パスワード忘れに漏洩 そんな悩みと無縁の認証技術
「誕生生日だっけ? いや、何かの記念日だったか?」
アプリやサイトのログイン画面で、思いつくパスワードを入れては何度もはじかれる─。そんな経験がある人は多いだろう。ネットを使う限り、ずっとつきまとうのがパスワードだ。私も自分で決めたパスワードがわからなくなったことは数知れない。最後は「パスワードを忘れましたか?」のボタンを押して、パスワードを再設定するーーといったことを繰り返してきた。
思い立って、グーグルの「パスワードチェックアップ」という機能を試してみた。「漏洩(ろうえい)した可能性があるパスワード」が2件、「脆弱(ぜいじゃく)なパスワードを使用しているアカウント」が129件もあった。
パスワードをめぐるそんな悩みが、なくなるかもしれない。
「今年は『パスキー』がより熱いトピックになる」
今年1月、米首都ワシントンで開かれたイベントで、ネットの認証の標準化を推し進める米業界団体「FIDOアライアンス」の幹部がそう訴えた。
パスキーとは、様々な機器やサービスを「パスワードなし」で使えるようにするための認証技術のことだ。
FIDOによると、情報漏洩(ろうえい)の8割以上はパスワードが原因。利用者は平均90のオンラインアカウントを持っており、パスワードの51%が使い回されているという。
事業者側にとっても損失は大きい。オンラインでの買い物をする人の約3分の1が、購入前にパスワードがわからず離脱しているとされる。
米調査会社ジャベリン・ストラテジー&リサーチによると、米国では2021年に4000万人以上が個人情報の盗難被害に遭い、被害額は約520億ドル(約7兆円)にのぼる。
FIDOは2012年の設立以降、「パスワードなし」の認証技術の普及に取り組んできた。その取り組みが一気に注目を浴びたのが、昨年のある発表だった。
国際標準化に向け、米IT大手3社が足並みそろえる
「世界パスワードの日」の昨年5月5日。アップル、グーグル、マイクロソフトの米IT大手3社が、そろって「パスワードをなくす」と宣言した。彼らが導入したのが、FIDOがウェブの国際標準化団体「W3C」と共同で推進するパスキーの技術だった。
FIDOが進めてきた「パスワードレス」の技術は「公開鍵暗号」と呼ばれる。オンラインであるサービスに登録する際、利用者には鍵のペアが割り振られる。
一つは「公開鍵」と呼ばれサービス側で保管され、もう一つの「秘密鍵」はスマホなどのデバイスに保存される。利用者が顔認証などでスマホのロックを解除すると、パスワードなしで二つの鍵が照合されてサービスが使える。
ただ、このしくみだとデバイスごとに個別の秘密鍵が割り振られるため、スマホをなくした場合などに復旧が難しい欠点があった。
これを複数のデバイス間で同じ秘密鍵を同期させることで解消したのが、「パスキー」だ。
FIDOの日本の作業部会で座長をつとめるNTTドコモのチーフセキュリティアーキテクトの森山光一が、使い方を実演してくれた。
パソコン上でドコモのサービスのログイン画面が表示された状態で、近くのスマホを指紋認証で解除。すると、パソコン画面でログインが完了した。
利用者が事前に設定する必要があるが、日本でも銀行などのサービスで活用が広がっているという。森山は「指紋をかざすだけでいい。パスワードを覚えずに使えるので便利」と話す。
例えば、iPhone(アイフォーン)を顔や指紋、パスコードによる認証でロック解除すれば、近くにあるウィンドウズのパソコン上のサイトにもパスワードなしでログインできるようになる仕組みで、すでに一部は実現している。
FIDOは決済大手ペイパルなどが設立した。米IT大手では、グーグルが2013年に参加し、2015年にマイクロソフトが支持を表明。アップルは2020年に理事会に加わった。
人材の引き合いなどで競争が激しい巨大IT企業が、なぜ足並みをそろえたのか。
FIDOのエグゼクティブディレクターのアンドリュー・シキアは「彼らが背負う責務があまりに大きいからだろう。パスワード依存からの脱却は間違いなく死活問題になっている」と話す。
グーグルの基本ソフト(OS)「アンドロイド」で動く機器は世界で30億台を超え、iPhoneなどアップルの機器も今年20億台を超えた。アップルやグーグルなどのIT大手は、スマホやスマートウォッチ、車など、私たちの暮らしのあらゆる場面で自社のサービスを使ってもらうことで収益につなげている。
各社とも機器間を行き来して使えるように機能を拡充しており、安全性の向上にもつながる「パスワードレス」の普及はそうした戦略にもかなう。
現在、FIDOには、世界のIT企業や金融機関、政府機関のほか、日本からはNTTドコモのほか、KDDI、ヤフーなども加盟している。
パスワードより強力だがリスクも 普及には利用者の「意識」課題
パスワードより強力とされるパスキーだが、リスクはゼロではない。生体認証では利用者への脅迫や誘拐のほか、人工知能(AI)の進化でフェイクの顔が生成される可能性もある。
森山は「セキュリティーに絶対はないと言われる。万が一の場合のリスクを常に共有しながら、業界を挙げてグローバルに取り組んでいく」という。
一方、広い普及には中小事業者の対応が必要となる。米認証サービス大手オクタの21年の調査では、日本企業でパスワードレス認証を採用しているのは14%にとどまる。さらに「パスワードを手放したくない」という利用者の声も根強くあると見られており、利用者側の「意識改革」も必要になりそうだ。