<今更聞けちゃう!【パスキー】とは?>
今回は、セキュリティの世界では良く聞く【パスキー】について紹介をしていこうと思います!CISSP、情報処理試験では重要性は高くないかと思いますが、ホットな技術であることは間違いないので、基本的な事だけでも押さえて行きましょう(^^)/
まずは、パスキーとはなにか?ここから行きます。
[パスキー (Passkey) とは?]
→パスワードに関連するセキュリティリスク(例:パスワードの使い回し、単純なパスワードの利用、パスワードを忘れてイライラするあの時間)を解消するために開発され、パスワードを使わずに簡単で安全に認証ができるイケてる技術。
という具合かなと思います。
では、このイケてる技術はどのような仕組みになっているのでしょうか。ポイントを解説していきます!
[パスキーを支える仕組みは?]
→ずばり、【公開鍵暗号】に支えられた認証方式=パスキーであり、以下の2つの鍵で成り立っています。
①公開鍵:認証を行うサーバーに保存される。
②秘密鍵:ユーザーのデバイスにのみ保存される。(この鍵がパスキーの安全性の要と言っても過言ではないくらい、しっかりと管理する必要がある!)
→より具体的には、以下のプロセスの中で、①、②の2つの鍵を活用する(=公開鍵暗号)ことで成り立っている技術と言えます!(^^)!
[パスキーのプロセス]
1. 登録時:ユーザーが新しいサービス(例:Facebook)を初めて利用するとき、デバイス(例:iPhone、PC)が公開鍵と秘密鍵のペアを生成します。公開鍵はサービスに送信され、秘密鍵はデバイスに保存されます。
2. ログイン時:サービスにログインする際、サービス側は公開鍵を使ってデバイスに認証を要求します。デバイスがユーザーの生体認証(例:指紋、顔認証)を通して秘密鍵を使用し、認証応答をサービスに送信します。
3. これでサービスを利用することが可能。ユーザーからすると、生体認証するだけでサービスが利用でき、パスワードを打ち込んだりする必要もなく非常に楽ちん(^^)/
どうでしょうか?今までのパスワードを主とする認証よりも、何よりも楽で良さそうですよね!ここでパスキーの利点をまとめておきたいと思います。
[パスキーの利点]
・パスワードを覚えなくて良い(=生体認証で秘密鍵を利用するため)
→説明不要ですね。パスワード無しの世界がいかに楽で安全か想像頂ければと思います!
・フィッシング対策になる
→パスワードが不要の副産物ですが、そもそもユーザーが誤って偽サイトに打ち込むパスワード自体が存在しないので、従来のフィッシング攻撃をほとんど防ぐことが期待できます。
・強力な認証の実現
→パスキーの利用には生体認証が基本的に必須となるため、パスワードに代表される従来の認証方式よりもデフォルトではるかに強い認証が可能。
やはり、良いですね。でも良いことの裏には必ず欠点や課題があったりするものです。パスキー自体は素晴らしい技術ですが、最後に敢えてパスキーの欠点を僕なりにまとめてみたいと思います。
[パスキーの欠点]
・まだまだ対応しているサービスが少ない
→Apple、Google、MSなどの大手企業はパスキーに対応して来ておりますが、まだまだ極少のサービスでしかパスキーが利用できません。ここは欠点というよりも、今後の課題となってくるかと考えます。
・デバイス依存が基本になる
→上述の通り、秘密鍵というセキュリティの要は基本的に各デバイスに保存されるため、デバイス紛失時、デバイス交換時には再設定が必要となり、企業ユースなどでは大きな手間と工数が生まれる可能性があります。
(但し、企業向けパスワードマネージャーを認証器とすることで対応可能な面もあります)←あ、宣伝っぽくなってしまいますね(;'∀')
はい!今回はこのあたりで終わりです。最後までありがとうございました!
(酷暑が続きますが、夏は良いですね。すっかり真っ黒に焼けております(笑))