パスキー

パスキー（英語: “a passkey” または “passkeys”）は、公開鍵暗号方式で認証を行うための秘密鍵とメタデータの組み合わせで、FIDO認証資格情報（英語：FIDO Credentials）とも称される。パスキーを用いた認証をパスキー認証と称する。

パスキー認証はパスワード認証を代替する認証手段で、パスキーはウェブサイトやアプリへ簡単かつ安全なログインを可能とする。従前のパスワード認証はパスワードをウェブサイトやアプリのサーバーで一致を検証する。パスキー認証はパスキーを送信せず、「チャレンジ」と称するデータに対してユーザーが手元のパスキーで署名し、ウェブサイトやアプリのサーバーは署名されたチャレンジを検証してパスキーの真偽を確認する。

概説

パスキー認証では公開鍵暗号方式を用いた署名がユーザー側で行われ、検証がウェブサイトやアプリのサーバー側で行われることで認証が完了する。署名時は指紋認証、顔認証、またはデバイスの画面ロック解除でユーザーの当人認証を行う。

「パスキー」の名称は、Appleが2021年6月にFIDO2のFIDO認証資格情報のiCloudキーチェーンで端末間の同期機能として発表し、初めて用いられた。2023年頃は、同期されるものだけでなく同期されないものも含めたFIDO認証資格情報の総称を「パスキー」と称する事例がある。

パスキーは、複数の端末でも同じパスキーでパスキー認証が可能な同期パスキー (Synced Passkeys) と、端末とパスキーが紐づいていて単一の端末で使用するデバイス固定パスキー (Device-Bound Passkeys) がある。現在はアカウントリカバリーの利便性などから同期パスキーが注目を集めている。

パスキー認証は、利用時にウェブサイトのURLのドメインごとにパスキーが生成される。正規のウェブサイト用に生成されたパスキーはドメインが異なるフィッシングサイトで認証されず、パスキーはウェブサイトへ送信されず、フィッシング攻撃などの脅威からアカウントを保護する非常に強力な認証手段である。

特徴

対パスワードと比較

認証時文字入力不要

ユーザー識別を行うID入力は、Discoverable Credentialに対応する場合は入力が不要となる。
ユーザー入力がなく、事前にパスキーを登録すると、従来のパスワード認証やメールやショートメッセージサービス (SMS) を使用したコード認証よりも簡単に認証することが可能となる

フィッシング耐性

端末からサーバーへ送られる情報は「チャレンジ」データを署名したもので、パスワードやコード認証と異なり入力文字列の再使用がない。
ウェブサイトのドメインごとにパスキーが生成されるため、ドメインが異なるフィッシングサイトでは使えないことや署名に使用するパスキーがウェブサイトへ送られないためフィッシング詐欺を困難にしている。

同期パスキー (Synced Passkeys)

同期パスキーは、Apple、Googleなどのサービスが提供するApple IDやGoogleアカウントなどのユーザーアカウントに紐付けて、同一アカウント配下の複数端末でユーザーが同じパスキーを使えるようにしたものである。パスワードマネージャーのパスワード管理に類似する方法である^[1]。

同期パスキーは、Apple, Googleらプラットフォーマーが提供するだけではなく、1Password, DASHLANE, LastPass, bitwardenなど従来パスワードマネージャーを提供した会社も同期パスキーを提供し始めている。ユーザー視点では、選択肢や自由度が増え、パスキーがパスワード同様に利用可能となる。

同期パスキーは、従来のFIDO認証の高いセキュリティの裏返しで、アカウントリカバリーや異なる端末でパスキーの共有が難しい課題を解決している。FIDO認証資格情報を格納している1つのデバイスを紛失しても同期パスキーとして登録されている場合は、他の端末でパスキーの回復が可能となる。新端末の購入時なども同様である。

高セキュリティ - パスワードよりも高いセキュリティを提供。特にフィッシング耐性が高い。
- パスワードのようにフィッシングで攻撃者が同期パスキーを盗むことは原理的に不可能。
パスワード同等の利便性 - パスワードマネージャで使えて、パスワードと同等の利便性を提供する。
- 複数端末で同じ同期パスキーが利用可能。
- 端末紛失しても他の端末で利用可能。
- 一部OSで同期パスキーの共有が可能 (AppleのAirDrop)
全OS・プラットフォームのサポート - 全てのOS・プラットフォームベンダーがサポートし、パスキーを従来のパスワードと同様にパスワードマネージャで提供した。

