パスワードを不要にする認証方式4つをご紹介

皆さん、こんにちは。

以前にこのニュースレター記事の中で、中高生による楽天モバイルの不正契約事件を取り上げました。

◇以前の記事「通信キャリアの不正利用対策」（2025/4/1）

楽天モバイルのセキュリティ対策に甘さがあったことも問題ですが、そもそも利用者が設定しているパスワードがハッキングされやすいものになっていなかったかどうかも、問題となります。

ほぼ全てのWebサービスやアプリでパスワードの設定は必須であり、これをどうするかは古くて新しい、大問題です。

私自身も、メールやSNS、オンラインバンキング、各種会員サイトなど、数えてみたところ220個以上のパスワードを設定していました。

なるべく、それぞれ異なるパスワードを設定するように心がけていますが、中には共通のものやパターン化しているものがあるのも事実です。

IPA（独立行政法人情報処理推進機構）などの調査によると、「1234」や「1111」、「abcd」などの単純なパスワードや、全サービスで同一のものを使用しているケースも意外と多いそうで、これがフィッシング詐欺やアカウント乗っ取りなどの被害を増やす一因とされています。

とは言え、膨大なサービスやアプリに対して、全て異なる複雑なパスワードを設定し、管理するのは、もはや現実的ではありません。

これは絶対にNGですが、パスワードを紙にメモしてパソコンに貼ったりしたら、それこそ情報漏えいリスクも高まります。

私自身が、もはや膨大なパスワードを適切に管理することが限界に近づいているため、近年登場している「パスワードを不要にする認証方式」について調べてみましたので、今回はそれを整理してご紹介したいと思います。

パスワードの概念を不要とするパスキー方式

まずご紹介するのは、「パスキー（Passkey）」方式です。

Google、Apple、Microsoft、Intelなどが参加するFIDOアライアンスが主導する認証方式で、2022年ごろから「パスキー」という呼称で普及が始まりました。

FIDOは「Fast IDentity Online（高速オンライン認証）」の略称とされています。

◇パスキーとは？Android スマホでの設定方法やパスワードとの違いを解説（2024/7/16）

この方式では、スマートフォンが「認証器」として使われます。

スマートフォンに顔認証や指紋認証などの生体認証情報とPIN（個人識別番号）をあらかじめ登録しておき、サービスごとに公開鍵を生成して認証を行う仕組みです。

スマートフォン内に生成・保存された秘密鍵との間で認証を行うため、そもそもパスワード自体が存在しません。

（秘密鍵と公開鍵を使用するRSA認証は、インターネット社会を支える基本的な暗号化技術ですが、ここでは話が長くなりますので、またどこかの機会に解説できればと思います。）

サービスにログインしようとすると、スマートフォンで生体認証を行い、これが通過すればそのままログインできます。

パスワードがないため、パスワード漏えいリスクそのものが存在せず、非常に強固な認証方式といえます。

弱点としては、スマートフォンが盗難され、かつPINが漏えいした場合に、不正ログインのリスクが生じます。

顔や指を怪我したり、スマートフォンのカメラや指紋センサーが故障したりして生体認証が使えない場合もあり得るため、PINの設定は必須です。

万が一スマートフォンが盗まれた場合に備え、Androidなら「デバイスを探す」、iPhoneなら「探す」機能を使って遠隔で端末を初期化できるよう、対策しておく必要があります。

ソーシャルログインや生体認証連携

次に、「Googleでログイン」や「Facebookでログイン」といった、いわゆるソーシャルログインについても触れておきます。

この方式は、GoogleやFacebookなどが認証した結果を、Webサービス側が信頼してログインさせる仕組みです。

例えば、Googleアカウント自体がパスキー方式で認証されていれば、その結果を使うソーシャルログイン先のサービスも、実質的にはパスキー方式の認証を利用しているのと同じと言えるでしょう。

また、スマートフォンの生体認証機能をAPI経由で利用するサービスもあります。

私が使っている某ネット銀行のアプリでは、スマートフォンの指紋認証でログインできますが、これは端末内にパスワードを保持しておき、生体認証で代わりに認証しているだけで、裏側にはパスワードが存在しています。

一見パスキー方式と似ていて紛らわしいですが、根本的には異なります。

パスキー方式はパスワード自体が不要なのに対し、この方式はパスワードを見せずに裏側で使っているスタイルなので、セキュリティ的にはやや劣るかもしれませんが、利便性ではパスキー方式に近い使い勝手を実現しています。

パスワードマネージャーの利用

以上3つの方式は、各サービスやアプリがその認証方式に対応しているかによります。

ではこのいずれにも対応していないサービスやアプリはどうするか。

その対応策として「パスワードマネージャー」があります。

GoogleパスワードマネージャーやAppleのiCloudキーチェーンなどが代表例で、これらはパスワードを記憶し、スマートフォンなどの生体認証結果をもとに、自動的に入力してくれる仕組みです。

根本的にはサービスごとにパスワードは設定しなければなりませんが、パスワードマネージャーが覚えてくれるため、日常的には意識せずに済みます。

パスワード自体を不要にするのではありませんが、「パスワードの入力を不要にする」認証ですので、パスワードを記憶する必要がなくなり、破られにくい長くて複雑なパスワードを設定することが可能になります。

パスワードを不要にするメジャーな仕組みとしては、概ねこれら4つの方式があることが分かりました。

パスワードを不要にする認証方式の今後

今後は、パスワードの存在自体が不要なパスキー方式が標準的な認証方式となることが最も望ましいように思いますが、現時点で対応しているサービスはまだ限られています。

GoogleやApple、MicrosoftといったFIDOアライアンスの中心メンバーの他、AmazonやPayPalなどの大手グローバルサービス、国内では一部金融機関や楽天グループなどで少しずつ導入が進んでいるものの、実装コストや開発期間などの問題から、本格的な普及にはもう少し時間がかかりそうです。

一方で、日本は超高齢社会であり、故人が使っていたWebサービスに遺族がアクセスできなくなるという問題も実は深刻化しつつあるようです。

膨大なサービスのパスワードを全て書き遺すのは非現実的で、今回ご紹介した4つの方式を活用し、可能な限りパスワードレス化を進めることが「デジタル終活」の観点からも重要だと感じます。

パスワードマネージャーでは、登録してあるパスワードを一括エクスポートすることも可能なため、それを遺しておくことでかなり解決するのではないでしょうか。

今回の内容は、私自身もまだ勉強し始めたところですので、利用を進めながらさらに深掘りしていきたいと思います。

それでは今回はこの辺で。

宜しくお願い致します。

ニュースレターの最新号をメールでお知らせしますので、こちらのデジタルビズ・トップページより、ぜひ配信登録をお願い致します。