Passwordless Authentication

パスワードレス認証（Passwordless Authentication）とは、従来のパスワードを使用せずに、生体認証、ハードウェアセキュリティキー、マジックリンクなどの代替手段でユーザーの本人確認を行う認証方式です。パスワードに起因するセキュリティリスクを根本的に排除することを目的としています。

パスワードはデジタルセキュリティにおいて最大の脆弱性の一つです。調査によると、データ侵害の80%以上が窃取された認証情報や弱いパスワードに起因しています。ユーザーの65%が複数のサービスでパスワードを使い回しており、フィッシング攻撃によるパスワード窃取は年々増加しています。

この問題を解決するため、FIDO Alliance（Fast IDentity Online Alliance）が推進するパスキー（Passkeys）は、Apple、Google、Microsoftの三大プラットフォームが共同で採用を進める次世代認証技術として注目を集めています。パスキーは公開鍵暗号方式に基づき、フィッシング耐性を持ち、ユーザーの利便性も高い認証手段です。

パスキー（Passkeys）

パスキーは、FIDO2/WebAuthn標準に基づいたパスワードレス認証の実装であり、ユーザーのデバイスに保存された秘密鍵と、サービス側に登録された公開鍵のペアを使用して認証を行います。ユーザーは指紋や顔認証でデバイスのロックを解除するだけで、安全にサービスにサインインできます。

• デバイスバウンドパスキー：特定のデバイス（ハードウェアセキュリティキー等）から秘密鍵が取り出せない方式。最高レベルのセキュリティを提供
• 同期パスキー：iCloudキーチェーン、Google Password Manager等を通じてデバイス間で秘密鍵を同期する方式。利便性が高いが、クラウドアカウントの保護が重要

FIDO2 / WebAuthn

FIDO2は、W3CのWeb Authentication（WebAuthn）とFIDO AllianceのClient to Authenticator Protocol（CTAP）から構成される認証標準です。

• WebAuthn：ブラウザとWebサーバー間の認証プロトコル。JavaScriptのnavigator.credentials APIを通じて公開鍵暗号方式による認証を行う
• CTAP2：ブラウザと外部認証器（セキュリティキー、スマートフォン等）間の通信プロトコル。USB、NFC、Bluetoothに対応

FIDO2の最大の特徴はオリジンバインディングです。認証情報は登録時のドメイン（オリジン）に紐付けられるため、フィッシングサイトに認証情報を送信することが原理的に不可能です。これにより、最も一般的な攻撃手法であるフィッシング攻撃を完全に防止できます。

生体認証（Biometrics）

• 指紋認証：Touch ID（Apple）、指紋センサー（Android）。高速で利便性が高い。デバイス内のセキュアエンクレーブで処理され、生体データはサーバーに送信されない
• 顔認証：Face ID（Apple）、Windows Hello。赤外線深度センサーによる3D顔認識で、写真による偽装を防止
• 虹彩認証：目の虹彩パターンによる認証。非常に高い精度を持つが、専用ハードウェアが必要

重要なのは、パスワードレス認証における生体認証はローカル認証として機能する点です。生体データそのものがネットワークを経由してサーバーに送信されることはなく、デバイス上で生体認証に成功した結果として暗号学的な証明がサーバーに送信されます。

マジックリンク

マジックリンク（Magic Link）は、ユーザーのメールアドレスに一回限り有効な認証用リンクを送信する方式です。Slack、Notion、Mediumなどが採用しています。パスワードの記憶が不要で導入も容易ですが、メールアカウントのセキュリティに依存し、メールの遅延やフィッシングメールとの区別が難しいといった課題があります。

ハードウェアセキュリティキー

YubiKey（Yubico社）やGoogleのTitan Security Keyは、USBポートやNFC/Bluetoothで接続する物理的な認証デバイスです。FIDO2/WebAuthn、FIDO U2F、PIV、OpenPGPなど複数のプロトコルに対応し、デバイスバウンドの秘密鍵を安全に保管します。Googleは全社員にセキュリティキーを配布した結果、フィッシングによるアカウント侵害が実質ゼロになったと報告しています。

Apple / Google / Microsoft のパスキー対応

• Apple：iOS 16、macOS Venturaからパスキーを正式サポート。iCloudキーチェーンを通じたデバイス間同期に対応。AirDropやQRコードによる他デバイスとのパスキー共有も可能
• Google：Android 14、Chrome 118以降でパスキーを完全サポート。Google Password Managerによる同期。Googleアカウント自体のパスキーログインにも対応
• Microsoft：Windows Hello、Microsoft Authenticatorを通じたパスキーサポート。Windows 11でのネイティブ統合。Microsoft 365のパスワードレスサインインを推進

パスワードの根本的な問題

• パスワードの使い回し：1つのサービスで流出したパスワードが、他のサービスへの攻撃に利用される（クレデンシャルスタッフィング）
• フィッシングへの脆弱性：偽のログインページにパスワードを入力させる攻撃が高度化・大量化
• ブルートフォース攻撃：弱いパスワードは自動化ツールで短時間に突破される
• パスワード管理の負担：複雑で一意なパスワードを数十〜数百のサービスで管理することは人間の認知能力を超えている
• サーバーサイドの漏洩リスク：サービス側のデータベースが侵害され、パスワードハッシュが大量に流出する事件が繰り返されている

• 01
  パスキー（FIDO2/WebAuthn）の優先導入：新規サービスの認証にはパスキーを第一選択肢としてください。既存サービスでもパスキー対応を段階的に導入し、パスワードからの移行を計画的に進めましょう。フィッシング耐性と利便性を両立できます。
• 02
  移行期間中のパスワード＋パスキー併用：パスワードレスへの完全移行には時間がかかります。移行期間中は、パスキーとパスワード（＋MFA）の併用を認めつつ、パスキー利用を積極的に促進してください。パスキー登録済みユーザーには段階的にパスワードレス認証をデフォルトに設定しましょう。
• 03
  バックアップ認証手段の確保：パスキーが利用できない状況（デバイス紛失・故障）に備えて、複数のパスキー（異なるデバイス）の登録を推奨してください。リカバリーフローには本人確認の厳格なプロセスを設計し、ソーシャルエンジニアリングによるアカウント乗っ取りを防止しましょう。
• 04
  生体データの安全な取り扱い：生体認証データはデバイスのセキュアエンクレーブ内でのみ処理し、サーバーには送信しない設計を徹底してください。生体データの一元管理はリスクが高いため、FIDO2のように生体認証をローカルで処理するアーキテクチャを採用しましょう。
• 05
  マジックリンクのセキュリティ強化：マジックリンクを採用する場合、リンクの有効期限を短く設定（5〜15分）し、一度使用したリンクは即座に無効化してください。リンクのトークンには十分なエントロピー（128ビット以上）を確保し、IP制限やデバイスフィンガープリントの検証も検討しましょう。
• 06
  パスワードレス対応のユーザー教育：パスキーやセキュリティキーの使い方について、ユーザー向けのガイダンスやオンボーディングフローを整備してください。技術に不慣れなユーザーでも迷わず登録・利用できるUXデザインが、パスワードレス移行の成否を左右します。