デバイス固定パスキー (Device-Bound Passkeys)

同期パスキーとは違いFIDO認証資格情報が端末に紐づいており、クラウドでの同期などができない。

FIDO認証資格情報がデバイスの外に出ないため所持認証の意味合いが同期パスキーよりも強く、プラットフォームベンダーのセキュリティ強度に依存しない。

同期パスキーと違い、端末との紐づけが強いのでアカウントリカバリーを行うことが難しく、実際にアカウントリカバリーを行うときはパスキーの再登録が必要になる。

扱い的には秘密鍵をデバイスのセキュア領域で格納し、外部に出さなかった従来のFIDO認証と同じような扱いになる。

高いAuthenticator Assurance Level (AAL) を要求する決済サービスや金融サービスで需要がある。

技術概要

WebAuthn

パスキー認証はWebAuthnを使用したFIDO2準拠の技術が用いられている。

WebAuthnは公開鍵暗号方式を用いて認証が行われる。パスキー認証は「登録」と「認証」のフローがある。

登録 (Registration)

サーバーがそのフローでのみ利用されるランダムな文字列（チャレンジ）を送信する。
クライアントがデバイス内で公開鍵ペアを作成する。
パスキー（秘密鍵を含むFIDO認証資格情報）を端末内のセキュア領域に保存する。
公開鍵、チャレンジ、それらの署名データをサーバーに送信する。
サーバーは受信した公開鍵を用いてチャレンジや署名データを検証する。
検証が成功した場合、公開鍵をユーザーアカウントに紐づけて保存する。

認証 (Authentication)

サーバーがそのフローでのみ利用されるランダムな文字列（チャレンジ）を送信する。
クライアントはユーザーアカウントに紐づいているパスキーを選択する。
送信されたチャレンジに対してパスキーの中に含まれている秘密鍵で署名してサーバーに送信する。
サーバーは保存している公開鍵で受信した署名データを検証
検証に成功した場合、認証成功とする。

以上はWebAuthnを使用したブラウザ上での動作になるが、AndroidやiOSなどのネイティブアプリからでもFIDO2をサポートしたAPIを使用して同様のフローが実現されている。

Discoverable Credential

Discoverable Credentialはパスキーをユーザー識別子と一緒にクライアント側に保存する。ユーザーがパスキーを用いてウェブサイトやアプリへログインする際、クライアントがアクセスできる範囲内で、当該サイトに登録済みのすべてのパスキーを検索し、パスキーが存在するすべてのユーザー識別子をアカウントチューザーを用いて候補として提示する。ユーザーは候補から希望するユーザー識別子を選択することで、そのユーザー識別子でサイトにログインすることできる。ユーザーはユーザー名を入れたり、サーバー側からクライアントにユーザー名を教える必要がなくなる。

Discoverable Credentialとアカウントチューザーによって、ログイン時のユーザー体験が向上する。同期パスキーの場合は、この機能がクラウド経由で当該ユーザーの他の端末にも共有され、同じインタフェースを提供することが可能となっている。

Conditional UI

Discoverable Credentialに対応することで、FIDO認証資格情報とIDの組み合わせをログイン時に自動で提示する（オートフィル）ことが可能になる。WebAuthnの認証フローと相まってログイン時に文字列入力をする必要がなくなり、ユーザーがログインを行うハードルを下げることが可能になる。

Conditional UIを使用することによってオートフィルに表示されたアカウントを選択するだけでログインが可能となり、パスワードを使っている時のオートフィルとユーザー体験が変わらないため、パスワードからパスキーへの移行をスムーズに行うことが可能になる。

