「UAF」、「U2F」、「FIDO2」と、オンライン認証の標準策定を着々と進めてきた「FIDO(ファイド)アライアンス」。2022年はW3C(Web技術の標準化団体)と共同で、これまでローカルデバイスで保護してきた鍵情報の一部をOSクラウドに同期させる考え方を承認。「マルチデバイス対応」のコペルニクス的転回を果たした。新たに登場した「パスキー」は、「パスワード」を駆逐できるだろうか。
鍵情報をOSクラウドに同期 念願のマルチデバイス対応を実現
FIDOアライアンスは12月9日、東京都内で記者説明会を開催し、2022年のトピックと活動状況などを報告した。この説明会で、2022年の成果物として大々的に紹介されたのが「パスキー(Passkeys)」なる新しい言葉だ(画面1)。
画面1 Apple、Google、Microsoftの3社が今年5月にパスキーへの対応を発表
そもそも従来のFIDO認証は、公開鍵暗号方式の鍵ペア(秘密鍵と公開鍵)を用いるオンライン認証であることが最大の特長で、特に秘密鍵の情報をローカルの認証器(スマートフォンやセキュリティキーなどのデバイス)から外に出さないことで安全性を高める仕組みだった。しかし、この方式には、デバイスの紛失時やスマートフォンの機種変更時などに、あらためて認証のための資格情報(クレデンシャル)を登録し直す必要があった。
これに対して新たに登場した「パスキー」では、FIDOが定義する「マルチデバイス対応FIDO認証資格情報」を採用し、一部の鍵情報を「同期鍵」としてクラウド上で管理する仕組みに変更した(画面2)。同期鍵を格納するクラウドは、Apple、Google、Microsoftがそれぞれ提供するOSプラットフォームで、3社は今年5月にパスキーへの対応を表明済みで、すでにサービス提供が始まっている(iOS 16、MacOS Ventura、Android、ChromeOSでサポート/2022年12月9日現在)。
パスキーを実現する「マルチデバイスFIDOクレデンシャル」
この変更により、仮に認証資格情報を格納したデバイスの変更が必要となった場合でも、移行後のデバイスがOSクラウド(例えばAppleの「iCloudキーチェーン」)に同期できれば、再登録や再設定の手間をかけずに設定済みのFIDO認証を使い続けることができるようになる。
「パスキーは今年3月にFIDOアライアンスから発表され、5月にはApple、Google、Microsoftがサポートを開始した。パスキーそのものは新しい技術ではないが、(W3Cが策定したWeb認証の標準仕様である)『WebAuthn』を導入していくのに必要な方法。これまで『使い勝手の向上』と『展開の難しさ』がFIDO普及の障害になっていたが、パスキーの登場によってFIDO認証の普及は加速するだろう」(FIDOアライアンス・エグゼクティブディレクター 兼 最高マーケティング責任者のアンドリュー・シキア氏)
ヤフー、KDDIがパスキーに対応済み。ドコモも来年2月から
パスキーに対応するWebサービスは、すでに日本国内でも登場している(画面3)。Yahoo! JAPANではiOS、iPadOS、MacOSを対象にパスキーのサポートを開始済み。KDDIは「au ID」のログインに関してiOSでパスキーに対応している。
画面3 パスキー対応を表明済みの日本企業
また、NTTドコモは2023年2月以降にパスキーへ対応することを表明している。同社が提供する「dアカウント」では、生体認証などのパスワードレス認証を使う場合、これまではスマートフォン向けの「dアカウント設定アプリ」からあらかじめ設定を行う必要があった。これがパスキーに対応することで、アプリのインストールや設定が不要となり、Webブラウザ上から直接、パスワードレス認証を利用できるようになるという。また、機種変更の際にもパスワードレス認証の再設定不要で利用できる。
FIDOアライアンス 執行評議会・ボードメンバーおよびFIDO Japan WG座長で、NTTドコモのチーフ セキュリティ アーキテクトを務める森山 光一氏は、同社がフィッシング詐欺対策のために取り組んできた事例として、デジタルIDに関わる安全性基準の独自策定と、保証レベルの確保、SIM契約と紐付く携帯電話番号登録の推進、そしてFIDOパスワードレス認証の普及促進などの実績を紹介(画面4)。「FIDO認証はフィッシング対策の要」としてパスキーへの対応を表明する一方で、「セキュリティに絶対はないので、予断を許さない」(森山氏)と表情を引き締めた。
画面4 NTTドコモでは、dアカウントの防御に複数の対策を講じてきたという
ところでFIDOアライアンスの活動に関して、日本では2016年10月に発足した「FIDO Japan WG」が主に日本国内での情報発信や活動に取り組んできたが、国内外のFIDOアライアンスメンバーから参加が相次ぎ、発足から6年が経過した今年12月時点で58社まで拡大している(画面5)。
一度体験してみれば、便利さを肌で実感できる「パスキー」だが、パスキーによるログインを経験できるWebサイトやアプリは2022年の年末時点ではまだまだ少ないのが実情だ。「パスワード」に代えて「パスキー」を当たり前に使う世界が、来年、どこまで広がるか大いに期待したい。
画面5 FIDO Japan WGの参加企業(2022年12月9日現在)
写真 記者説明会の出席者。(左から)FIDOアライアンス スポンサーメンバー・FIDO Japan WG副座長 / 楽天グループメンバーシッププラットフォームサービス部プリンシパルインフォメーションセキュリティスペシャリスト 板倉 景子氏、FIDOアライアンス ボードメンバー・FIDO Japan WG副座長 / ヤフー ID本部 本部長 伊藤 雄哉氏、FIDOアライアンス 執行評議会・ボードメンバー FIDO Japan WG座長 / NTTドコモ チーフ セキュリティ アーキテクト 森山 光一氏、FIDOアライアンス エグゼクティブディレクター 兼 最高マーケティング責任者 アンドリュー・シキア氏、FIDOアライアンス アジアパシフィック マーケット開発マネージャー 土屋 敦裕氏
