技術情報コラムColumn

◆脚光を浴びる「パスキー」

近年、指紋や顔といった生体情報などを活用する新しい認証方式「パスキー」の導入が、様々なサービスで広がっています。

証券口座の乗っ取り事件などを踏まえ、関係当局から不正アクセス対策の強化が求められてもいました。従来のID・パスワード認証では、証券会社を装ったフィッシングサイトなどで情報が盗まれ、不正アクセスを許してしまうケースがあったためです。その対抗策として選ばれたのが「パスキー」です。

◆「パスキー」の仕組み

パスキーは、従来の「記憶（パスワード）」に頼るのではなく、デバイス（スマホやPC）そのものを使って認証※を行います。

（※より正確に言うと「アカウントに紐づく鍵ペアを用いたチャレンジレスポンス方式」となります。）

【1. 登録時：デジタルなカギを作成】

ユーザーのデバイス内で、ペアとなる2つの鍵（秘密鍵と公開鍵）が生成されます。

• 秘密鍵は、デバイス内に厳重に保管され、外部には一切出ません。
• 公開鍵は、サービスのサーバーに送信・保存されます。

【2. 利用時：署名による認証】

ログインの流れは以下の通りです。

1. ログイン要求

ユーザーが「ログイン」ボタンを押すと、サーバーから「その場限りのランダムな文字列」が送られてきます。

2.デバイスによる確認と本人確認

• デバイスが「正しい接続先か」を自動でチェックします
• ユーザーに秘密鍵の使用許可を求めます（指紋・顔認証やPINコードで解除）

（※生体情報はデバイスのロック解除に使われるだけで、サーバーには送信されません。）

3.署名の返送

本人確認ができると、デバイスは秘密鍵を使ってランダムな文字列に「電子署名」を施し、サーバーへ返送します。

サーバーはあらかじめ預かっていた公開鍵でその署名を検証し、ログインを完了します。

◆「パスキー」の強み

この仕組みにより、従来のパスワードにはないメリットがあります。

1.フィッシング詐欺に強い

パスキーは登録した正しい接続先かをチェックします。

偽サイト（フィッシングサイト）ではデバイスが反応しないため、認証情報が盗まれることを防げます。

2.公開鍵単体が漏洩しても安全

サーバー攻撃により公開鍵が万が一漏洩しても、それ単体では認証に悪用できません。

3.パスワード管理の手間からの解放

「サービスごとに複雑なパスワードを設定する。使いまわさない。」といった管理が不要になります。

（※パスキーに対応していないサービスでのパスワード管理や復旧の手段の確認は必要）

◆まとめ

パスキーはセキュリティ強度が高く、かつ利用時の手間も少ないため利便性にも優れています。サービスが対応している場合は、利用を検討されてはいかがでしょうか？