対応状況

パスキーは、2022年に「認証資格情報の管理システム」が各OSに実装され、日本国内は2023年から順次、各種アカウントがパスキーに対応する。

2022年

5月5日(木) - Apple、Google、Microsoftの3社が、パスキー対応を表明^[2]^[3]する。毎年5月第1木曜日は、「世界パスワードの日 (World Password Day)」である。
6月6日 - Appleのティム・クックCEOが、WWDC22の基調講演内で、次期iOSにパスキーの機能を搭載することを表明^[4]^[5]。
9月13日 - AppleがiOS 16でパスキー対応を開始^[6]し、iCloudキーチェーンで各種アカウントの認証資格情報の管理が可能となる。2022年10月24日にiPadOS 16とmacOS Venturaもパスキー対応開始。Apple IDはパスキーに非対応^[7]。
12月15日 - Chromeのパスワードマネージャーにて、各種アカウントの認証資格情報の管理が可能となる^[8]。

2023年

3月14日 - Yahoo! JAPANが、Yahoo! JAPAN IDへのパスキー対応を開始^[9]。
4月3日 - マネーフォワードが、マネーフォワードIDへのパスキー対応を開始^[10]^[11]。
4月5日 - NTTドコモが、dアカウントへのパスキー対応を開始^[12]。
4月14日 - メルカリが、一部のログインにパスキーへの対応を開始^[13]。2024年1月29日、全てのログインにパスキーを展開^[14]^[15]。
5月3日 - Googleが、Google アカウントへのパスキー対応を開始^[16]^[17]。
5月16日 - アドビが、パスキーへの対応を開始^[18]
6月22日 - Microsoft Windows 11がInsider Preview Build 23486にて、各種アカウントの認証資格情報の管理としてパスキーへの対応を開始^[19]。同年9月配信開始の「Windows 11 22H2 Moment 4」で、パスキーを正式にサポート開始^[20]
6月14日 - PayPalが、日本においてパスキーへの対応を開始^[21]^[22]（米国では2022年10月に開始済み^[23]^[24]）
6月28日 - オプテージが、mineoとeo光で使用するeoIDへのパスキー対応を開始^[25]^[26]。
7月12日 - GitHubが、パスキーへの対応を開始^[27]
7月18日 - TikTokが、パスキーへの対応を開始^[28]^[29]
8月 - MIXIが、MIXI Mへのパスキー対応を開始^[30]^[31]
9月20日 - 1Passwordが、パスキーへの対応を開始^[32]^[33]
9月21日 - 任天堂が、ニンテンドーアカウントへのパスキー対応を開始^[34]^[35]
10月10日 - Googleが、パスキーを個人向けGoogleアカウントの標準とした^[36]^[37]
10月23日 - Amazonが、パスキーへの対応を開始^[38]^[39]^[40]
10月25日 - ヌーラボが、パスキーへの対応を開始^[41]
10月26日 - Uberが、パスキーへの対応を開始^[42]

2024年

1月23日 - X (ソーシャル・ネットワーキング・サービス)が、パスキーへの対応を開始^[43]^[44]
2月26日 - ソニー・インタラクティブエンタテインメントが、PlayStation Networkへのパスキー対応を開始^[45]^[46]
3月25日 - はてなが、パスキーへの対応を開始^[47]^[48]

