パスキー

パスキー（英語: “a passkey” または  “passkeys”）は、公開鍵暗号方式で認証を行うための秘密鍵とメタデータの組み合わせで、FIDO認証資格情報（英語：FIDO Credentials）とも呼ばれる。パスキーを用いた認証をパスキー認証と呼ぶ。

パスキー認証はパスワード認証に代わる認証手段であり、パスキーを用いてウェブサイトやアプリへのログインを簡単かつ安全に行うことが可能である。従前のパスワードでの認証はパスワード自体がウェブサイトやアプリのサーバー側に送られて過去に設定したパスワードと一致するかの検証していたことに対して、パスキー認証ではパスキー自体は送られず代わりに「チャレンジ」と呼ばれるデータに対してユーザーが手元のパスキーで署名を行い、ウェブサイトやアプリのサーバー側は署名されたチャレンジを検証し正しいパスキーが使われたかを確認する。

概説

パスキー認証では公開鍵暗号方式を用いた署名がユーザー側で行われ、検証がウェブサイトやアプリのサーバー側で行われることで認証が完了する。また、署名時には指紋認証、顔認証、またはデバイスの画面ロック解除（PINなど）でユーザーの当人認証を行う。

「パスキー」の名称自体は、Appleが2021年6月にFIDO2のFIDO認証資格情報のiCloudキーチェーンでの端末間の同期機能として発表したのが初出しとなる。2023年頃では、同期されるものだけでなく同期されないものも含めたFIDO認証資格情報の総称を「パスキー」と呼ぶこともある。

パスキーには複数の端末でも同じパスキーでパスキー認証が可能な同期パスキー（Synced Passkeys）と、端末とパスキーが紐づいていて単一の端末で使用するデバイス固定パスキー（Device-Bound Passkeys）がある。現在ではアカウントリカバリーの利便性などから同期パスキーが注目を集めている。

パスキー認証は、利用にあたってウェブサイトのURLのドメインごとにパスキーが生成され、例えば正規のウェブサイト用に生成されたパスキーはドメインが異なるフィッシングサイトでは使えないことや、パスキー自体はウェブサイトには送られないため、フィッシング攻撃などの脅威からアカウントを保護する非常に強力な認証手段である。

特徴

パスワードとの違い

パスワードとの大きな違いとしては以下の２点が上げられる

認証時に文字入力を必要としない

• ユーザー識別を行うID入力についても後述のDiscoverable Credentialが対応されている場合は入力する必要がなくなる。
• ユーザーの入力がないので、パスキーの登録を済ませておくことで従来のパスワード認証やメールやSMS(ショートメッセージサービス)を使用したコード認証よりも簡単に認証することが可能となる

フィッシング耐性が高い

• 端末からサーバーに送られる情報は「チャレンジ」データを署名したものであり、パスワードやコード認証と違い入力文字列が使いまわされることがない
• ウェブサイトのドメインごとにパスキーが生成されるため、ドメインが違うフィッシングサイトでは使えないことや署名に使用するパスキー自体もウェブサイトには送られないためフィッシング詐欺を困難にしている

同期パスキー（Synced Passkeys)

同期パスキーは、Apple、Google等のサービスが提供するユーザーのアカウント（Apple IDやGoogleアカウント等）に紐付けて、同一アカウント配下の複数端末でユーザーが同じパスキーを使えるようにしたものである。パスワードマネージャーでのパスワード管理と同じような方法である^[1]。

同期パスキーは、Apple, Googleというプラットフォーマーが提供するだけではなく、1Password, DASHLANE, LastPass, bitwardenのような従来パスワードマネージャーを提供してきた会社も同期パスキーを提供し始めている。ユーザーから見ると、選択肢や自由度が増えると同時に、パスワードとパスキーが同じような使い方ができるようになってきている。

