Please enable JavaScript in your browser to load website properly.

Click here if you'd like to learn how.
SMSOnline
パスキーとは?ウェブサイトアカウント管理の最も安全な方法

パスキーとは?ウェブサイトアカウント管理の最も安全な方法

パスキーとは何か、その利点と課題について学びましょう。このガイドでは、パスキーの使い方をステップバイステップで解説し、安全で便利な認証方法を理解できるようにお手伝いします。

2025-03-160分で読むTips

共有

パスキーとは?

https://str995b5dba52a0.smsonline.cloud/uploads/chrome_B_Of_Wo7cc_Si_eb6636d23c.png

パスキーは、従来のID/パスワードベースのログインとは全く異なる認証方法で、ユーザーがパスワードを入力することなくウェブサイトに認証できるようにします。
ユーザーは、デバイスに保存された秘密鍵を使用してログインし、認証は指紋認証、顔認証、またはデバイスのPINコードを使うことで行われます。
これにより、ユーザーにはいくつかの利点があります:

利便性

パスキーを使用すると、IDとパスワードの組み合わせを覚える必要がなくなります。
「パスワードを忘れる」という一般的な問題は、パスキーを使用することで完全に解消されます。

セキュリティ

パスワードと比較して、パスキーは2つの重要な側面で堅牢さを提供します。
まず、パスキーは公開鍵認証と生体認証を組み合わせているため、ブルートフォース攻撃やレインボーテーブル攻撃といった従来のパスワードベースの方法の脆弱性に対して効果的です。
次に、パスキーはユーザーが自分でパスワードを設定する従来の方法とは根本的に異なり、ユーザーが「覚えやすい」または「入力しやすい」パスワードを作成する必要がなく、これらのパスワードが弱くて攻撃者に推測されやすいという問題が解消されます。

従来のセキュリティ方法との比較

パスキーが登場する前、ID/パスワードシステムの代替として様々な認証方法が導入されていました。パスキーはこれらとどのように異なるのでしょうか?

SMS認証

SMSを使ってワンタイムパスワードを送信し、ユーザー認証を行う方法は、2010年代から広く使用されています。
中国などの一部の国では、ID/パスワード認証がまったくサポートされておらず、サービスはSMS認証を通じてのみアクセス可能です。これは、電話番号を取得する際に通常は身分証明が必要で、通信事業者が追加の認証層を提供できるためです。

SMSベースのログインサービスは、特に強力な身分証明が求められるフィンテック業界などで広く採用されています。しかし、その脆弱性が次第に指摘されています。
例えば、モバイルキャリアがSIMスワップ攻撃に弱い場合、攻撃者は被害者のSIMカードを制御し、アカウントへのアクセスが完全に失われ、場合によっては金銭的な損害も発生する可能性があります。

このようなセキュリティ上の懸念から、Googleをはじめとする多くのウェブサービスがSMS認証をセキュリティ対策として廃止しつつあります
(ただし、SMSは身分証明には引き続き有用であるため、アカウント作成時に電話番号登録を要求するサービスは今後も増える可能性があります。)

OTP認証

多くのウェブサービスは、Google Authenticatorなどのワンタイムパスワード(OTP)認証を使用し、ID/パスワードシステムの弱点を補完しています。
OTPとパスキーはどちらもセキュリティを強化しますが、その仕組みは異なります。
OTPは2要素認証(2FA)の一部であり、ユーザーはパスワードに加えてワンタイムコードを入力する必要があります。
対照的に、パスキーはパスワードを完全に排除します。デバイスに保存された秘密鍵を使って認証が行われるため、フィッシング攻撃のリスクが大幅に減少します。
さらに、パスキーは生体認証やデバイス認証と組み合わせることで、OTP認証に比べてより強力なセキュリティを実現します。

Passkeyは広く採用されているか?

https://str995b5dba52a0.smsonline.cloud/uploads/pl1_6f69472694.jpg

パスキーは、従来のパスワードと比較して非常に優れた認証方法ですが、まだ広く普及していません。
その理由はいくつかありますが、最大の課題は実装の複雑さです。

パスワードベースの認証では、開発者はプログラミング言語に組み込まれている暗号化関数(例えば、PHPのpassword_hash()password_verify())を使用して簡単に安全な認証を実装できます。
さらに、Firebase Authenticationのようなサービスを利用すれば、開発者はコードを書くことなく認証の設定が可能です。

一方、パスキーは比較的新しい技術であり、フロントエンド(ブラウザ)とバックエンド(サーバー)両方に実装が必要です。
開発者は、WebAuthnのような新しいAPIの専門知識が必要で、これらはドキュメントが複雑であり、開発コストが増加する原因となっています。

それにもかかわらず、Passkeys for Firebaseのようなソフトウェアソリューションが開発されており、パスキーを既存の認証システムに統合する手助けをしています。これにより、今後の普及が期待されています。

