サイバーニュース.jp

世界のサイバーなニュースを配信

パスキーの真の安全性とは?知っておくべきこと

カテゴリ:

, , , , , , , , ,

はじめに:パスワードの限界とパスキーへの期待

長らく、パスワードにはその脆弱性が指摘されてきました。フィッシング、ブルートフォース攻撃、辞書攻撃など、パスワードベースの認証はサイバーセキュリティにおける最も弱いリンクの一つであり続けています。実際、Verizonの2025年データ漏洩調査報告書によると、データ侵害の88%が盗まれた認証情報の使用に関与していることが示されています。

このような背景から、多くの組織がパスワードレス認証の導入を検討しており、その中でもパスキーは従来のパスワードに完全に取って代わる有力な候補として浮上しています。パスワードレス標準の開発における主要なプレーヤーであるFIDO Allianceの報告では、ユーザーの54%がパスキーをパスワードよりも便利だと感じ、53%がより安全だと考えています。

しかし、パスキーとは一体何なのでしょうか?そして、その安全性は本当に宣伝されている通りなのでしょうか?詳しく見ていきましょう。

パスキーとは?その仕組みを解説

パスキーは、公開鍵暗号方式に基づいたパスワードレス認証の一種です。記憶に頼るパスワードとは異なり、パスキーは「あなたが持っているもの」に依存します。これは通常、スマートフォン、ラップトップ、またはセキュリティキーなどのデバイスです。

パスキーの仕組みは以下の通りです。

  • パスキーを作成すると、デバイスは公開鍵と秘密鍵のペアを生成します。
  • 公開鍵は、ログインするサービスによって保存されます。
  • 秘密鍵は、デバイス上に安全に保管され、決してデバイスから離れることはありません。
  • ログイン時には、デバイスが秘密鍵を使用してチャレンジに署名し、秘密情報を明かすことなく本人であることを証明します。

パスワードとの決定的な違い

簡潔に言えば、パスキーはパスワードとは大きく異なります。パスキーは、フィッシング攻撃で盗まれたり、複数のサイトで使い回されたり、ブルートフォース攻撃で推測されたりすることがありません。これらは各サイトやアプリに固有であり、デバイスにローカルに保存され、生体認証やPINなどのローカル認証によって保護されます。

たとえ攻撃者が企業のデータベースを侵害したとしても、見つかるのは公開鍵のみであり、これらはデバイス上の対応する秘密鍵がなければ無用です。この特性により、パスキーは従来のパスワードよりもはるかに安全であると言えます。

主要企業によるパスキー導入の動き

多くの組織が、パスキーを介したパスワードレス認証への移行を進めています。Microsoftは2025年5月に、すべての新規アカウントで「パスワードレスをデフォルト」とすることで大きな一歩を踏み出しました。サインアップ時にパスワードは不要となり、ユーザーはパスキー、プッシュ通知、またはハードウェアセキュリティキーで認証を行います。Microsoftによると、毎日約100万のパスキーが登録され、ログイン成功率は98%に達しているとのことです(パスワードの場合は32%)。

米国の主要保険会社であるAflacは、FIDO Allianceによると、パスキーを採用した最初の主要保険会社となりました。これにより、パスワード回復リクエストが32%減少し、サポートチームは毎月約30,000件のID関連の電話対応を削減できたと報告されています。

パスキーがもたらす魅力

組織とユーザーの両方が、従来のパスワードよりもパスキーを好む理由はいくつかあります。

  • 設計による強力なセキュリティ: パスキーは、フィッシングやクレデンシャルスタッフィングといった一般的な攻撃ベクトルを排除します。秘密鍵がユーザーのデバイスから離れることがなく、推測されることもないため、攻撃者は悪用するものがありません。
  • 簡素化されたユーザーエクスペリエンス: パスキーでのログインは迅速かつ簡単で、通常は指紋認証や顔認証のみが必要です。長い文字列を覚える必要はもうありません。
  • サポートコストの削減: パスワード関連の問題が減少することで、ヘルプデスクチームのサポートチケットが減少します。
  • プラットフォーム間での一貫したエクスペリエンス: パスキーは業界標準を使用してデバイスやブラウザ間で機能するため、ユーザーはラップトップでもスマートフォンでも安全に認証できます。

パスキーの課題と限界

パスキーは有望ですが、課題がないわけではありません。FIDO Allianceの調査によると、組織が報告する主な障壁には、複雑さ(43%)、コスト(33%)、明確性の欠如(29%)が含まれています。これらを踏まえ、考慮すべきいくつかの制限事項を挙げます。

  • デバイスへの依存: パスキーはユーザーのデバイスに紐付けられているため、デバイスを紛失した場合、アカウントの回復が困難で時間がかかる可能性があります。
  • 複雑なセットアップ: パスキー互換の認証システムをセットアップするには、既存のインフラストラクチャに変更を加える必要があり、特に大規模な環境や古い環境では非常に複雑になる可能性があります。
  • レガシーシステムとの互換性制限: すべてのサービスやプラットフォームがまだパスキーをサポートしているわけではありません。古いソフトウェアやサードパーティツールに依存している組織は、移行期間中にハイブリッドモデルを運用する必要があり、これがかえってセキュリティを複雑にする可能性があります。
  • 初期費用: インフラストストラクチャの変更からユーザー教育まで、パスキーサポートのセットアップには時間と資金の両方で投資が必要であり、一部の組織にとっては高すぎる障壁となる可能性があります。
  • ユーザー教育と意識向上: パスキーはまだ比較的新しいため、多くのユーザーはその仕組みに慣れていません。導入は遅く、長いプロセスになる可能性があり、堅牢なオンボーディングとコミュニケーションが強く求められます。

パスワードは完全に置き換わるのか?

パスキーは、特に高セキュリティ環境やモバイルファーストのアプリケーションにおいて、主流への採用に向けて急速に進んでいます。しかし、だからといってパスワードが明日にも消滅するというわけではありません。レガシーシステムがパスキー技術と互換性がない場合や、互換性のあるデバイスにアクセスできないユーザーなど、パスキーの導入がまだ実現不可能なシナリオはたくさんあります。

この移行期間中、多くの組織はパスキーが推奨される一方で、パスワードが重要なフォールバックとして依然として使用されるハイブリッドモデルを運用する可能性が高いでしょう。そのため、パスワードがまだ利用可能な場所では、強力なパスワード衛生を継続的に実施することが極めて重要です。

パスワードセキュリティの重要性は依然として高い

パスキーが台頭しているとはいえ、パスワードは依然として認証ランドスケープの一部であり、適切に保護される必要があります。Specops Password Policyは、脆弱なパスワードや一般的に使用されるパスワードをブロックし、40億を超える侵害されたパスワードのライブデータベースに対してActive Directoryを継続的にスキャンすることで、より強力なパスワードポリシーの実施を支援します。

もしあなたがまだパスワードに頼っているなら、それがフォールバックとしてであっても、それがあなたの最も弱いリンクにならないようにしてください。

元記事: https://www.techradar.com/pro/security/how-secure-are-passkeys-really-heres-what-you-need-to-know

投稿をさらに読み込む