パスワードに代わる
新たなログイン方法「パスキー」による
パスワードレス認証について解説

パスワードを狙うサイバー攻撃の増加

パスワードを狙うフィッシング等によるサイバー攻撃が増加しており、グラフは2018年から2023年までに報告されているフィッシング報告件数です。 日々増加し、進化していくサイバー攻撃に対応するために登場したのが「パスキー」です。

• 出典：フィッシング対策協議会「フィッシング報告状況」　https://www.antiphishing.jp/report/monthly/

パスキーが普及している背景

従来、パスワードレス認証への対応には、USB等の認証用デバイスを別途購入しないといけないという点が課題となっていましたが、昨今AppleやGoogle、Microsoftなどの主要OSを抱えるプラットフォーマーが「パスキー」の対応を進めたことで、認証用デバイスの別途購入が不要となり、 「パスキー」の普及が進んでいます。

パスワードを利用した認証とパスキーを利用した認証では、
安全性に大きな違いがあります。特に重要な点が、セキュリティ性です。

パスワードを利用した認証は一度フィッシング攻撃者にパスワードを知られてしまうと、その情報を再利用されてしまい、
盗聴や不正アクセスを繰り返されてしまうというリスクがありますが、

パスキーを利用した認証は公開鍵暗号方式のため、秘密鍵が一切ネットワーク上に流れないという利点があり、
ネットワーク上を流れる認証情報が窃取されても攻撃に再利用できないという特徴があります。

パスキーによる認証を実施することで利便性の向上とセキュリティ強化を実現できます。

2024年3月より、IDaaS製品の「StartIn」では「パスキー」による認証を標準機能として搭載しており、
「StartIn」から各種サービスにログインする際にOSのロック解除時の手順
（iPhoneにおけるFaceID等）を踏むことで、パスワードレスでの認証が可能です。

お客様の運用方法に合わせてパスワードレスで認証をするか、
認証要素の1つとして利用するか柔軟にご設定いただくことが可能です。

さらに、パスキーによる認証は「StartIn」の多要素認証と組み合わせることが可能です。
クライアント証明書認証との組み合わせで「端末の情報」を併せて確認したり、
独自機能である位置情報認証との組み合わせで「利用者の所在」も確認することが可能です。

パスキー認証と「StartIn」の多要素認証との組み合わせの利用例