企業などが構築するVPN環境へ、パスキーを用いてログインするソリューションも存在する^[49]^[50]。

脚注

^ 森山光一, 板倉景子「フィッシング耐性のあるFIDO認証について」『日本セキュリティ・マネジメント学会誌』第37巻第2号、日本セキュリティ・マネジメント学会、2023年、27-33頁、CRID 1390298510725669248、doi:10.32230/jssmjournal.37.2_27、ISSN 1343-6619、2024年3月1日閲覧。
^ Glavin, Lori (2022年5月5日). “Apple, Google and Microsoft Commit to Expanded Support for FIDO Standard to Accelerate Availability of Passwordless Sign-Ins” (英語). FIDO Alliance. 2023年5月9日閲覧。
^ “アップル・Google・MSがFIDOの新パスワードレス認証導入。スマホでPCサインイン”. Impress Watch (2022年5月6日). 2023年5月9日閲覧。
^ “Apple、iOS 16で導入される共有とコミュニケーションのための新しい方法を発表”. Apple Newsroom (日本). 2023年5月9日閲覧。
^ “Safariの新機能「パスキー」、iPhone、iPad、Macでパスワード要らずのログインを実現”. ケータイ Watch (2022年6月7日). 2023年5月9日閲覧。
^ “パスキー”. Apple Developer. 2023年5月9日閲覧。
^ “「パスキーでログイン」って何のこと? メリットと設定方法、注意点”. curio-shiki.com. 志木駅前のパソコン教室・キュリオステーション志木店のブログ (2023年5月5日). 2023年5月9日閲覧。
^ “Chrome がパスキーに対応しました”. Google Developers Japan. 2023年5月9日閲覧。
^ “Yahoo! JAPAN、安全なパスワードレス認証を、より利便性高く利用できる“パスキー”に対応 - ニュース”. about.yahoo.co.jp. ヤフー株式会社. 2023年5月9日閲覧。
^ “『マネーフォワード ID』「パスキー」対応のお知ら”. 株式会社マネーフォワード. 2023年5月10日閲覧。
^ “Passkey の動向 2023年ふりかえり”. Money Forward Developers Blog. moneyforward-dev.jp (2023年12月28日). 2024年1月24日閲覧。
^ “dアカウント「パスキー認証」の提供開始についてお知らせ”. www.docomo.ne.jp. NTTドコモ. 2023年5月9日閲覧。
^ “フリマアプリ「メルカリ」、パスワード不要な生体認証「パスキー」に対応”. about.mercari.com. 株式会社メルカリ. 2023年5月9日閲覧。
^ “メルカリ、すべてのログインに生体認証「パスキー」を導入”. about.mercari.com. 株式会社メルカリ (2024年1月29日). 2024年2月6日閲覧。
^ “メルカリ、「パスキー」に対応”. Impress Watch. 株式会社インプレス (2024年1月29日). 2024年2月6日閲覧。
^ “The beginning of the end of the password” (英語). Google (2023年5月3日). 2023年5月9日閲覧。
^ “Googleアカウントが「パスキー」対応パスワードを不要に”. Impress Watch (2023年5月4日). 2023年5月9日閲覧。
^ “パスキーでアドビのアプリやサービスにログイン”. helpx.adobe.com. アドビサポート (2023年5月16日). 2023年11月3日閲覧。
^ “パスワードレス認証「パスキー」対応を強化した「Windows 11」Build 23486がDevチャネルに／フォルダーオプションのリストラは一時撤回”. 窓の杜. 株式会社インプレス (2023年6月23日). 2023年7月17日閲覧。
^ “パスキーに対応！「Windows 11 バージョン 22H2」4度目の大型更新、セキュリティ関連まとめ／「パスワードレス」なログイン体験。「強化されたフィッシング保護」も強化【Windows 11 22H2 Moment 4】”. 窓の杜. 株式会社インプレス (2023年10月11日). 2023年10月17日閲覧。
^ “ペイパル、日本を含むアジアの一部の市場で「パスキー（Passkeys）」の導入を推進”. newsroom.jp.paypal-corp.com. PayPal Newsroom (2023年6月14日). 2023年8月1日閲覧。
^ “PayPal、日本でパスキーでのログインに対応”. 株式会社インプレス. Impress Watch (2023年6月16日). 2023年8月1日閲覧。
^ “PayPal Introduces More Secure Payments with Passkeys” (英語). newsroom.paypal-corp.com. PayPal Newsroom (2022年10月24日). 2023年8月1日閲覧。
^ “PayPalがパスキーに対応、最初はiPhone・iPad・Macが対象”. news.mynavi.jp. TECH+（テックプラス） (2022年10月25日). 2023年8月1日閲覧。
