FIDO認証対応の認証資格情報はすべて「パスキー」に統一へ、Google、メルカリなどにも「同期パスキー」の導入広がる

FIDOアライアンスは12月8日、年末の恒例行事となっている記者説明会を開催し、FIDO認証を取り巻く最新情報を報告した。今年の発表では、昨年サービスがスタートした「同期パスキー（Synced Passkeys）」の躍進が大きく取り上げられ、とりわけ消費者向けサービスに採用した事業者の状況なども織り交ぜて解説が行われた。同日にはメルカリのボードメンバー参画や、住信SBIネット銀行の加盟も発表され、FIDO認証をベースとする「パスキー」の採用気運が各所で高まりつつあることを感じさせた。

メルカリがボードメンバーに参画、すでに利用者の1割がパスキーを利用

　メルカリは12月8日、パスワードに代わるオンライン認証のための技術仕様の標準化を推進する非営利団体「FIDO（ファイド）アライアンス」のボードメンバーに加盟したことを発表した。さかのぼること昨年（2022年）11月の時点で、同社はFIDOアライアンスにスポンサーメンバーとして加盟しており、今年（2023年）4月からは同社が提供するスマートフォン向けフリマアプリ「メルカリ」に、パスワードレスの生体認証機能である「パスキー」を導入していた。同じく同社が提供するスマホ決済サービス「メルペイ」も、メルカリアプリを通じて使用するため、パスキー対応済みといえる。
　パスキー機能を使用するには、メルカリアプリのマイページから「個人情報設定」を選んで、「生体認証」を選択することで登録できる（画面1）。設定後は、iOSはTouch ID（指紋）、Face ID（顔）もしくはパスコードを、またAndroidでは指紋、虹彩、顔もしくは画面ロック認証（PIN、パターン）を使用して本人認証を行うだけで、自動でパスキーが読み込まれてログインが完了する。初期設定の「メールアドレス」と「パスワード」を入力するのに比べて簡便なことに加えて、パスキー自体がAppleやGoogleのクラウドを通じて同期されるため、スマートフォンを紛失したり、機種変更などの際にも上記と同じ手順を踏むだけでユーザー設定を安全に移行できるメリットがある。
　メルカリが早期にパスキー導入に取り組んだ背景として、同社を狙ったフィッシング詐欺や、サイバー犯罪、不正行為への対抗策の一環としての位置付けがある。一方で、前記したように、安全性を高めつつもユーザーの利便性を損なわない、むしろ使い勝手の向上が期待できる点も大きかったようだ。
　同社では今回、より上位のボードメンバーとして参画することで、FIDOアライアンスの組織運営、戦略策定、技術仕様等の文書公開などにおいても主導権を発揮していきたい考え。すでに同社執行役員 CISOの市原 尚久氏が「FIDO Japanワーキンググループ」に副座長として参画するなど、国内のFIDOアライアンス加盟企業との情報共有や連携にも注力している。
「メルカリの約2,000万ユーザーのうち210万にパスキーを登録いただいているので、全体のおよそ1割。そもそもメルカリを狙ったフィッシングが流行る中で、対策としてSMSによる追加認証を加えた経緯があり、（SMS画面からアプリ画面に戻ったりする）画面遷移は増えているが、パスキーになってこれが短縮された。全体として認証する時間は減ってきている」（前出の市原氏）

パスキー大躍進の2023年、「同期パスキー」への定義変更も

　FIDOアライアンスは12月8日、2023年にFIDO認証の導入が急増し、消費者向けサービスにおいて実に70億を超えるユーザーアカウントがFIDO対応の「パスワードレスサインイン」に対応可能になったと発表した（画面2）。特に、最近の普及においてドライバーとなったのが「パスキー（Passkeys）」だ。

「2023年はパスキーの年だったと言っても過言ではない」（FIDOアライアンス・エグゼクティブディレクター兼最高マーケティング責任者のアンドリュー・シキア氏）というほど、「FIDO」の規格名称以上にメディアでの露出が急増していることは間違いない。利用者が1つずつ記憶する必要のある「パスワード」に対して、スマートフォンやPC内に安全に保存され利用者が記憶する必要のない「パスキー」には、わかりやすく、キャッチーな響きがある。
　ところで「パスキー」の言葉が一人歩きしてしまう前に、言葉の定義については若干の軌道修正が検討されているようだ。これまでのFIDOアライアンスの説明では、スマートフォンなど「認証器」の内部のみに保存・格納され、FIDO認証に使用される秘密鍵などの情報を「FIDOクレデンシャル（認証資格情報）」と呼んでいた。これに対して、一部の鍵情報を「同期鍵」としてAppleやGoogle、Microsoftのクラウド上で管理する仕組みに拡張したものが「パスキー」であり、FIDOの定義では「マルチデバイス対応FIDOクレデンシャル」と位置付けていた（画面3）。