同期パスキーは、従来のFIDO認証の高いセキュリティの裏返しである、アカウントリカバリーや異なる端末でにパスキーの共有が難しいという課題を解決している。例えば、FIDO認証資格情報を格納している１つのデバイスを紛失してしまっても同期パスキーとして登録されていたら、他の端末でパスキーをリカバリーすることが可能となる。また、端末紛失時に限らず、新端末を購入したときなどでも、この利便性が享受できる。

但し、この利便性を得るため、新たに同期パスキーを管理するサービスを取り込んだので、それに纏わるセキュリティの攻撃範囲が増えていることは事実であり、議論はある。しかし、これらのサービスは既にパスワードマネージャーとして広く使われており、これがパスキーを取り込むことでますます広く普及する傾向にある。

同期パスキーがどこまで安全かという議論はあるものの、下記の理由によって、同期パスキーは大きな注目を集め、これをサポートするサービスが急速に増えている。

• 高いセキュリティ：　パスワードより、高いセキュリティを提供。特にフィッシング耐性が高い。
  • パスワードのようにフィッシングで攻撃者が同期パスキーを盗むことは原理的に不可能。
• パスワード同等の利便性：　パスワードマネージャで使えて、パスワードと同等の利便性を提供している
  • 複数端末で同じ同期パスキーが使える
  • 端末紛失しても他の端末で利用可能
  • 一部のOSで同期パスキーを共有することが可能（AppleのAirDrop）
• 全OS・プラットフォームのサポート：　全てのOS・プラットフォームベンダーがサポートし、パスキーを従来のパスワードと同じようにパスワードマネージャで提供した

デバイス固定パスキー（Device-Bound  Passkeys）

同期パスキーとは違いFIDO認証資格情報が端末に紐づいており、クラウドでの同期などができない。

FIDO認証資格情報がデバイスの外に出ないため所持認証の意味合いが同期パスキーよりも強く、プラットフォームベンダーのセキュリティ強度に依存しない。

同期パスキーと違い、端末との紐づけが強いのでアカウントリカバリーを行うことが難しく、実際にアカウントリカバリーを行うときはパスキーの再登録が必要になる。

扱い的には秘密鍵をデバイスのセキュア領域で格納し、外部に出さなかった従来のFIDO認証と同じような扱いになる。

高いAuthenticator Assurance Level（AAL）を要求する決済サービスや金融サービスでの需要がある。

技術概要

パスキー認証において使われている技術は以下が挙げられる。

WebAuthn

パスキー認証ではWebAuthnを使用したFIDO2準拠の技術が用いられている。

WebAuthnは公開鍵暗号方式を用いて認証が行われる。パスキー認証は以下のような「登録」と「認証」のフローがある。

登録(Registration)

1. サーバーがそのフローでのみ利用されるランダムな文字列（チャレンジ）を送信
2. クライアントがデバイス内で公開鍵ペアを作成
3. パスキー（秘密鍵を含むFIDO認証資格情報）を端末内のセキュア領域に保存する
4. 公開鍵、チャレンジ、それらの署名データをサーバーに送信
5. サーバーは受信した公開鍵を用いてチャレンジや署名データを検証
6. 検証が成功した場合、公開鍵をユーザーアカウントに紐づけて保存する

認証(Authentication)

1. サーバーがそのフローでのみ利用されるランダムな文字列（チャレンジ）を送信
2. クライアントはユーザーアカウントに紐づいているパスキーを選択
3. 送信されたチャレンジに対してパスキーの中に含まれている秘密鍵で署名してサーバーに送信する
4. サーバーは保存している公開鍵で受信した署名データを検証
5. 検証に成功した場合、認証成功とする

以上はWebAuthnを使用したブラウザ上での動作になるが、AndroidやiOSなどのネイティブアプリからでもFIDO2をサポートしたAPIを使用して同様のフローが実現されている。