^ “マイページ/アプリなどのeoIDログイン方法改善のお知らせ”. support.mineo.jp. mineoユーザーサポート (2023年7月3日). 2023年7月17日閲覧。
^ “eoIDへのログイン方法改善のお知らせ”. support.eonet.jp. eoユーザーサポート (2023年7月3日). 2023年7月17日閲覧。
^ “「GitHub」でパスキー認証のパブリックベータを開始～パスワードレスで安全に”. 窓の杜. 株式会社インプレス (2023年7月14日). 2023年7月17日閲覧。
^ “TikTokログイン時のパスキーの導入：より安全にTikTokアカウントへログインすることが可能に”. newsroom.tiktok.com. Newsroom TikTok (2023年7月18日). 2023年8月1日閲覧。
^ “TikTokがiPhoneの生体認証によるパスキー対応”. PC Watch. 株式会社インプレス (2023年7月18日). 2023年8月1日閲覧。
^ “パスワードレス認証をより安全便利に - MIXI Mがパスキーに対応しました”. Zenn. 2023年9月17日閲覧。
^ “DroidKaigi 2023にてパスキーについて話しました”. Zenn. 2023年9月17日閲覧。
^ “1Passwordのパスキー : パスワードレス認証の未来”. 1password.com. 2023年10月17日閲覧。
^ “パスワード管理の定番「1Password」がパスワードレス認証「パスキー」に対応”. news.mynavi.jp. マイナビニュース (2023年9月21日). 2023年10月17日閲覧。
^ “パスキー｜ニンテンドーアカウントサポート｜Nintendo”. www.nintendo.co.jp. 任天堂ホームページ. 2023年10月17日閲覧。
^ “ニンテンドーアカウント、パスキーに対応スマホの生体認証でログイン”. Impress Watch. 株式会社インプレス (2023年9月25日). 2023年10月17日閲覧。
^ “Googleアカウントで「パスキー」が標準に、パスワードなしでログインできる”. ケータイ Watch. 株式会社インプレス (2023年10月11日). 2023年10月17日閲覧。
^ “Google、「パスキー」を個人ユーザーのデフォルトに”. www.itmedia.co.jp/news. ITmedia NEWS (2023年10月11日). 2023年10月17日閲覧。
^ “Amazon is making it easier and safer for you to access your account with passwordless sign-in” (英語). www.aboutamazon.com. US About Amazon (2023年10月23日). 2023年11月3日閲覧。
^ “アマゾン、パスキーに対応顔・指紋認証でログイン”. Impress Watch. 株式会社インプレス (2023年10月24日). 2023年11月3日閲覧。
^ “パスキーについて”. www.amazon.co.jp. Amazonカスタマーサービス. 2023年11月3日閲覧。
^ “ヌーラボ、パスワード不要の生体認証「パスキー」を導入！より簡単・安全なアカウント管理を実現プレスリリース”. nulab.com. 株式会社ヌーラボ (Nulab inc.) (2023年10月25日). 2023年11月3日閲覧。
^ “Use Passkeys Wherever You Sign in to Uber”. www.uber.com. Uber Blog (2023年10月26日). 2023年11月3日閲覧。
^ “X、米国のiOSで「パスキー」サポート開始 SECのアカウント乗っ取り後に”. www.itmedia.co.jp/news. ITmedia NEWS (2024年1月24日). 2024年1月24日閲覧。
^ “X(旧Twitter)が米国のiOSでパスキーをサポートへ”. news.mynavi.jp/techplus. TECH+（テックプラス） (2024年1月24日). 2024年1月24日閲覧。
^ King, Ryan (2024年2月26日). “パスキーの導入開始：安全性と利便性を両立するゲームプレイの実現へ”. sonyinteractive.com/jp. Sony Interactive Entertainment Japan. 2024年3月28日閲覧。
^ “PlayStationにパスキーを導入開始。パスワードを使わずにPCやモバイル端末の顔認証やPINなどでPlayStation Networkにサインインできる”. 4Gamer.net. 2024年3月28日閲覧。
^ “はてな、「はてなID」のログインを安全性の高い「パスキー」と「多要素認証」に対応”. hatena.co.jp. プレスリリース - 株式会社はてな (2024年3月25日). 2024年3月28日閲覧。
^ “「はてなID」が「パスキー」と多要素認証の「TOTP」に対応／従来よりも安全にアカウントを運用できるように”. 窓の杜. 株式会社インプレス (2024年3月26日). 2024年3月28日閲覧。
^ “ISR、「パスキー」認証の仕組みやランサムウェア対策について説明国内外におけるランサムウェア攻撃の現状も解説”. クラウド Watch. 株式会社インプレス (2023年7月31日). 2023年8月1日閲覧。
^ “CloudGate UNO、パスキーの利用可能を確認”. www.isr.co.jp. 株式会社インターナショナルシステムリサーチ (2022年9月20日). 2023年8月1日閲覧。