パスキーとは?
パスキーとは、従来のパスワードを使わずにウェブサイトやアプリにログインするための新しい方法です。文字列を作成して覚える代わりに、スマートフォン、ノートパソコン、タブレットなどのデバイスが、ユーザーが本人であることを証明するための固有の暗号鍵ペアを生成します。認証には、指紋スキャン、顔認証、PINなど、デバイスにすでに組み込まれている機能を使用します。ウェブサイト側には実際の秘密情報が渡されることはなく、正しい本人であるという暗号的な証明のみが送信されます。
パスキーはFIDO2およびWebAuthnのオープン標準に基づいて構築されており、Apple、Google、Microsoftのエコシステムを含む主要なプラットフォームで動作します。Google、Apple、GitHub、PayPalなどの主要サービスはすでにパスキーに対応しており、普及は急速に進んでいます。
パスキーの仕組み
すべてのパスキーは、数学的に連携した2つの鍵で構成されています:公開鍵と秘密鍵です。
- 公開鍵は、サインインするウェブサイトやアプリのサーバーに保存されます。
- 秘密鍵はデバイスの外に出ることはありません。生体認証またはデバイスのPINによってロックされています。
ログイン時、サーバーはデバイスにチャレンジ(本質的にはランダムなデータ)を送信します。デバイスは秘密鍵を使ってそのチャレンジに署名し、署名をサーバーに返送します。サーバーは公開鍵と照合して署名を検証し、一致すればアクセスが許可されます。
パスワードが送信されることも、サーバーに保存されることも、漏洩することもありません。仮にウェブサイトのデータベースが侵害されても、攻撃者が入手できるのは公開鍵のみであり、それ単体では何の役にも立ちません。
VPNユーザーにとってパスキーが重要な理由
VPNユーザーは一般的なインターネットユーザーよりもセキュリティ意識が高い傾向があり、パスキーはVPNユーザーが対策しようとしている最も一般的な脅威に直接対応しています。
フィッシング耐性: 従来のパスワードは偽のログインページから盗まれる可能性があります。パスキーは特定のドメインに暗号的に紐付けられているため、本物そっくりの偽サイトであっても、デバイスから認証情報を騙し取ることはできません。これはパスキーが提供する最大の実用的なセキュリティ上のメリットのひとつです。
クレデンシャルスタッフィングリスクの排除: 再利用可能なパスワードが存在しないため、漏洩したユーザー名とパスワードの組み合わせを複数のサービスで試すクレデンシャルスタッフィング攻撃は、パスキーで保護されたアカウントに対しては機能しません。
VPNアカウント自体の保護: 多くのVPNプロバイダーがアカウントログインへのパスキー対応を開始しています。VPNアカウントがパスキーで保護されていれば、他のサービスの漏洩によってメールアドレスとパスワードを入手した攻撃者であっても、ログインしたり、サブスクリプションを変更したり、アカウント設定にアクセスしたりすることはできません。
ゼロトラストセキュリティとの親和性: 企業VPNユーザーやリモートワーカーにとって、パスキーはリソースへのアクセスを許可する前に強力なフィッシング耐性のある本人確認を提供することで、ゼロトラストネットワークアクセスモデルを補完します。
実用的な例とユースケース
- 個人アカウントのセキュリティ: Googleにアクセスして「パスキーでサインイン」をタップすると、スマートフォンが指紋認証を求めます。それだけで完了です。パスワードは不要です。
- 企業のリモートアクセス: 従業員が職場のノートパソコンのパスキーを使用してリモートアクセスVPNに認証することで、VPNパスワードの盗難による不正アクセスのリスクを排除します。
- 出張時のセキュリティ: 監視リスクの高い地域や公衆Wi-Fiのリスクがある場所を移動中でも、パスキーを使用していればキーロガーやネットワークスニファに盗まれるパスワード自体が存在しません。
- 開発者およびサーバーアクセス: GitHubなどのプラットフォームはパスキーに対応しており、パスワードを露出させることなくリポジトリやインフラへのアクセスを保護します。
まとめ
パスキーはパスワードに対する真の改善を意味します。より安全で使いやすく、最も一般的な攻撃手法への耐性を備えています。オンラインのプライバシーとセキュリティを重視するすべての方にとって、可能な限りパスキーを有効にすることは、今すぐ実践できる最も効果的な対策のひとつです。