パスキーを利用した認証について考えてみる。

schedule 2023/11/16  refresh 2024/01/18

みなさん、こんにちは。

 

今回は今話題のパスキーについてお話します。実際に試してみると、便利な部分といくつか課題も見えてきました。

 

 

パスキーとは?

パスキーはFIDOの認証方法(認証資格情報)の1つで、FIDOに実装された新たな仕組みです。パスキーの開発は「Microsoft、Apple、Google」が行っており、IT業界の主要ベンダーですので、パスワードに代わる新たな方式、強いフィッシング耐性のある方式としてパスキーの利用が普及するのではと期待されています。

ただ、幾つか課題も抱えており、例えばパスキーのメリットとしては、鍵情報をOSプラットフォーム提供者(Microsoft、Apple、Google)のクラウドに保存して、デバイス間で共有できる点があります。これは同じAppleIDでiPhone、Macbookにログインするとパスキーを使った認証がどちらの端末でもできる、ということになり、スマートデバイスの紛失、買い替え時の移行問題などは解決できますが、エンタープライズの利用では「デバイスが固定できない」という点が課題となります。

また、FIDOは所有する端末と認証クレデンシャルが「1対1」になることが前提だったため、攻撃に強い認証方式でしたが、パスキーの仕組みでは鍵情報が保存されているクラウドのアカウントが漏洩すると、連携しているサービス全てが利用できてしまう可能性もあります。

そのため、デバイスに紐づく公開鍵(Device Public Key)の必要性など、2023年11月現在でも様々な議論、開発が行われており、しばらくは仕様や挙動が変わることが多いことを前提とする必要があります。

 

パスキーに対応したデバイスの登録

パスキーを使うためには対応したデバイスを認証基盤、サービスに事前に登録しておくことが必要です。弊社IDaaS「SeciossLink」やオンプレミス向け認証ソフトウェア「Secioss Access Manager Enterprise(SAME)」ではFIDOデバイスを登録する画面を用意しており、こちらからパスキーに対応した認証デバイスを登録します。

ちょっと変わっているのが、「Windows PC」からFIDOデバイスを登録する場合、ブラウザがQRコードを表示するので、iPhoneやAndroidのカメラでQRコードを読み込む必要があります。また、デバイスを検出するためにWindows PCの「Bluetooth」を有効(ペアリングは不要)にしておく必要があります(hybridというBluettoothにもとづいた技術を利用している)。

  • blog_20231116_1
  • blog_20231116_2

デバイスを登録する場合には、内臓センサーがそのまま利用できるスマートデバイス(iPhone、Android)のブラウザから実施するのが分かりやすく簡単でした。

 

どう活用するか?

これからパスキーを使った認証をどう活用していくか?についてですが、パスキーはFIDO認証方式の1つですので、パスワードに代わる新しい認証方式としては有用だと思います。ただ前述の通りパスキーの仕組みにはまだ課題があるようですので、導入に際して技術的な仕様の確認や(ブラウザが表示する)画面メッセージや遷移など事前検証を行うことをお勧めします。


弊社IDaaSは評価環境を提供しておりますので、是非お申込みいただき、検証にご利用ください。


今回は以上です。