今年の「World Password Day」（世界パスワードの日、5月第1木曜日）を迎えるころ、Googleアカウントでパスキーの利用が可能になる（訳注：原文記事公開は5月3日）。Googleによれば、ChromeやAndroidなどの主要プラットフォームがすべてパスキーに対応するという。Googleは以前からパスワードレス サインインの推進に取り組んでおり、これによってサインインの際にパスワードや2段階認証を要求する必要がなくなるという。

パスキーを策定したのは業界団体FIDOアライアンス（Fast IDentity Online Alliance）とそのパートナー企業だ。AppleやGoogle、Microsoftなどが関わっている。パスキーとはクロスプラットフォームで使われる一般的な用語で、パスワード認証に代わるあらゆるユーザーデバイスで利用可能な認証手段だ。パスキーを使えばWebサイトやアプリケーションへのサインイン、アカウント登録が簡単なものになる。FIDOアライアンスによると、パスキーは携帯電話やPCのOSによって管理され、クラウドサービスを介して同じユーザーが所有する各種デバイス間で自動的に同期されるという。クラウドサービスではFIDO認証情報のコピーも保存する。

Googleは公式ブログで「パスキーはパスワードに代わるもので、利便性と安全性が向上しています」と述べている。「主要なプラットフォームやブラウザすべてで利用することができ、ユーザーはPCやモバイル端末のロックを指紋認証や顔認証、ローカルPINで解除することでサインインが可能です」

強力なパスワードを考え、覚えておくというのはユーザーにとって時に難しいことであり、フィッシング攻撃に対して脆弱な手法でもあるというのは周知の事実だ。Goggleはそのように述べている。2段階認証や多要素認証（MFA）はパスワードよりも優れたセキュリティではあるが、わずらわしさが増えるとともに、フィッシング攻撃やSIMスワップ攻撃でSMS認証をかいくぐるようなケースを完全に防ぐことはできない、とも述べている。

「パスワードの終焉に向けた初めの一歩」だとして、パスワードや2段階認証のようなサインイン手段が引き続きGoogleアカウントで利用可能であることも明らかにした。

Googleアカウントでのパスキーの仕組み

ユーザーがGoogleアカウントのオプションでパスキーを有効にすると、同アカウントにログインした状態かつパスキーに対応した端末でサインインや機密性の高い操作を行う際にはパスキーが要求されるようになる。また、Google Workspaceアカウントの管理者に対しても、エンドユーザーのサインイン時にパスキーを利用できるようにするオプションが近々提供される予定だという。

パスキーはユーザーのローカルPCやモバイル端末に保存され、本人確認として画面ロックの生体認証かPINコードが要求される。Googleの説明によると、画面ロック解除ではパスキーのロックがローカルで解除されるだけなので、生体情報がGoogleやその他サードパーティと共有されることはなく、安全性とプライバシーは向上するという。

「つまり、フィッシング攻撃や、パスワードで起こりがちな偶発的な取り扱いミス、使い回しやデータ漏洩で流出してしまうといったケースから人々を守ることができるということです。パスキーによる保護は現在提供されているほとんどの2段階認証よりも強力です。ユーザーがパスキーを利用する場合、パスワードだけでなく2段階認証も省略できるようにしているのはそのためです」。Googleは述べている。「じっさい、パスキーは非常に強力なため、当社の『Advanced Protection Program』に参加しているユーザーのセキュリティ・キーの代わりになるほどです」

さらに、ユーザーはサインインのたびに同じ携帯電話やローカルPCを使う必要はないという。複数のデバイスを使用する場合、デバイスごとにパスキーを作成することが可能だ。また、一部のプラットフォームではパスキーをバックアップして他のデバイスに同期することができる――たとえば、iPhoneでパスキーを作成すれば、他のApple製デバイスでも同じiCloudアカウントにサインインすることが可能となっている。

Googleによると、パスキーを保存している端末を紛失した場合はGoogleアカウントの設定でパスキーを無効にすることができるという。また、一部の端末ではリモートでパスキーを消去するオプションも提供されている。

大手ブランドがパスキーのサポートを主導

Googleによると、今回のパスキーの導入は、同社がパスワードに関して10年以上取り組んできた中でも大きな前進だという。また、Web開発やアプリケーション開発に携わる他社にもパスキーの採用を勧めている。

Appleはイベント「WWDC（Worldwide Developers Conference）2022」の席でパスキー機能を発表。MicrosoftのWindowsプラットフォームでも、まもなくパスキーを全面的にサポートすることが予想されている。FIDOアライアンスでは、今年はパスキーの採用が急激に進むと予測しているという。

「（パスキーは）パスワードよりも安全な代替手段として広く歓迎され、すでにPayPalなどのサービス事業者で活用されています」。FIDOアライアンスのエグゼクティブ・ディレクター兼CMO（最高マーケティング責任者）、Andrew Shikiar（アンドリュー・シキア）氏が以前に米SDxCentralの取材で話している。「2023年にはパスキーを採用する大手ブランドが増え、消費者の認知度が向上し、需要の拡大につながることが予想されます」

同団体はパートナー企業と協力してユーザー体験に関する共通ガイドラインをリリースする予定だという。パスキーに関する用語やパスキーのブランディング、伝えるメッセージについて一貫性を確保するためだとしている。

Google wants you to replace passwords and 2SV with passkey