パスキーが変える本人確認の新しい当たり前

　クラウドサービスの利用には本人確認が求められる。なんらかの方法で正当な利用者であることを認証してパスした場合だけサービスを利用できる。だが、サービスによっては(カネを払う)代表者のアカウントを親として、子となるサブアカウントを複数作れるものがあるなど複雑な運用がなされている。はてさて、これからの本人確認はどうなっていくのだろう。

そのパスキーは世界標準に準拠しているか

　新しいスマホを使い始めても、各種アプリの移行やサービスへのログインなどがちゃんとできるかどうかの確認が終わるまでは、とてもじゃないがそれまで使っていた愛機を手放すことはできない。AppleやGoogleのアカウントがIDとパスワードを覚えていて、それを自動入力してくれるはずだが、それができないアプリやサイトもあるからだ。

　また、最近ではパスキーを採用するサービスも増えてきている。パスキーではパスワードを覚えなくてもいいのは負担が少ないのだが、ドコモやKDDIなど、通信会社が提供するサービスなどでは、中途半端なパスキー運用で、SIM認証が組み合わせられているため、PCなどでの利用が著しく面倒くさくなっているといった事実もある。これではせっかくの世界標準の意味がない。

　パスキーというのはパスワードレス認証を実現するためのオープンスタンダードな技術仕様で、FIDO2による公開鍵認証の方式だ。秘密鍵と公開鍵を使うことで、サーバーにも通信経路にも依存しない認証ができる。この仕組みの本質は、認証に使う秘密鍵が端末内に閉じていて、サーバー側には対応する公開鍵だけが登録されるという点にある。従って、たとえサーバーが侵害されても、ユーザーの秘密キーは漏れない。パスワードが端末の外に出ないのだから、その安全性は高い。なにしろ漏洩しては困るパスワードを設定しなくてもいいのだ。最初からないのだから忘れることもない。

　パスキー情報は、生体認証ができるスマホに、AppleやGoogleのアカウントで保存されて、機種変更時にも同じOS同士であれば新たな端末には自動的に同期されるので、エンドユーザー側で特に何かをする必要はないのだが、とりあえずは、すべてのサービスが使えるかどうかをチェックしておくと安心だ。そのくらいやっておいても、ついうっかりがあるから怖いし、ちゃんと標準準拠していないサービスも存在する。

　パスキーの普及は進んでいるが、まだすべてのサービスが対応しているわけではない。従来のパスワード認証も当面は併用せざるを得ないのが現状だ。そうした『パスワード』の運用についても、国際的な見直しが進んでいる。

　その代表が、NIST(アメリカ国立標準技術研究所: National Institute of Standards and Technology)によるパスワード運用ガイドラインの改訂だ。NISTがパスワード認証に関するガイドラインを更新し、パスワード運用についての新たな見解を公にした。NISTのガイドラインでは、パスワードの強度について付録の参考情報として提供されている。

　まず、長さについては8文字以上、可能であれば15文字以上を推奨すべきだ。最大長についても64文字以上を許容すべきだという。つまり、好きなだけ長く設定することを推奨する。ただ、数MBに及ぶような長いパスワードは、システム負荷を考慮し、ある程度の制限を設けるのは合理的だとしている。かといって、複雑なパスワードは新たな脆弱性をもたらすともいう。決めた当人が記憶できなくなって、書き留めたり、安全ではない方法で電子的に保存されたりする可能性が高くなるからだ。

　文字種については一般的な英数記号に加え、スペースやユニコード文字などの利用を許可すべきだという。日本語なら漢字のパスワードもありということか。その一方で、大文字、小文字、数字、記号の混在が必須といったルールを課してはならないとしている。

　定期的、周期的に変更することを必須とすべきではないとし、よくある「あなたの飼った最初のペットの名前は？」といったKBA(Knowledge-Based Authentication)をパスワードの変更時に使ってはいけないともしている。

　日本では金融庁が「金融商品取引業者等向けの総合的な監督指針」の一部改正があり、インターネット取引に対する不正アクセス対策を強化する観点から、「フィッシングに耐性のある多要素認証」の実装・必須化が明確に盛り込まれている。具体的にはパスキーによる認証など、フィッシングに耐性のある多要素認証が求められる。金融業界に対してパスキー導入を検討し、優先するべきだとし、パスキー導入を促進する姿勢を示している。

1つの鍵ですべてが開く

　パスキーが普及しつつある今、理想と現実の間にはまだ隔たりがある。理想は、すべてのクラウドサービスが標準準拠で、パスキーだけで本人確認が完結する世界だ。だが、現状では同期や運用の面でそれが保証されていない。こうした動きがある以上、そして、ルールが複雑すぎてエンドユーザーが自分が使うパスワードの決定に関与しにくくなりつつあることを踏まえれば、パスキーの導入は、今後の各種クラウドサービスの新しい当たり前になっていくだろう。

　だが、そうしたことができるのは、パスキーの同期が完全に機能していることが保証されている場合だけだ。つまり、パスキー単体で本人確認を完結できなければ、かえって使いにくいものとなってしまう。

　金融サービスの利用もSNSの利用も、はたまたメール、そして、クッキングサイトのレシピ保存まで、クラウドにはさまざまなサービスがある。人の生死にかかわるものもあれば、なくしたところで特に大きな不利益をこうむらないものもある。

　でも、このサービスに重要な情報は預けないからパスワードはいい加減でよいとか、このサービスが使えなくなったら死活問題につながる投資や貯蓄関連は強固に守るといった棲み分けをさせると、かえってややこしくなる。守りがどれほど強くても、それで不便が発生するわけではないのだから、一定水準の守りをすべてのサービスに対して施しておくのがよさそうだ。近頃流行のアニメのタイトルくらいに長いパスワードをローマ字で設定しておくのもよさそうだ。日本語パスワードを使うと変換過程が画面に表示されるのでちょっと危険を感じる。

　ちなみにWindowsでは設定アプリのアカウントにある「パスキー」で、そのデバイスに保存されているパスキーを確認することができる。利用のためには生体認証またはPINが必要だ。そこをクリアできればパスワードをやりとりしなくても、安全に認証ができ、サービスの利用にこぎつけられる。

　パスワードや認証情報の整理は、今やデジタル資産の管理でも重要なテーマだ。

　自分が使うクラウドサービスとそのID/パスワードを安全に一覧化しておくことは、スマートなデジタル終活の1つといえる。パスキーに完全に準拠したサービスばかりであれば、サービス名の一覧だけで、あとは、その認証を一気に突破して鍵束を得ることができる鍵があればいい。それが指紋や顔などの生体認証だ。もっともFIDO規格では指紋、顔、PINは同列扱いだ。だからPINだけをどこかに残しておけば、あとはなんとかなるだろう。

　それでは困る内緒のサービス利用についてはほかの方法を考えるべし、ということのようだ。