Discoverable Credential

Discoverable Credentialはパスキーをユーザー識別子と一緒にクライアント側に保存する。ユーザーがパスキーを用いてウェブサイトやアプリへログインする際、クライアントがアクセスできる範囲内で、当該サイトに登録済みのすべてのパスキーを検索し、パスキーが存在するすべてのユーザー識別子をアカウントチューザーを用いて候補として提示する。そして、ユーザーはその中から希望するユーザー識別子を選択することで、そのユーザー識別子でサイトにログインすることできる。即ち、ユーザーはユーザー名を入れたり、サーバー側からクライアントにユーザー名を教える必要がなくなる。

Discoverable Credentialとアカウントチューザーによって、ログイン時のユーザー体験が向上する。同期パスキーの場合は、この機能がクラウド経由で当該ユーザーの他の端末にも共有され、同じインタフェースを提供することが可能となっている。

Conditional UI

Discoverable Credentialに対応することで、FIDO認証資格情報とIDの組み合わせをログイン時に自動で提示する（オートフィル）ことが可能になる。WebAuthnの認証フローと相まってログイン時に文字列入力をする必要がなくなり、ユーザーがログインを行うハードルを下げることが可能になる。

Conditional UIを使用することによってオートフィルに表示されたアカウントを選択するだけでログインが可能となり、パスワードを使っている時のオートフィルとユーザー体験が変わらないため、パスワードからパスキーへの移行をスムーズに行うことが可能になる。

対応状況

パスキーは、まず2022年に「認証資格情報の管理システム」が各OSに実装され、国内においては2023年から順次、各種アカウントのパスキーへの対応が始まっている。

2022年

• 5月5日(木) - Apple、Google、Microsoftの3社が、パスキーへの対応を表明^[2][3]。なお毎年5月第1木曜日は、「世界パスワードの日（World Password Day)」である。
• 6月6日 - Appleのティム・クックCEOが、WWDC22の基調講演内で、次期iOSにパスキーの機能を搭載することを表明^[4][5]。
• 9月13日 - AppleがiOS 16にて、パスキーへの対応を開始^[6]。iCloudキーチェーンにて各種アカウントの認証資格情報の管理が可能となる。追って、iPadOS 16（2022年10月24日)、macOS Ventura（2022年10月24日)でもパスキーへの対応開始。（Apple ID自体はパスキーに非対応^[7]）
• 12月15日 - Chromeのパスワードマネージャーにて、各種アカウントの認証資格情報の管理が可能となる^[8]。

2023年

• 3月14日 - Yahoo! JAPANが、Yahoo! JAPAN IDへのパスキー対応を開始^[9]。
• 4月3日 - マネーフォワードが、マネーフォワードIDへのパスキー対応を開始^[10][11]。
• 4月5日 - NTTドコモが、dアカウントへのパスキー対応を開始^[12]。
• 4月14日 - メルカリが、一部のログインにパスキーへの対応を開始^[13]。2024年1月29日、全てのログインにパスキーを展開^[14][15]。
• 5月3日 - Googleが、Google アカウントへのパスキー対応を開始^[16][17]。
• 5月16日 - アドビが、パスキーへの対応を開始^[18]
• 6月22日 - Microsoft Windows 11がInsider Preview Build 23486にて、各種アカウントの認証資格情報の管理としてパスキーへの対応を開始^[19]。同年9月配信開始の「Windows 11 22H2 Moment 4」で、パスキーを正式にサポート開始^[20]
• 6月14日 - PayPalが、日本においてパスキーへの対応を開始^[21][22]（米国では2022年10月に開始済み^[23][24]）
• 6月28日 - オプテージが、mineoとeo光で使用するeoIDへのパスキー対応を開始^[25][26]。
• 7月12日 - GitHubが、パスキーへの対応を開始^[27]
• 7月18日 - TikTokが、パスキーへの対応を開始^[28][29]
• 8月 - MIXIが、MIXI Mへのパスキー対応を開始^[30][31]
• 9月20日 - 1Passwordが、パスキーへの対応を開始^[32][33]
• 9月21日 - 任天堂が、ニンテンドーアカウントへのパスキー対応を開始^[34][35]
• 10月10日 - Googleが、パスキーを個人向けGoogleアカウントの標準とした^[36][37]
• 10月23日 - Amazonが、パスキーへの対応を開始^[38][39][40]
• 10月25日 - ヌーラボが、パスキーへの対応を開始^[41]
• 10月26日 - Uberが、パスキーへの対応を開始^[42]

