の仕組みでは、公開鍵暗号方式を使用してエンドユーザの正当性を確認・認証しています。
パブリックキーとプライベートキーによる、公開鍵暗号方式を利用し、ユーザーはパスワードの代わりに、ユーザー個人が設定した任意の「PIN」を入力することで、ログインすることができます。
「パスキー」を使用する場合、ユーザーは認証サーバーによって生成された公開鍵を取得します。そして次に、自分のデバイス内で公開鍵を使用して、プライベートキーを生成します。このプライベートキーは、デバイス内に保存され、認証のたびに使用されます。
認証が必要な場合、ユーザーは認証要求を行いますが、その際にデバイス内で生成されたプライベートキーを認証サーバーに送信します。この時、認証サーバー側ではパブリックキーを使用して検証を行い、有効であれば認証が承認されます。
このように「FIDOパスキー」では公開鍵暗号方式を採用することで、従来のパスワード方式で指摘されてきた、推測が可能であるなどの脆弱性に関する懸念を払拭し、セキュリティレベル向上に繋げたと思われます。
「FIDOアライアンス」の規格では、数字のPINを使用する「PINパスキー」、単語や文を使用して認証を行う「パスフレーズパスキー」、生体認証技術を使用して認証する「バイオメトリックパスキー」があります。
各々の認証機能を活用する際には、セキュリティレベルに応じて複数の認証方式を選択し、「PINパスキー」と「バイオメトリックパスキー」を組み合わせることで、セキュリティレベルを向上させることが可能になっています。
生体認証には、スマートフォンに実装されている「指紋認証」や「顔認証」、高度なセキュリティが要求される組織で利用されている「虹彩認証」、銀行のATM等で使用される「静脈認証」など、様々な用途に応じて活用されていますが、今後は「FIDOパスキー」と組み合わせることで、より高度なセキュリティを実現することが期待されています。
我々が日常的に使用するスマートフォンには既に「指紋認証」や「顔認証」が搭載されていますので、ログイン時に「パスキー」と「生体認証」機能を連携させることで、従来の認証方法と比較して、より高度なセキュリティの確保や、パスワードやPINコードなどの漏洩によるトラブルを回避することができると思われます。
そして、「パスキー」と生体認証を組み合わせることで、ユーザーの「生体認証」情報が漏洩するなど万一の場合にも、「パスキー」の「秘密鍵」による認証によって、セキュリティを確保できるのではないでしょうか。
しかし、「生体認証」にも欠点があります。「生体情報」が漏洩した場合、再度使用することが困難なことや、生体情報の取得には利用者の同意が必要であるため、プライバシー問題が発生する可能性などが挙げられます。
近年、オンラインでの個人認証が重要性を増していますが、金融サービスや公的な行政手続きなど、個人情報を取り扱う場面では、セキュリティレベルを高度化させる観点から、より正確で安全な個人認証システムの整備が求められています。
社会全体のネットワーク化が進展する中で、個人がネット上で自分自身を証明するための「個人認証」の仕組みは、社会基盤の一部として認識すべきなのかもしれません。しかし、その便益を享受するためには、Webサイトへの登録作業や、利用するアプリケーションのダウンロードなど、複雑な手続き・作業等が必要になります。
このような、一定レベルのデジタルリテラシーが求められる状況は、一部のデジタル機器の取り扱いが苦手な人々にとっては、サービスの利用を制限することに繋がり、社会的格差が生じる可能性も否定できません。
我々の日常生活が、現実(リアル)の社会から、ネット(バーチャル)空間へ拡大したことで「本人認証」の意味合いそのものが大きく変容していると思われますが、「本人認証」とは、自分が本人であることを証明する、根源的な主張ではないでしょうか。
そして、ネット上のセキュリティを考える時、唯一無二の絶対といえる正解はなく、サービスを利用する際の状況や環境によって、それぞれに最適な解答があると思われます。
イギリスの大手銀行「バークレイズ」が世界初の「CD(現金自動支払い機)」で、4桁の暗証番号によるサービスを開始した1967年から、本人の「識別」と「認証」については、様々な試みがなされてきました。
「本人認証」するための強固なシステムの構築と、ユーザーエクスペリエンスを高めるための利便性向上はトレードオフの関係です。一定のセキュリティレベルを確保しながら、サービス利用時の状況や環境によって、ユーザー自らが認証手段を選択できるような仕組みが理想ではないでしょうか。
今後、現実の世界からメタバース・デジタルツインへと行動範囲が拡大する中で、本人の「識別」と「認証」については、新たな要素技術が誕生し、この進展が継続した先に、新たな時代のパスワードレス認証が運用されているかもしれません。
変革と共創する時代の情報化トレンド戦略
執筆者:NPO法人 地域情報化推進機構 副理事長
ITエバンジェリスト/公共システムアドバイザー
野村 靖仁(のむら やすひと)氏
