ニュース

パスワードレス認証「パスキー」対応のアカウント総数は70億以上に、FIDOアライアンスが発表

 パスワードレス認証方式の「パスキー」などを推進する業界団体「FIDOアライアンス(FIDO Aliance)」は12月8日、パスキーに対応したアカウントが世界で70億以上あると発表した。日本で開催されたイベント「第10回FIDO東京セミナー」に合わせて発表されたものだ。

 イベントに合わせて開催された記者説明会には、FIDOアライアンス エグゼクティブディレクター兼最高マーケティング責任者のアンドリュー・シキア氏が登壇。70億という数字は世界の人口(約80億人)に近い数字であることから、世界の1人に1つのパスキーがあるのに相当すると説明した。そして、「2023年はパスキーの年と言って過言ではない」と語った。

 なお、「パスキー」という言葉は、技術的な狭義ではパスワードに代わる「鍵」またはそれを本人のデバイス間で同期する仕組みを、広義ではFIDO認証に同期パスキーを用いる仕組みを指すと言われてきた。これに対してシキア氏は、「FIDOアライアンスでは、一般ユーザー向けの言葉としては、パスワードレスのFIDO認証であれば全てパスキーと言っていいと考えている」と発言した。

右から、FIDOアライアンス FIDO2技術作業部会 共同座長/Google ID&セキュリティ プロダクトマネージャーのクスチャーン・ブランド氏、FIDOアライアンス エグゼクティブディレクター 兼 最高マーケティング責任者のアンドリュー・シキア氏、FIDOアライアンス執行評議会・ボードメンバー・FIDO Japan WG座長/株式会社NTTドコモ チーフセキュリティアーキテクトの森山一氏、FIDOアライアンス ボードメンバー FIDO Japan WG副座長/LINEヤフー株式会社 LY会員サービス統括本部 ID本部 本部長の伊藤雄哉氏、FIDOアライアンス ボードメンバー FIDO Japan WG副座長/株式会社メルカリ 執行役員 CISOの市原尚久氏

インターネット上をパスワードでなく鍵が流れる

 シキア氏はまず、FIDO認証/パスキー認証について改めて解説した。そのコンセプトとしては、認証方法のシンプルさ(使い勝手)と堅牢さ(セキュリティ)の両立を目指すもので、「両立できずにユーザビリティが低いと、使ってもらえなかったり、ユーザーが抜け道を探して堅牢でない方法を使ったりしてしまう」とシキア氏はその意義を語った。

 仕組みとしては、スマートフォンやPCの中などに設けられた認証器(Authenticator)が中心となる。ユーザーはこの認証器に対して生体認証などでローカル認証を行う。そして認証器は対象サービスとの間で、公開鍵暗号を使ったチャレンジレスポンス方式の認証を行う。これにより、人間の分かるパスワードはインターネットで送信されず、代わりに鍵が送信されることになる。

 さらに、ベーシックな仕組みとしては、その鍵をデバイスの認証器が個別に持っていたが、これをクラウド上などの本人アカウントで管理して本人の各デバイス間で同期する仕組みが、狭義の共有型のパスキーだ。

 そしてシキア氏の「パスワードレスのFIDO認証であれば全てパスキー」という発言は、この共有型のパスキーでも、あるいはデバイスが個別に持つものでも、パスキー認証と呼ぼうということになる。

アンドリュー・シキア氏
FIDO認証/パスキー認証の仕組み

パスキー対応アカウントが70億以上に

 「2023年はパスキーの年と言って過言ではない」とシキア氏。2022年10月にPayPalとNTTドコモがパスキー対応したのが世界で最初で、そこから急速にさままなコンシューマーサービスに普及している。

 その中で注目すべきものとして、Googleが全てのアカウントでパスキーを登録できるようにしたことをシキア氏は取り上げ、「これにより数十億の人がパスキーを使ってGoogleのサービスを使えるようになった」と述べた。

 普及度合いについては、パスキー対応アカウント、より正確にはパスキーに対応できるアカウント総数が70億以上に上るという数字をシキア氏は報告した。

パスキーのコンシューマーサービスへの普及
パスキーに対応したアカウントが世界で70億超に。なお、途中の推移はイメージとのこと

 企業の採用事例もシキア氏は紹介した。ニュージーランド航空ではパスキー対応により、登録完了までの時間が4.7倍改善され、離脱率やコールセンターの問い合わせも削減されたという。またGoogleでは、ログイン成功率が4倍になり、ログイン時間が半減と報告している。

 日本のメルカリでは、フィッシング対策でさまざまなところでSMSによるワンタイムパスワード認証を入れていたのをパスキーに切り替え、認証時間を20.5秒短縮し、認証の成功率が82.5%に向上したという。

 そのほか企業内での利用も、認証プロバイダーのHYPRと調査会社のForresterが報告している。それによると、パスワードリセットを削減して従業員の生産性向上に役立ち、300%以上のROI(Return on Investment)があるという。

 各国の政府機関とも連携し、10か国の政府がFIDOアライアンスに参加している。米NIST(アメリカ国立標準技術研究所)では「Digital Identity Guideline」でパスキーを取り上げている。政府による利用としては、台湾やオーストラリアでパスキーを公共サービスに採用しているという。

企業のパスキー採用事例
政府によるパスキーの事例

 2024年の計画としては、まず、ガイドラインなどを一箇所で見られるFIDOリソースセンターを2024年に立ち上げる予定だという。また、大きな顧客ベースを持っている会社と協力した啓蒙の推進や、金融などの導入への取り組み、共有型パスキーのプロバイダーの認定、開発者支援などを進めるとシキア氏は語った。

 また、IoT向けのFIDO Device Onboardにも取り組んでいることもシキア氏は紹介した。

2024年の計画
IoT向けのFIDO Device Onboardも

近畿大学のFIDO導入事例

 同日、近畿大学にFIDOが導入されたことも発表され、記者説明会で紹介された。FIDO Japan WG参加企業の株式会社アイピーキューブの「AuthWay FIDOサーバ」が導入されたもので、認定取得に必要なドキュメント整備でFIDO Japan WGが貢献したという。

近畿大学のFIDO導入事例