2025年12月24日8:00
パスワードに代わる新たなオンライン認証のための技術仕様の標準化を推進する国際的な非営利団体、FIDO(ファイド)アライアンスは、2025年12月5日に記者説明会を開催した。2022年から展開している「パスキー」認証は、ユーザーにとって使いやすく、サービスプロバイダーにとっても導入が容易なオープンスタンダードとして普及が進んでおり、多くの国内外企業のサービスで導入が加速しているそうだ。今年は証券口座の不正事件対策として、特に証券会社で導入が進んだ。
30億を超えるパスキーが使用される 規制の進展に伴い各国政府も支持
FIDOアライアンスの目的は、パスワードや従来の認証方式よりも、より簡単でより強力なユーザー認証を実現することだ。FIDOアライアンス エグゼクティブディレクター 兼 CEO アンドリュー・シキア(Andrew Shikiar)氏は「『簡単で強力』、この両方を満たすことが不可欠です。それを、使いやすい非対称公開鍵暗号のオープンスタンダードを通じて実現しています」と話す。
現在、パスキーは大きな進化を遂げたという。「2022年にパスキーを導入し、最初に展開を約束した企業はPayPalとNTTドコモでした。その後大きな成長を遂げ、2023年時点で、70億を超えるユーザーアカウントがパスキーを利用できると見込まれています」(シキア氏)。2024年までに、FIDOアライアンスは最大150億のユーザーアカウントを有し、15億を超パスキーの導入や実装に関する総合的な情報提供サイト「FIDOパスキーセントラル」も導入した。FIDOアライアンスの内部推計では、30億を超えるパスキーが使用され、消費者のアカウントを保護していると見ている。
3年前にパスキーが導入された際、どの認証規則もパスワードのない世界を想定していなかったという。パスワードに関わるリスクを軽減するためのすべての指針は、多層化や複数の要素を追加することに重点を置いていたという。FIDOアライアンスは、これを変えるために懸命に取り組んでおり、これまでに得られた成果には非常に満足しているそうだ。
米国では、NIST(アメリカ国立標準技術研究所)のデジタルアイデンティティガイドライン「SP 800-63」シリーズにおいて、FIDO認証技術はAAL2(認証保証レベル2)の基準を満たす、フィッシング耐性のある認証手法として認められている。また、台湾の金融監督管理委員会(FSC)は、ユーザーがユーザー名とパスワードを使わずに取引を行えるようにするために、「金融FIDO (Financial FIDO)」を開発し、推進している。日本ではデジタル庁の行政サービスのデジタル化や金融庁の不正ログイン対策とセキュリティ強化においてパスキーを推奨している。
オーストラリア、イギリス、ドイツに加え、米国、台湾、韓国などでも、市民がパスキーを使って政府のサービスにアクセスできるようになっている。
「パスキー宣言」に200社・団体以上が賛同 「パスキーインデックス」を紹介
今年、金融業界では広範な成長が見られており、世界中の主要な銀行がサポートを開始している。特にここ数カ月の間に、Chaseをはじめとする米国の銀行で新たな導入が進んでおり、2026年に向けて大手銀行での展開が見込まれている。また、日本の証券会社でも導入が進んでいる。
2025年にはパスキーに関する業界の支援を調整することを目的に、「パスキー宣言」を出し、200社・団体以上が同プログラムに参加している。この誓約は、企業に対してサービス展開時にパスキーをサポートすること、またはベンダーに対して製品がパスキーのための5つの認証基盤を備えていることを保証することを求めている。誓約後1年以内にパスキーの利用率を10%向上させる目標を達成できると自信を持っている。
新たな取り組みとなるパスキーインデックスでは、ログイン時間短縮率が73%短縮され、認証成功率は93%に達している。また、ヘルプデスクへの問い合わせ減少率が80%以上も改善されたと報告されている。
FIDO Japan作業部会は補足的なパスキー指数を立ち上げており、今後共有されるという。
デジタルクレデンシャルと アイデンティティ・ウォレットの採用を加速
FIDOアライアンスでは、12月5日、検証可能なデジタルクレデンシャルとアイデンティティ・ウォレットの採用を加速するための新しいイニシアチブ発表した。同取り組みは、信頼できる相互運用可能なアイデンティティ・ウォレットのエコシステム確立を通じて、世界中のオンラインおよび対面でのやり取りを簡素化し、安全性を高めるという。これまで、グローバルな整合性の欠如やエンドツーエンド認証の不足など、エコシステムの断片化が広範な採用を妨げてきた。FIDOアライアンスは、パスキーにおけるこれまでのアプローチと成果、すなわち利害関係者の結集、仕様と認証プログラムの開発、標準化団体との協力、グローバルなパスキーの導入推進など実績ある手法で、これらの課題に対処していく。これらの戦略をデジタルクレデンシャルのエコシステムに適用することで、FIDOアライアンスは、デジタルクレデンシャルがパスキーと同様に普及し、信頼され、ユーザーフレンドリーな未来を育んでいくことを目指す。これにより、世界中の消費者と企業にとって、IDアカウントのライフサイクル全体を保護することが可能になる。
シキア氏は「近い将来には、物理的な財布の中身をはじめ、多くのものがモバイル端末上で、世界規模にわたって完全にデジタル化されるでしょう。具体例としては、運転免許証やパスポートといった政府発行の身分証明書、大学の学生証明書、または旅行のポイントカードなどがあります。これらをデジタルIDウォレットにまとめることで、必要な情報だけを共有しながら、自身の身分を証明し、取引を行うことが、すべてモバイル端末から可能になります。例えば、ホテルのチェックイン時や酒類購入時などに利用できます」と説明する。すでにOpenIDファウンデーション、ISO、W3Cといった他の標準化団体が基礎的な取り組みを進めており、FIDOアライアンスはこの取り組みでこれらの団体と協力していくそうだ。
現在日本をはじめ世界各地でウォレットプログラムや規制が整備されている。 ヨーロッパでも、すべての加盟国が2026年末までに市民にウォレットを発行することが義務付けられている。現在、このエコシステムは分断されており、信頼性やセキュリティ、相互運用性といった課題を抱えている。FIDOアライアンスでは、パスキーの開発と普及に成功した同じモデルを、デジタルクレデンシャルにも適用する予定だという。
「これは、世界中のグローバルコミュニティや主要な企業、政府、そしてパートナーと連携することから始まります。私たちは3つの取り組みを行います。その一つとして、この市場に適用できる基本仕様を作成します。CTAP(Client to Authenticator Protocol)を基盤にして、複数のデバイス間で認証情報を提示するための新しいプロトコルを構築しています。デジタル認証情報は、パスキーがFIDOやWebAuthnの普及のために果たした役割のような重要なターニングポイントを迎える必要があると言えるでしょう。私たちは、実装間で共通のユーザーフローやブランドイメージ、アイコンを共有するための中心的な役割を築きました」(シキア氏)。FIDOのデジタル認証のアーキテクチャは、複数の提示プロトコルや認証情報形式に対応できるよう設計されているそうだ。今後はパスキーで培ってきたアプローチで、デジタル認証の可能性をより確かにしていきたいとした。