パスキーを使用する際の課題

https://str995b5dba52a0.smsonline.cloud/uploads/pk_c4a596d304.jpg

パスキーは非常に安全で便利な認証方法を提供しますが、初めて使用する際にはいくつかのハードルがあります。

主な問題の1つはデバイスの互換性です。前述のように、パスキーは比較的新しい技術であり、古いデバイスでは使用できません。
Googleによると、パスキーを作成するためには以下の最小要件を満たす必要があります:

  • Windows 10、macOS Ventura、またはChromeOS 109以降のノートPCまたはPC。
  • iOS 16またはAndroid 9以降のスマートフォン。
  • FIDO2プロトコルをサポートするハードウェアセキュリティキー。

さらに、パスキーはデバイスに依存しています。もしパスキーが保存されたデバイスを紛失すると、パスキーへのアクセスを永久に失う可能性があります。

これらのデバイス要件と依存関係を最小限に抑えるため、パスキーをサポートするパスワードマネージャーを使用することを強くお勧めします。

例えば、スイスのProton AGが開発したProton Passは、エンドツーエンド暗号化を使用した非常に安全なパスワードマネージャーです。
Proton Passを使用することで、ユーザーは複数のデバイス間でパスキーを共有し、デバイスの制限を回避できます。すべてのデータはユーザーのデバイス上で暗号化されるため、Proton AGでさえ保存されたパスキーにアクセスすることはできません。

さらに、Proton Passはパスワード管理をより効果的にし、以下の機能でアカウントのプライバシーを強化します:

ダークウェブ監視

ダークウェブでのパスワード漏洩を監視し、ユーザーに警告を送信します。

暗号化されたメールエイリアス

生のメールアドレスの代わりに、即時生成されたメールアドレスを認証情報として使用できます。

https://str995b5dba52a0.smsonline.cloud/uploads/chrome_yt_W_Ya_K_Vxgk_d00af4422f.png

これが意味するのは、通常のGmailアドレス([email protected])の代わりに、Proton生成のメールアドレス(例えば[email protected])でログインできるということです。これらの使い捨てメールアドレスは、要求に応じて即座に作成されます。もちろん、これらのアドレスに送信されたメールはすべて主アドレスに転送されるため、通常のアドレスを使用しているかのように感じます。

多くの人々が10minutesmailのような一時的なメールサービスを使用していますが、Proton Passのメールアドレスは期限切れになりません。そのため、一時的なメールサービスの一般的な欠点である二段階認証メールへのアクセス喪失リスクを避けることができます。

Proton Passの価格設定

https://str995b5dba52a0.smsonline.cloud/uploads/chrome_Nf9_WM_5_TX_Fi_47a75030eb.png

Proton Passは月額€1.99 / $1.99 / CHF 1.99で利用可能です。
さらに、Proton Unlimitedをバンドルで購入すると、Proton Passと共に以下の追加特典を受けることができます:

  • Proton Mail: 世界で最も安全なメールサービス、エンドツーエンド暗号化を提供。15個のエイリアスと3つのカスタムドメインをサポート。
  • Proton Drive: 最大500GBの容量を持つ、完全に暗号化された高速クラウドストレージサービス。
  • Proton VPN: 100か国以上のサーバーにアクセスできる、ログなしVPNサービス。
  • セキュリティ機能として、セキュアカレンダービットコインウォレットなど。

これらすべての機能が月額€9.99で利用できるため、セキュリティを重視する人々にはProton Unlimitedを強くお勧めします。

それでは、Proton Passを使ってパスキーを設定してみましょう!

パスキーの使用例:GoogleとProton Passを使用

https://str995b5dba52a0.smsonline.cloud/uploads/chrome_a_IDY_Zrhty_F_6e005f6565.png

Googleのためにパスキーを設定してみましょう。
アカウント管理画面に移動し、「パスキーとセキュリティキー」セクションを開き、「パスキーを作成」ボタンをクリックします。

パスキーを作成するデバイスの確認を求められます。「パスキーを作成」をクリックして進みます。

https://str995b5dba52a0.smsonline.cloud/uploads/chrome_CMRA_4_Ivb_Dn_28a404a4d0.png

Proton Passのブラウザ拡張機能がインストールされている場合、パスキー保存のプロンプトがブラウザの右上に表示されます。
「パスキーを保存」をクリックして、パスキーをProton Passに保存します。

はい、それだけです!たった2つの簡単なステップで、パスキーが保存されました。
保存されたパスキーは、Proton Passがインストールされたどのデバイスでも使用できます。

専用のソフトウェアを使用しない場合でも、パスキーはWindows Hello、Android、その他のプラットフォームとシームレスに動作します。しかし、複数のデバイス間でパスキーを安全に共有し、デバイス紛失のリスクを軽減するためには、専用のソフトウェアの使用を強くお勧めします。

Proton Passは月額€1.99 / $1.99 / CHF 1.99で利用可能です。
さらに、30日間の返金保証がついているので、ぜひお試しください!