ISR、パスワードレス認証の導入機運が高まる?今後2~3年でパスキーの導入が加速へ

2023年10月26日8:35

パスワードレス認証の導入が増えてきた。例えばGoogleでは、2023年10月10日、個人のGoogleアカウントでパスキーをデフォルトのオプションとして提供を開始した。また、Microsoftでも「Windows 11 23H2」でパスキーの正式サポートを発表している。インターナショナルシステムリサーチ(ISR)では以前からパスワードレス認証の普及や啓発を行ってきたが、9月28日に企業におけるパスワードレス認証導入の障壁と対策に関する記者勉強会を開催した。

ISR 代表取締役社長 メンデス・ラウル氏

パスワードレス認証は近い将来、普及が進む?
情報漏えいの8割以上の原因がパスワード

ISR 代表取締役社長 メンデス・ラウル氏は「パスワードレス認証はいつ頃導入されるかに変わってきている」と話す。まだ導入が進んでいないが、その理由として認識不足が挙げられる。パスワード認証には利便性、安全性の面で課題があるという。利便性面ではユーザーのパスワード忘れがある。また、複数のクラウドサービス利用による入力ミスなどによる再入力の手間も課題として挙げられる。さらに、パスワードの漏洩により不正ログインにつながる可能性がある。利用者は、複雑で長いパスワードを使うのが面倒なため、短いパスワードを使ったり、同じパスワードの使いまわしにより第3者が推測することが可能となる。

パスワードに依存しない認証の標準化を目指すFIDOアライアンスのデータによるとデータ漏洩の80%以上の根本原因がパスワードである。また、ユーザーの90%の人は90個以上のオンラインアカウントを持っており、使い分けが難しい。また、最大51%のパスワードが再利用されている。そのようなパスワードに置き換わるものとしてパスキーが登場した。パスキーはFIDOの認証資格情報のことを指し、デバイスによって生成される暗号化キーペア、公開鍵と秘密鍵を用いた認証方式に基づいている。

パスワードの場合、秘密の情報であるパスワードをユーザーとサーバが共有している。ユーザーがパスワードを送り、受け取ったパスワードが事前に共有されたものと一致しているかどうかを確認する。パスワードはネット上でやり取りされるため、フィッシングなどにより途中で第三者に窃取される恐れがある。パスキーの場合、ユーザー端末とサーバが対となるキーペア、秘密鍵と公開鍵を保管している。認証の際には、ユーザー自身の端末や認証機で生体情報やPINコードによる認証を行うと、秘密鍵によって暗号化された認証結果がサーバに送信される。その後、サーバが受け取った情報を公開鍵で復号することで認証が可能だ。認証情報自体はネットワーク上に出ることはないため、フィッシング耐性がある。

パスワードの課題がパスキーに切り替わることで、顔や指紋をかざすだけなので記憶に頼ることがなくなる。また、同社では、パスワードは情報漏洩につながる可能性があるが、パスキーでは認証情報は認証機に保管されるため外部に出ることはないとした。さらに、ログインに時間がかかる、手間がかかることに関しても顔や指紋により簡易に認証が可能だ。

Google、Apple、Microsoftがパスキーサポート
今年対応を続々と表明

すでにGoogle、Apple、Microsoftの大手3社はパスキーのサポート拡大を発表しており、導入に動き出している。Googleは5月3日に個人のGoogleアカウントの通過サインインオプションとしてパスキーの開始を発表した。6月6日にはGoogle Workspaceでもパスキーによる認証が可能となった。オープンベータ版として900万以上の組織でパスキーによるサインインができるようになっている。

Appleは9月18日にリリースされたiOS17にパスキーに関する新機能を搭載した。1つはパスワードとパスキーをグループで共有可能になるというものだ。Microアドキーチェーンを通じて行われるため、エンド・トゥ・エンドで暗号化される。2つめはApple IDにパスキーのサポートを追加している。Apple IDを持つユーザーには自動的にパスキーが割り当てられ、パスワードの代わりにFace IDやTouch IDを使ってサインインできるようになった。

