パスワードを使う必要なく様々なサービスにログインできるようにする認証技術「FIDO(Fast IDentity Online、ファイド)」。その仕様を用いたパスワードレス認証「パスキー」がIT大手に採用されたことで注目されている。

 FIDOの普及を推進するFIDO Allianceは、パスキーの普及に向けどのような活動に力を入れており、どのような課題意識を抱いているのだろうか。2022年12月9日に実施された記者説明会から確認してみよう。

アップルやグーグルも採用する「パスキー」とは

 多くの人がWebサービスなどを使用する上で、日常的に使われているのがパスワードだ。パスワードによる認証はフィッシング詐欺の被害に遭いやすいなど多くの問題点が指摘されている。だが、それを代替する有効な方策がないことから、現在もなお多くのサービスの認証手段としてパスワードは日常的に用いられている。

 だがそのパスワードを使わずに認証の仕組みを構築しようという動きが出てきており、その代表的な存在となるのがFIDO Allianceである。FIDO Allianceはパスワードレスで認証できるFIDOという技術仕様を策定する団体で、2012年から活動を続けている。

パスワードレスで認証できる「FIDO」を推進する「FIDO Alliance」は、2012年の設立以降参加メンバーを増やし積極的な活動を進めている。写真は2022年12月9日のFIDO Alliance記者説明会より(筆者撮影)
パスワードレスで認証できる「FIDO」を推進する「FIDO Alliance」は、2012年の設立以降参加メンバーを増やし積極的な活動を進めている。写真は2022年12月9日のFIDO Alliance記者説明会より(筆者撮影)
[画像のクリックで拡大表示]

 FIDO Allianceは既に、セキュリティー関連だけでなくITサービスやデバイス、そして通信を手掛ける企業など250社がボードメンバーとして参加するなどIT関連業界からの関心が高まっている。日本からも多くの企業が参加しており、FIDOに熱心に取り組むNTTドコモなどは早い段階からFIDOを使い、生体認証などを用いたパスワードレス認証を導入している。

 とはいえまだFIDOの仕様を採用する企業が大きく増えているわけではないのだが、2022年に入ってFIDOの利用が大きく進む可能性を示す動きがあった。それは米Apple(アップル)、米Google(グーグル)、米Microsoft(マイクロソフト)といったIT大手が相次いで、FIDOの技術仕様を活用した「パスキー」を採用すると発表したからだ。

 パスキーはFIDO Allianceと、Webの標準化団体であるW3C(World Wide Web Consortium)が共同で規格化したもの。2018年に策定されたFIDOの新しい規格「FIDO2」により、パスワード不要でログインできる仕組み自体は実現できている。またWebサイト上でFIDO2による認証をするWeb Authentication(WebAuthn、ウェブオースン)という仕組みもFIDO AllianceとW3Cが策定している。

 だがFIDO2では認証するための資格情報(FIDO認証資格情報)を端末内に保存することから、端末を変えるたびに資格情報の再登録、つまり「ログインし直し」が求められるという弱点があった。そこで、資格情報を複数の端末で共有できるようにしたのがパスキーである。同じアカウントを用いた端末間で情報を同期することによって、複数の端末でFIDO2によるパスワードレス認証を可能にするわけだ。

「パスキー」はFIDOによるパスワードレス認証を複数のデバイスで同期して共用する仕組み。写真は2022年12月9日のFIDO Alliance記者説明会より(筆者撮影)
「パスキー」はFIDOによるパスワードレス認証を複数のデバイスで同期して共用する仕組み。写真は2022年12月9日のFIDO Alliance記者説明会より(筆者撮影)
[画像のクリックで拡大表示]

次ページ パスワードレス認証を複数のデバイスで使えるメリット