2024年

• 1月23日 - X (ソーシャル・ネットワーキング・サービス)が、パスキーへの対応を開始^[43][44]
• 2月26日 - ソニー・インタラクティブエンタテインメントが、PlayStation Networkへのパスキー対応を開始^[45][46]
• 3月25日 - はてなが、パスキーへの対応を開始^[47][48]

他に、企業等が構築するVPN環境へ、パスキーを用いてログインするソリューションも存在する^[49][50]。

脚注

1. ^ 森山光一, 板倉景子「フィッシング耐性のあるFIDO認証について」『日本セキュリティ・マネジメント学会誌』第37巻第2号、日本セキュリティ・マネジメント学会、2023年、27-33頁、CRID 1390298510725669248、doi:10.32230/jssmjournal.37.2_27、ISSN 1343-6619、2024年3月1日閲覧。 
2. ^ Glavin, Lori (2022年5月5日). “Apple, Google and Microsoft Commit to Expanded Support for FIDO Standard to Accelerate Availability of Passwordless Sign-Ins” (英語). FIDO Alliance. 2023年5月9日閲覧。
3. ^ “アップル・Google・MSがFIDOの新パスワードレス認証導入。スマホでPCサインイン”. Impress Watch (2022年5月6日). 2023年5月9日閲覧。
4. ^ “Apple、iOS 16で導入される共有とコミュニケーションのための新しい方法を発表”. Apple Newsroom (日本). 2023年5月9日閲覧。
5. ^ “Safariの新機能「パスキー」、iPhone、iPad、Macでパスワード要らずのログインを実現”. ケータイ Watch (2022年6月7日). 2023年5月9日閲覧。
6. ^ “パスキー”. Apple Developer. 2023年5月9日閲覧。
7. ^ “「パスキーでログイン」って何のこと? メリットと設定方法、注意点”. curio-shiki.com. 志木駅前のパソコン教室・キュリオステーション志木店のブログ (2023年5月5日). 2023年5月9日閲覧。
8. ^ “Chrome がパスキーに対応しました”. Google Developers Japan. 2023年5月9日閲覧。
9. ^ “Yahoo! JAPAN、安全なパスワードレス認証を、より利便性高く利用できる“パスキー”に対応 - ニュース”. about.yahoo.co.jp. ヤフー株式会社. 2023年5月9日閲覧。
10. ^ “『マネーフォワード ID』「パスキー」対応のお知らせ”. 株式会社マネーフォワード. 2023年5月10日閲覧。
11. ^ “Passkey の動向 2023年ふりかえり”. Money Forward Developers Blog. moneyforward-dev.jp (2023年12月28日). 2024年1月24日閲覧。
12. ^ “dアカウント 「パスキー認証」の提供開始について | お知らせ”. www.docomo.ne.jp. NTTドコモ. 2023年5月9日閲覧。
13. ^ “フリマアプリ「メルカリ」、パスワード不要な生体認証「パスキー」に対応”. about.mercari.com. 株式会社メルカリ. 2023年5月9日閲覧。
14. ^ “メルカリ、すべてのログインに 生体認証「パスキー」を導入”. about.mercari.com. 株式会社メルカリ (2024年1月29日). 2024年2月6日閲覧。
15. ^ “メルカリ、「パスキー」に対応”. Impress Watch. 株式会社インプレス (2024年1月29日). 2024年2月6日閲覧。
16. ^ “The beginning of the end of the password” (英語). Google (2023年5月3日). 2023年5月9日閲覧。
17. ^ “Googleアカウントが「パスキー」対応 パスワードを不要に”. Impress Watch (2023年5月4日). 2023年5月9日閲覧。
