ユピテルが提案する、ライフスタイルを豊かにする情報コラム

インターネットを利用する時、最も大切なものがセキュリティです。インターネットを安心して利用するためには、安全性の高いパスワードを設定し、適切に管理することが必須とされてきました。しかし今、パスワードに代わる新しい認証方式「パスキー」が登場しています。「ワード」を使わないパスキーの仕組みとメリットを解説します。

利用するサイトごとに異なる安全なパスワードを設定し、管理するのは手間がかかるもの。危険だと知りつつ同じパスワードを使い回している人もいるかもしれません。もちろん、私たちが入力するパスワードや他の情報は、そのまま送信されるわけではありません。これらは自動的に暗号化され、サービスの提供者やサーバーに送られています。こうした暗号化のルールを「鍵」と呼ぶことがあります。

暗号化の簡単な例として「タヌキ暗号」を考えてみましょう。送り手は元の文(平文)に「タ」を挿入し、「ユピテル」→「タユピタテタルタ」と暗号化。受け取る側が「タ」を抜けば、元の「ユピテル」に戻ります(復号)。この場合、「タを抜く」というルールが「鍵」に当たります。

「3文字ずらす」という「鍵」もあります。平文が「ABCD」なら、「鍵」を使えば「DEFGに暗号化され、受け取った側も「鍵」を使って「ABCD」に復号します(反対側に3文字ずらす)。もちろんネットの中では、この例よりはるかに複雑な「鍵」が使われています。

しかし、どんなに複雑なパスワードや鍵を作っても漏洩すれば復号は可能ですし、そもそもパスワードを入力するサイト自体が偽物という場合もあります。これは、いわゆるフィッシング詐欺と呼ばれるものです。フィッシング詐欺は2023年の上半期だけで2322件が報告され(国内)、30億円を超えるお金が騙し取られました。そこで、新しい暗号化方式として注目されているのが「パスキー」です。

パスキーは名前の通り、「ワード」を使わない認証方式ですが、やはり「鍵」を使用します。ただ「タヌキ」や「3文字ずらす」と異なるのは鍵の数。「タヌキ」や「3文字ずらす」では、暗号化する時と元に戻す(復号)時に同じ鍵を使います。これを「共通鍵暗号方式」と呼びます。

一方、パスキーでは自分が持つ「秘密鍵」と、サーバーやサービス提供者に渡す「公開鍵」の2つを使用します。これを「公開鍵暗号方式」と呼びます。あるサービスの利用を開始する時、ユーザーはまずこの1セット・2つの鍵を作成し、公開鍵をサービス提供者に登録しておきます。秘密鍵は自分の端末と、Apple、Google、Microsoftのクラウドに保管され、取り出すためには生体認証が必要となります。

では、パスキーを使ってあるサイトにログインする時、実際にどのようなことが行われるのでしょうか。実はユーザーがやらなければならないことは、使用する端末で生体認証を行うだけ。ログイン情報は生体認証によって取り出された秘密鍵で暗号化されて送信され、受け取ったサービス提供者側(サーバー)は公開鍵で検証(本人確認)を行い、ログインが許可されます。もちろん、これらの処理は自動的に行われるので、IDさえ作っておけば生体認証だけでOK。パスワードなしのログインが可能になるわけです。

☆あわせて読みたい
・Web3.0を知る3つのキーワード。メタバースだけではないブロックチェーン技術

パスキーには多くのメリットがあります。まず、サービス提供者が持っているのは公開鍵だけであり、自分のログイン情報をすべて渡す必要はありません。公開鍵は例え漏洩してもそれだけでは復号できないため、なりすましによる個人情報漏洩や不正利用を防ぐこともできます。秘密鍵は端末やクラウドに保存されているので安全ですし、そもそも秘密鍵を取り出すには生体認証が必要なので、他人がアクセスすることは不可能です。

こうしたセキュリティ面のメリットに加え、スマホのロック解除と同じ手間(生体認証)だけでサインインできる点や、作ったパスワードをうっかり忘れて再設定するなどのわずらわしさがなくなる点も魅力です。端末を紛失したり買い替えたりしても、クラウドにアクセスすれば同じパスキーを使い続けることができますし、使用していない端末でも、いつものスマホがあればBluetooth経由でパスキーの利用が可能です。また、ワンタイムパスワードをSMS(ショートメッセージ)で送信してもらう必要もないので、SMS非対応の回線でも使用できます。アプリやサービスへのサインインを、これまでよりずっと安全で簡単に行えるようになるのです。

同じアカウントでしか同期できない、サービスによっては専用アプリが必要、まだサポートしていないサービスやブラウザがあるなどの課題もありますが、今後、利便性はさらにアップするでしょう。パスワードの入力という作業自体がなくなる日も近いかもしれません。

☆あわせて読みたい
・Z世代の新常識。DX推進を加速させる生体認証の今を探る

インターネットをより安全で便利に利用するため、様々な技術が開発されてきました。パスキーは、長らく使用されてきたパスワードに代わる新しい技術として期待されています。もしパスキーに対応しているサービスがあれば、利用してみてはいかがでしょうか。一度使ってみればその利便性や安全性が実感できるでしょう。

☆あわせて読みたい
・いまさらだけどスマートリモコンって何？気軽・手軽にスマートホーム化！
・ニューノーマル時代に注目される非接触タッチパネルとは

※Bluetooth®ワードマークおよびロゴは登録商標であり、Bluetooth SIG, Inc. が所有権を有します。
※AppleおよびAppleロゴは、米国その他の国で登録されたApple Inc. の商標です。
※GoogleおよびGoogleロゴは、Google LLC. の商標または登録商標です。
※Microsoft®は米国Microsoft Corporation の米国およびその他の国における登録商標です。