FIDOアライアンスは12月12日、東京都内で記者説明会を開催し、FIDOで注目されている「パスキー」の導入動向や、課題解決に向けた今後の取り組みについて説明した(写真1)。この1年間で本当に多くのWebサービスの画面で「パスキー」の文字を目にする機会が増えた印象だが、来年以降も、現在はプラットフォームごとに閉じている「同期パスキー」について、事業者をまたいで移動やコピーが可能になる「クレデンシャル交換仕様」を開発するなど、導入ハードルの低減と利便性向上に向けた取り組みは続きそうだ。
写真1 記者説明会への参加メンバー。写真左から、FIDOアライアンス・ボードメンバー/FIDO Japan WG 副座⾧/メルカリ・執行役員 Group CISOの市原 尚久氏、FIDOアライアンス・ボードメンバー / FIDO Japan WG 副座⾧/LINEヤフー・LY会員サービス統括本部 ID本部 本部⾧の伊藤 雄哉氏、FIDOアライアンス・執行評議会・ボードメンバー・FIDO Japan WG 座⾧/NTTドコモ チーフセキュリティアーキテクトの森山 光一氏、FIDOアライアンス・エグゼクティブディレクター兼CEOのアンドリュー・シキア氏、FIDOアライアンス・執行評議会・ボードメンバー/Yubico Chief Technology Officerのクリストファー・ハレル氏、FIDOアライアンス・シニア・ディレクターのジューン・リー氏、FIDOアライアンス・APACマーケット開発シニアマネージャーの土屋 敦裕氏
日本国内のパスキー認知度は62%に
間違いなくFIDOの転換点となった「パスキー(passkey)」の登場。PKI(公開鍵暗号技術基盤)を裏付けとするFIDOの認証資格情報、つまり当初はデバイス内に閉じ込めて運用していた秘密鍵をクラウド上に安全にエクスポートすることで、複数の異なるデバイス間で共用できるようにした。現在ではこれらを「同期パスキー」と呼び、従来のデバイス1台のみで運用するものを「デバイス固定パスキー」と呼び分けることで、利用パターンのバリエーションを整理している(画面1)。
画面1 2種類に整理された「パスキー」
パスキーの言葉が登場したのは2022年のこと。そこからわずか2年で、パスキーの社会的認知度は目覚ましく向上した。読者の中にも日常的に使っているWebサービスの操作中に、パスキーの文字を見かける機会が増えたのではないだろうか。
それもそのはず。パスキーは2024年12月現在で、主要なWebブラウザのほぼすべてが対応(画面2)。世界全体では実に150億を超えるアカウントがパスキーによるサインインに対応した。世界における認知度は2年前の39%から、57%まで向上。日本国内の認知度はさらに高い62%となっている(FIDOアライアンスの調査による)。導入先も、一般消費者用途か企業の認証用途かを問わず、飛躍的に増え続けており、「導入先をすべてトラッキングできなくなってきた」(FIDOアライアンス・エグゼクティブディレクター兼CEOのアンドリュー・シキア氏/写真2)と嬉しい悲鳴が上がっている。
画面2 主要なWebブラウザでパスキー対応が完了
写真2 FIDOアライアンス・エグゼクティブディレクター兼CEOのアンドリュー・シキア氏
急速に導入場所の広がる一方で、パスキーの課題も見えてきている。現在、現場からよく聞こえてきているのは、パスキーの操作方法に関する利用者からの不満。つまり、「使い方がよくわからない」との声だ。「UX(ユーザー体験)やユーザージャーニーによく見られる課題。部分的にはOSやWebブラウザのレベルで改善できるし、導入事業者の自助努力によっても解決できる点はあるが、課題として取り組んでいく」(シキア氏)。