　しかし、今後はこれら両方のクレデンシャルを「パスキー」の総称で呼ぶこととした。また、鍵の同期に対応するクレデンシャルをあらためて「同期パスキー（Synced Passkeys）」と呼ぶそうだ。つまり、今後はFIDO認証に対応した仕組みは、すべからく「パスキー」と呼ばれるようになり、その内訳には、スマートフォンなどの端末と個別に紐付けられた「パスキー」と、鍵の同期により複数の端末をまたいでも利用できる「同期パスキー」とがある、と考えるのがよさそうだ。

Googleアカウントのログインに標準採用

　実際、同期パスキーを2023年に自社サービスへのデバイス間でのサインイン用に採用した企業として、アドビ、アマゾン、アップル、CVSHealth、Dashlane、DocuSign、グーグル、Hyatt、Instacart、Kayak、LINEヤフー、メルカリ、NTTドコモ、任天堂、1Password、PayPal、Shopify、TikTokなどがある。
　また、Fox、Hyatt、Intuit、Targetなどでは、企業内での認証にパスキーによる認証オプションを加えるなど、企業内でのパスキー利用も増えつつある。
　遠い国の話ではない。Googleは今年10月10日から、個人向けGoogleアカウントへのログイン手段として、パスキー（同期パスキー）を標準オプションに追加した（従来のパスワード方式も併存）。ログイン設定を変更すれば、実際に誰でも同期パスキーによるGoogleアカウントへのログインが利用できるようになっている（画面4）。Googleによると、ユーザーのログイン時間はパスワード方式に比べて半分になったという。
「（認証プロセスを）途中でやめてしまう人もおり、同期パスキーが常に100％認証を成功させるものではないことには注意が必要だ。しかし、パスワード認証によるログイン成功率が14％であるのに対して、同期パスキーは64％であり、実に4倍に向上している」（FIDOアライアンス・FIDO2技術作業部会共同座長 Google ID＆セキュリティプロダクトマネジャーのクリスチャーン・ブランド氏）

　日本国内におけるFIDOやパスキーの普及推進は、2016年の設立から足掛け8年目の活動に入った「FIDO Japanワーキンググループ（WG）」が牽引している。座長・副座長とリーダーシップチームらによる毎月の定例ミーティングに加えて、隔週や毎週で「技術に関するサブWG」、「プロモーションに関するサブWG」、「翻訳サブWG」の3つが開催、運営されているという。FIDO Japan WGのメンバー（参加企業数）はこの1年で6社が増えた（画面5）。

　こうした活動が結実し、日本国内でFIDO認証やパスキーを導入する事業者は増加し続けている。12月8日には住信SBIネット銀行が国内ネット銀行では初めてFIDOアライアンスに加盟し、サービスの提供を目指している。また、KDDIやLINEヤフー、先述のメルカリ、NTTドコモといったすでに消費者向けサービスを提供中の事業者の間では、FIDO認証やパスキーの登録利用者数の増加や実際の認証件数を通じて、FIDO認証の導入効果を感じているようだ（画面6、7）。

　発表の中では、パスキーの認知度に関する調査について触れる場面があり、「パスキーの存在を知っている消費者の割合」は世界で52％、日本国内に絞ると34％の結果だった（出典：FIDO 2023 Online Authentication Barometer + LastPass Workforce Authentication Report）。

　2023年、キーワードとして確かに脚光を浴びた「（同期）パスキー」だが、言葉の話題性に比して、ユーザーの知名度やパスキーを実際に利用してみた体験者の数はまだまだ圧倒的に少ないと感じられるのが実情だ。2024年以降の展開において、ユーザーへの普及啓蒙は間違いなく課題になるだろうが、そのことはFIDOアライアンス側も織り込み済みで、2024年のTO DO LISTの1番目に「consumer education」と書かれていた。
　パスキーの登場と時を近くしてロゴも変更したFIDOアライアンス。業種業界の垣根を越えて存在感を高めるための取り組みが来年も続きそうだ。