18. ^ “パスキーでアドビのアプリやサービスにログイン”. helpx.adobe.com. アドビサポート (2023年5月16日). 2023年11月3日閲覧。
19. ^ “パスワードレス認証「パスキー」対応を強化した「Windows 11」Build 23486がDevチャネルに／フォルダーオプションのリストラは一時撤回”. 窓の杜. 株式会社インプレス (2023年6月23日). 2023年7月17日閲覧。
20. ^ “パスキーに対応！ 「Windows 11 バージョン 22H2」4度目の大型更新、セキュリティ関連まとめ／「パスワードレス」なログイン体験。「強化されたフィッシング保護」も強化【Windows 11 22H2 Moment 4】”. 窓の杜. 株式会社インプレス (2023年10月11日). 2023年10月17日閲覧。
21. ^ “ペイパル、日本を含むアジアの一部の市場で「パスキー（Passkeys）」の導入を推進”. newsroom.jp.paypal-corp.com. PayPal Newsroom (2023年6月14日). 2023年8月1日閲覧。
22. ^ “PayPal、日本でパスキーでのログインに対応”. 株式会社インプレス. Impress Watch (2023年6月16日). 2023年8月1日閲覧。
23. ^ “PayPal Introduces More Secure Payments with Passkeys” (英語). newsroom.paypal-corp.com. PayPal Newsroom (2022年10月24日). 2023年8月1日閲覧。
24. ^ “PayPalがパスキーに対応、最初はiPhone・iPad・Macが対象”. news.mynavi.jp. TECH+（テックプラス） (2022年10月25日). 2023年8月1日閲覧。
25. ^ “マイページ/アプリなどのeoIDログイン方法改善のお知らせ”. support.mineo.jp. mineoユーザーサポート (2023年7月3日). 2023年7月17日閲覧。
26. ^ “eoIDへのログイン方法改善のお知らせ”. support.eonet.jp. eoユーザーサポート (2023年7月3日). 2023年7月17日閲覧。
27. ^ “「GitHub」でパスキー認証のパブリックベータを開始 ～パスワードレスで安全に”. 窓の杜. 株式会社インプレス (2023年7月14日). 2023年7月17日閲覧。
28. ^ “TikTokログイン時のパスキーの導入：より安全にTikTokアカウントへログインすることが可能に”. newsroom.tiktok.com. Newsroom | TikTok (2023年7月18日). 2023年8月1日閲覧。
29. ^ “TikTokがiPhoneの生体認証によるパスキー対応”. PC Watch. 株式会社インプレス (2023年7月18日). 2023年8月1日閲覧。
30. ^ “パスワードレス認証をより安全便利に - MIXI Mがパスキーに対応しました”. Zenn. 2023年9月17日閲覧。
31. ^ “DroidKaigi 2023にてパスキーについて話しました”. Zenn. 2023年9月17日閲覧。
32. ^ “1Passwordのパスキー : パスワードレス認証の未来”. 1password.com. 2023年10月17日閲覧。
33. ^ “パスワード管理の定番「1Password」がパスワードレス認証「パスキー」に対応”. news.mynavi.jp. マイナビニュース (2023年9月21日). 2023年10月17日閲覧。
34. ^ “パスキー｜ニンテンドーアカウント サポート｜Nintendo”. www.nintendo.co.jp. 任天堂ホームページ. 2023年10月17日閲覧。
35. ^ “ニンテンドーアカウント、パスキーに対応 スマホの生体認証でログイン”. Impress Watch. 株式会社インプレス (2023年9月25日). 2023年10月17日閲覧。
36. ^ “Googleアカウントで「パスキー」が標準に、パスワードなしでログインできる”. ケータイ Watch. 株式会社インプレス (2023年10月11日). 2023年10月17日閲覧。
37. ^ “Google、「パスキー」を個人ユーザーのデフォルトに”. www.itmedia.co.jp/news. ITmedia NEWS (2023年10月11日). 2023年10月17日閲覧。