また、同期パスキーの利用が、例えばAppleやGoogleのように、登録したプラットフォームごとに分かれている点も課題として認識されている。しかし、こちらについては、「パスキーへの移行の初期には、ユーザーがロックインされてしまうのではないかとの懸念が多く寄せられた。しかし、それはFIDOアライアンスの意図するところではなかった。現在ではパスワードマネージャーを提供する多くの会社が同期パスキーのユーザー企業になった。そこで今年の10月にクレデンシャル交換仕様のドラフトを公開した(画面3)。これによって、FIDOのクレデンシャルを(異なる管理者の間で)安全に移動できるようになる」(シキア氏)として、すでに対策が打たれているという。来年度中には新しい仕様として、何らかの成果が見えてきそうだ。
画面3 クレデンシャル交換プロトコルの仕様案を発表
導入を支援する「パスキー・セントラル」の日本語サイトが公開
パスキーの導入先が増加するにつれて、「導入を検討する企業などではいろいろと知りたいことが出てきている。そこで、先行するメンバー企業や導入先にインタビューするなどして有用な情報を掲載している」(FIDOアライアンス・執行評議会・ボードメンバー・FIDO Japan WG座⾧/NTTドコモ チーフセキュリティアーキテクトの森山 光一氏/写真3)として、ちょうど記者説明会の開催された12月12日から「パスキー・セントラル」のWebサイトを公開した。英語版サイトは今年10月に立ち上がったところで、日本語の他に韓国語が掲載されている(2024年12月12日現在)。
写真3 FIDOアライアンス・執行評議会・ボードメンバー・FIDO Japan WG 座⾧/NTTドコモ チーフセキュリティアーキテクトの森山 光一氏
日本におけるFIDO推進の活動は、現在国内外の60社が参画する「FIDO Japan WG」が中心となって強力に牽引しているが、発足から9年目を迎え、月例で開いているミーティングは来年1月に開催100回を数えるという。
そうした活動の下支えもあり、日本国内のパスキーの導入先はこの1年で倍増した。昨年12月時点の国内導入企業数は14社(予定先1社を含む)だったが、これが今月時点では28社(予定先1社を含む)を数える(画面4〜6)。この予定先1社とは日本経済新聞社で、日経電子版など日経グループが導入している「日経ID」が来年2月から同期パスキーに対応する予定だ。
画面4 日本国内のFIDO認証採用事業者
画面5 世界におけるパスキー導入例
画面6 日本におけるパスキー導入例
パスキーには日本政府も注目している。今年6月に公表された「国民を詐欺から守るための総合対策」の文中に、「(次世代認証技術の1つである)パスキーの普及促進」の文字が載った(画面7)。折しも来年の春にはマイナンバーカードのiPhoneへの搭載も計画されており、同じスマホ上に展開されているパスキーの活用にも当然、期待がかかる。
画面7 日本政府が公表した詐欺対策にパスキー普及の文言が入った
「パスキーのフォーカスは『認証』にある。身元確認の重要性も認識しており、別に専門の検討ワーキンググループを設定している。一方で、身元確認の厳格さは各国や地域によっても違っており、日本政府の対策ではマイナンバーカードの利用も挙げられている。これは対面、非対面で使えるものであり、国を挙げて取り組んでいるところ。厳格な本人確認の上に、FIDOを発行する。それにパスキーの利便性を組み合わせることが重要になってくる」(森山氏)
パスキーをテーマとした「ハッカソン」の開催など、大学との連携活動も活発に進めており(画面8)、情報セキュリティ大学院大学とはパスキーに対する利用者の心理的ハードルの研究に取り組むなど、さまざまな角度からパスキーの利用拡大に向けた施策に注力している。
画面8 大学連携ではパスキーを材料とするハッカソンも実施
画面9 VisaやMastercardが決済への同期パスキー導入を推進しているほか、EU統一のデジタル証明書である「EUデジタルIDウォレット」、自動車におけるドライバーの認証や車内での支払い認証への応用、サムスンのスマートTVや家電製品への適用など、利用用途は世界中で広がりを見せている
同日の午後にはこちらも恒例の「第11回 FIDO東京セミナー」を開催し、多くの来場者の興味関心に応えた(画面10)。
画面10 12月12日の午後、錚々たる登壇者を迎えて東京セミナーが開催された
