プライバシーザムライ

プライバシーザムライ 中 康二です（オプティマ・ソリューションズ株式会社 代表取締役）。ソニー出身。プライバシーマークとISMSの専門家。個人情報保護／情報セキュリティに関して、最新の情報を皆様にわかりやすく発信しています。

皆さんこんにちは。
プライバシーザムライ中康二です。

パスワードのない世界を目指して開発された仕組みが、「パスキー」です。最近、GoogleやYahoo！Japanなど、インターネット界の巨人たちが正式にパスキーをサポートし始めましたので、使ってみたいなと思われる方も多いことと思います。

しかしこのパスキー、関係する技術や仕組みが多く、少々わかりにくいのが実情です。

そこで今回は、私プライバシーザムライが、ざっくり、でも本質を押さえて分かりやすく解説したいと思います！

パスキーとは何か？

パスキーは、これまでのパスワード認証によって生じていた様々な問題（使い回し、漏洩、フィッシングなど）を解決するために、世界中の開発者たちが協力して生み出した新しい認証方式です。

その主な仕組みは次の通りです：

• 認証に使うのは、サーバーが自動生成する長い文字列（＝これが「パスキー」）
• パスキーは、スマホやパスワードマネージャーなどの専用の仕組みで安全に保存
• パスキーを使うときは、生体認証（指紋・顔など）でアクセスする

つまり、ユーザーが自分でパスワードを考えて登録する、というプロセス自体をなくすことで、セキュリティリスクを根本から減らそうというのがパスキーの狙いです。

パスキーができても、パスワードはすぐにはなくならない

パスキーの登場は確かに画期的ですが、すべてのサービスが一気に移行できるわけではありません。

実際のところ、現時点では「パスキーのみで使えるサービス」はまだ少なく、ほとんどのケースではまずパスワードで利用者登録し、あとからパスキーを設定して使うという流れになります。

※技術的には、最初からパスキーだけで運用することも可能ですが、利用者が限られるため、ビジネス的には難しいケースが多いと考えられます。

つまり、パスキーはパスワードを完全に置き換えるのではなく、段階的に併用しながら広がっていく認証手段と理解しておくのが良いでしょう。

パスキーはスマホまたはパスワードマネージャーに保存される

パスキーは、人が記憶するものではなく、端末やサービスに保存されて使われることを前提とした仕組みです。

現時点でパスキーを保存できるのは下記となります。

• スマートフォン（AppleのiPhone、GoogleのAndroidなど）
• パスワードマネージャー（1Password、Proton Passなど）

スマホに保存する場合、実際にはApple IDやGoogleアカウントのクラウドにバックアップされていて、同じアカウントであれば他の端末でも利用できます。ただし、Appleに保存されたパスキーをAndroidで使う、といった異なるプラットフォーム間での共有は基本的にできません。

その点、パスワードマネージャーで保存すれば、PCやスマホ、ブラウザを問わず複数の環境で横断的に利用できるのが利点です。パスキーの普及により、パスワードマネージャーの活用シーンが今後さらに広がると私は考えています。

なお、ここで重要なのは、どこにパスキーを保存するかを原則として上記の中から1つに決めておくことです。あちこちに保存してしまうと、自分でもどこに保存したのか分からなくなってしまい、いざというときに使えなくて困ると思います。

パスキーを使うときは基本的に生体認証を使う

パスキーで認証を行う際には、スマホやパスワードマネージャーからパスキーを呼び出しますが、その際に基本的には生体認証を使って本人確認を行います。

そのため、「パスキー＝生体認証で安心」といった説明がされることが多いのですが、実は必ずしも全てのケースで生体認証が使われるわけではありません。

たとえば、パスワードマネージャーの設定によっては、マスターパスワードだけでログインできるようにしている場合もあります。生体認証が前提にはなっているとはいえ、 場合によってはそうではないこともあるという点は理解しておきましょう。

パスキーは複数発行されることがある

パスキーはサービスごと、アカウントごとに発行されるものですが、同じアカウントでも複数のパスキーが存在することがあります。

これは、元々スマホやセキュリティキー（USBなど）で使うことを想定していたためで、異なるデバイスごとに個別のパスキーが発行される仕組みになっているからです。

つまり、「1つのアカウントに複数のパスキーが存在している」こと自体は珍しくありません。

そのため、「自分はどの端末・どのサービスに、このパスキーを保存しているのか？」を意識しておくことが、パスキーを安心して使うためのポイントになります。ここでもやはり、保存先を原則として統一することが重要です。

パスキーの使い勝手は今後さらに進化する

パスキーは、FIDOアライアンスという国際的な標準化団体によって仕様が策定されている技術です。今後もFIDOの規格拡張や、ブラウザ・OS側の対応が進むことで、より便利に・より広く使えるようになる可能性があります。

実際、Apple、Google、Microsoftといった主要企業はすでに対応を進めており、今後はパスキーに対応するサービスやツールも加速度的に増えていくと考えられます。

まとめ：パスキーは「ゆるやかに置き換えていく」もの

パスキーは、パスワードの時代に起きていたトラブルを減らすために登場した、有望な新しい認証方式です。

とはいえ、すべてが一夜にして置き換わるわけではありません。
私プライバシーザムライとしては、パスキー対応サービスが少しずつ増えてきた段階で、自分の使いやすさを確認しながら、段階的に移行していくことをおすすめします。

これからの認証は、「覚える」から「持っている」「使える」へ。
パスワードの次の時代に向けて、無理なく、でも確実に進んでいきましょう。

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

プライバシーザムライ
中 康二

週に一回程度、更新情報をお届けします。

こちらからメールアドレスをご登録ください。