38. ^ “Amazon is making it easier and safer for you to access your account with passwordless sign-in” (英語). www.aboutamazon.com. US About Amazon (2023年10月23日). 2023年11月3日閲覧。
39. ^ “アマゾン、パスキーに対応 顔・指紋認証でログイン”. Impress Watch. 株式会社インプレス (2023年10月24日). 2023年11月3日閲覧。
40. ^ “パスキーについて”. www.amazon.co.jp. Amazonカスタマーサービス. 2023年11月3日閲覧。
41. ^ “ヌーラボ、パスワード不要の生体認証「パスキー」を導入！より簡単・安全なアカウント管理を実現 | プレスリリース”. nulab.com. 株式会社ヌーラボ(Nulab inc.) (2023年10月25日). 2023年11月3日閲覧。
42. ^ “Use Passkeys Wherever You Sign in to Uber”. www.uber.com. Uber Blog (2023年10月26日). 2023年11月3日閲覧。
43. ^ “X、米国のiOSで「パスキー」サポート開始 SECのアカウント乗っ取り後に”. www.itmedia.co.jp/news. ITmedia NEWS (2024年1月24日). 2024年1月24日閲覧。
44. ^ “X(旧Twitter)が米国のiOSでパスキーをサポートへ”. news.mynavi.jp/techplus. TECH+（テックプラス） (2024年1月24日). 2024年1月24日閲覧。
45. ^ King, Ryan (2024年2月26日). “パスキーの導入開始：安全性と利便性を両立するゲームプレイの実現へ”. sonyinteractive.com/jp. Sony Interactive Entertainment Japan. 2024年3月28日閲覧。
46. ^ “PlayStationにパスキーを導入開始。パスワードを使わずにPCやモバイル端末の顔認証やPINなどでPlayStation Networkにサインインできる”. 4Gamer.net. 2024年3月28日閲覧。
47. ^ “はてな、「はてなID」のログインを安全性の高い「パスキー」と「多要素認証」に対応”. hatena.co.jp. プレスリリース - 株式会社はてな (2024年3月25日). 2024年3月28日閲覧。
48. ^ “「はてなID」が「パスキー」と多要素認証の「TOTP」に対応／従来よりも安全にアカウントを運用できるように”. 窓の杜. 株式会社インプレス (2024年3月26日). 2024年3月28日閲覧。
49. ^ “ISR、「パスキー」認証の仕組みやランサムウェア対策について説明 国内外におけるランサムウェア攻撃の現状も解説”. クラウド Watch. 株式会社インプレス (2023年7月31日). 2023年8月1日閲覧。
50. ^ “CloudGate UNO、パスキーの利用可能を確認”. www.isr.co.jp. 株式会社インターナショナルシステムリサーチ (2022年9月20日). 2023年8月1日閲覧。

関連項目

• 生体認証
• 多要素認証
• FIDO (認証技術)

外部リンク

• Passkeys （英語）
• Passkeys (Passkey Authentication)（英語） - FIDO Alliance
• FIDO認証＆パスキー総復習（認証の仕組みやパスキー登場までの経緯） - Yahoo! JAPAN Tech Blog
• iOS・Androidも対応「パスキー」とはなにか? パスワード時代の終焉 - Impress Watch 2022年11月25日
• 「パスキー」って一体何だ？　パスワード不要の世界がやってくる - ITmedia NEWS 2023年1月23日
• 「パスキー」とは？話題のログイン方法を解説 - IT Staffing エンジニアスタイル 2023年7月28日
• Passkeys.directory Provided by 1Password