はじめに

パスキーをこれから利用してみようかと考えている方に向けて、メリットとデメリット、注意点などを簡単にまとめています。「パスキー」という言葉を初めて聞くという方はこちらのBlog記事を先に参考にしてみてください。

パスキーはパスワードに変わるものとして FIDO Alliance により設計されています。 FIDO Alliance によるとパスキーとは「パスワードを使わないあらゆるFIDO認証資格情報」を指します。

この記事では、FIDO Alliance の定義に則りパスワードを使わないあらゆるFIDO認証資格情報のことを「パスキー」と記載しています。また、FIDO認証資格情報を用いたパスワードを使わない認証手段のことを「パスキー認証」と記載しています。

細かいことはよく分からないという方は、パスキーは「パスワードの代わりになるもの」と覚えて記事を読んで頂けると分かりやすいと思います。

記事の中では「秘密鍵」という言葉が出てきます。パスキーの秘密鍵はパスキーを設定した際に自動的に作られる情報であり、システム内に安全に保管されます。パスキーの秘密鍵はアカウント所有者のみがもつ情報です。そのため、認証する際にアカウントの所有者であることを示す情報となりますので、他人に知られたり共有してはいけません。

ただし、アカウントの所有者がパスキーの秘密鍵をコピー＆ペーストするなど直接操作することはありません。また、アカウントの所有者の目に触れる機会は通常ありません。

このような方におすすめ

認証方法を今より改善したい

• より安全な認証方法を使用したい方
• パスワードの入力に毎回時間を要しており、手間と時間を削減したい方

認証に関する不安を解消したい

• アカウントへの不正アクセスの被害が心配な方
• フィッシング詐欺の被害に遭わないか心配な方
• 使用しているパスワードが漏洩していないか不安な方

メリットとデメリット

メリット

日々の認証にかかる時間を短縮します

パスワードを入力する手間がなくなります。
端末の生体認証や端末のロック機能を使用して認証を行うことができます。

身近な端末でパスキーを利用できます

専用機器は不要で、お手持ちのパソコンやスマートフォンを利用できます。

パスキーの秘密鍵は安全に保管されます

アクセスしようとしているサービスでは利用者の秘密鍵を保管しません。
パスキーの秘密鍵はパスキープロパイダ（クラウド上でパスキーの生成をする事業者）、もしくは、利用者の端末内に安全に保管されます。
利用者が秘密にすべき情報を直接管理する煩わしさから解放されます。

認証時にパスキーの秘密鍵を渡す必要はありません

アクセスしようとしているサービスに秘密鍵が送信されることはありません。
認証中の通信データが盗聴されたとしても秘密鍵は漏洩しません。

不正ログインを防ぎます

パスキーの秘密鍵を第三者が盗み出すことや推測することは困難です。

フィッシング詐欺の対策に有効です

システムが認証する対象のドメインを識別するので利用者が間違えることがありません。
認証に関する秘密にすべき情報を利用者が誤認して入力することがなくなります。

デメリット

アクセスするサービスがパスキー認証を提供している必要があります

パスキーに対応した端末や機器が必要です（2024年7月現在）

• Windows 10、macOS Ventura、ChromeOS 109 以降を搭載したパソコン
• iOS 14、Android 12 以降を搭載したモバイル端末
• FIDO2 プロトコル対応のハードウェアセキュリティキー

認証できない場合があります

認証に必要な端末が何らかの原因により故障している場合はパスキー認証できません。
認証に必要な端末を紛失してしまった場合は、原則として同じ種類のパスキープロバイダを利用できる端末を利用しないとパスキー認証できません。

注意点があります

共用している端末でパスキーを設定しない

ご自身が管理する個人の端末にのみパスキーを設定しましょう。
共用する端末で誤ってパスキーを設定してしまうと、他人にログインされてしまいます。
誤ってパスキーを設定してしまった場合は設定したパスキーを無効化するか削除しましょう。

パスキーを無効化したり削除する

パスキーを無効化したり削除する手段を確認しておきましょう。
端末を紛失した時など不測の事態に迅速に対応できるように予め備えておきましょう。
使用しなくなった端末のパスキーは無効化するか削除しましょう。

パスキーの秘密鍵を紛失した場合

パスキーの秘密鍵を紛失した場合は、アカウントにアクセスできなくなる可能性があります。
セキュリティ強度の高い認証手段を複数用意しておきましょう。
アカウントにアクセス出来なくなった場合の復旧手段を確認しておきましょう。

パスキーを使っているから必ずしも安全とは限らないです

攻撃者は弱い認証手段（例えばパスワード認証）を狙います。
設定している認証手段を見直しましょう。

パスキーを設定した方にもうワンステップ

攻撃者が狙いやすい認証手段を見直す

出来るのであればパスワード認証を無効に設定しましょう。
パスワード認証を引き続き利用する場合は、パスワード認証に二段階認証を加えましょう。

身近な人にパスキー認証をすすめる

組織の管理者や自分以外のメンバーにパスキーを設定することをおすすめしましょう。
組織のメンバー全員でパスキーを利用してみましょう。

関連する記事

• ヌーラボ、パスワード不要の生体認証「パスキー」を導入！より簡単・安全なアカウント管理を実現 | プレスリリース | 株式会社ヌーラボ(Nulab inc.)
• ヌーラボでパスキーを導入したって言ってるけど、パスキーって何ですか？ | 株式会社ヌーラボ(Nulab inc.)
• Appleのパスキーを使うとBacklog , Cacoo , Typetalkにパスワードレスでログインできます | 株式会社ヌーラボ(Nulab inc.)