Microsoftは9月26日にWindows11のアップデートでパスキーに対応した。Windows Helloでパスキーを作成すると、顔、指紋、デバイスのPINを利用してWebサイトやアプリケーションにアクセスすることが可能だ。また、Windows PCに保存されたパスキーを管理したり、携帯電話に保存されたパスキーを使ってサインインできるようになる。

BtoC市場でもパスキーが広がる
eBayはパスキーを導入

BtoC市場でもパスキーが広がっているそうだ。FIDOアライアンスのケーススタディではeBayを紹介している。eBayは、世界中の数百万人の買い手と売り手をつなぐグローバルなECマーケットプレイスだ。eBayでは、ユーザー名とパスワードを使用する認証手順は悪意ある攻撃者に狙われやすいという課題があった。ユーザーはパスワードを忘れてリセットすることも多かった。その対策として、SMSワンタイムパスコードを導入。しかし、コストは増し、複数の認証が必要なステップによりユーザーの摩擦も増した。セキュリティ面では、高いセキュリティを提供するものの、中間者攻撃に弱い課題がある。

これらを踏まえ、eBayでは、FIDO認証を導入した。その理由として、安全なプロトコルだけではなく、190の市場で事業を展開しており、多彩なユーザーを抱えているため、認証機能がさまざまなブラウザやプラットフォームで動作する必要がある。その観点でFIDOが導入されたそうだ。

初期のFIDOの導入ステップとして、プッシュ通知認証を使用して二要素認証として導入した。ユーザーがユーザー名とパスワードを利用してログインし、モバイルeBayアプリからログインの通知が届く。通知を受け取ったデバイスでユーザーがログインの許可をすると成功となる。これにより、SMS認証よりも高いオプトイン率を獲得した。

その半年後、パスワードレス認証に進むことになった。ログインフローの簡素化に向けて一回目の認証にFIDO2を導入。ユーザーが既存の認証情報を使ってログインし、デバイスのOSやブラウザがFIDO2をサポートしているかを検知し、サポートしていればパスワードレス認証への登録を尋ねるポップアップが表示される。登録する場合は顔、指紋の登録が求められ、自動的に登録される。次にログインする時は生体認証によるログインが可能だ。

生体認証を利用して1年経過した時点ではオプトイン率はSMSパスワードよりも高いだけではなく、ログインの成功率と完了率もモバイルデバイスで大幅に向上した。eBayはパスキーを使ったログインもサポートしている。FIDO2のパスワードレス認証では登録したデバイスでしか認証できなかったが、パスキーをサポートすることにより複数のデバイスで認証が可能となり、利便性が向上した。ただ、手順としてはFIDOのパスワードレス認証と変わりはない。

ユーザーが既存のパスワードを入力してログインする。その利用者の使っているデバイスがパスキー対応である場合、登録するかどうかを尋ねる。生体情報を使ってパスキーを登録したら、Apple製品の場合、iCloudのキーチェーンに保存される。ユーザーが二回目にログインすると、直接ログインボタンをクリックでき、Touch IDやFace IDを使って自身のアカウントにログインできる流れだ。

金融技術PFのIntuitがログインの摩擦解消
Nok Nok Labsソリューション導入の成果は?

2つ目の事例として6月に公開されたIntuit のFIDO2のパスワード事例を紹介した。Intuitは、全世界で1億以上の消費者と中小企業を支える金融技術プラットフォームだ。同社は、TurboTax、Credit Karma、QuickBooks、Mailchimpなどのサービスを提供しているが、顧客の課題としてログイン時に摩擦を感じている点、ログインに成功するまでの時間が長くなりカスタマーケアが必要だった点がある。同社はNok Nok Labsが提供するFIDOベースの認証ソリューションを自社で導入した。

このコンテンツは会員限定(有料)となっております。
詳細はこちらのページからご覧下さい。

すでにユーザー登録をされている方はログインをしてください。

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP