日本パソコンインストラクター養成協会

association

協会案内

協会案内トップ
  1. HOME
  2. ブログ
  3. セキュリティ
  4. パスキーの仕組み
ITニュース

パソコンインストラクター向けのITニュースで学ぶ

セキュリティ

パスキーの仕組み

パスキーの仕組み

パスキーの仕組み

「パスワードを忘れてログインできない…」「色々なWebサイトでパスワードを使い回すのは不安…」そんなお悩みはありませんか?この記事では、パスワードに代わる新しい認証方法「パスキー」について、パソコンが苦手な初心者の方でも理解できるように、その仕組みやメリットを分かりやすく解説します。パスキーは、自分の大切な情報を守りながら、より安全で便利なインターネットの利用を可能にする、これからの時代のスタンダードな認証方法です。

パスワードの悩みから解放

端末をインターネットに接続し、Webアプリなどのサービスを利用するとき、パスワードを入力するのが煩わしいと感じることがあります。

  • 色々なWebサイトで入力するパスワードが覚えられない
  • パスワードを忘れてしまい、ログインできない
  • なんだか難しくて、そもそも設定が不安…

このようなパスワードに関する悩みは多くの方が経験していると思います。しかしこれからの時代は、パスワードを使わず、安全にログインできる便利な新しい技術が主流になります。それが「パスキー」です。

パスキーとは

パスキーは、パスワードの代わりにアカウントにログイン(認証)できる新しい仕組みのことです。パスキーを使えば、スマートフォンやパソコンに搭載された指紋認証や顔認証、または画面ロック解除などに利用しているPIN(暗証番号)などを利用してログインできます。

なんだか難しそう…と思うかもしれませんが、実は私達が利用しているスマホをロック解除するのと似たような感覚でログインできます。パスワードを覚える必要がないため、とても便利です。

パスキーは、パスワードレス認証基準の普及を推進する非営利団体FIDOアライアンスが仕様を策定した、新しいパスワードレスの認証方法のことです。
※パスキーは、端末側に「秘密鍵」、サービス側のサーバーに「公開鍵」を生成して認証する「公開鍵技術」を利用しています。

パスワードとパスキーの違い

パスワードは、文字や数字を組み合わせて自分で設定し、それを覚えておく必要がありました。そして、そのパスワードがインターネット上のどこかに保存されています。
パスキーは、パスワードそのものを入力したり覚えたりする必要がありません。 自分の所持している端末(スマホやパソコン)を使い、生体認証などで「本人であること」を証明してログインします。

この仕組みのおかげで、パスワードの使い回しによるリスクや、フィッシング詐欺(偽サイトにパスワードを入力させて盗み取る手口)の危険性を大幅に減らすことができます。

パスキーはどうやって動くの?

「パスワードを使わないのに、どうやって本人だってわかるんだろう?」と不思議に思うかもしれません。パスキーは「公開鍵技術」という仕組みを利用しています。

公開鍵技術とは
「公開鍵技術」と聞くと、なんだか難しそう…と感じるかもしれません。
身近なもの例えると、大切なものを保管する「金庫」を持っているとします。この金庫には「鍵穴」が2つあります。
1つ目の鍵穴は、誰でも使える「公開」されている鍵穴です。この鍵穴に何かを入れると、金庫の中に入れることができます。しかしこの鍵穴では金庫を開けることはできません。
2つ目の鍵穴は、自分しか持っていない「秘密」の鍵穴です。この鍵穴には、自分しか持っていない「特別な鍵」が必要です。この特別な鍵を使うと、金庫を開けて中身を取り出すことができます。

公開鍵技術では、インターネット上の「サービス側(Webサイトなど)」が「公開鍵」を持っていて、自分の「端末側(スマホやパソコン)」が「秘密鍵」を持っています。

サービス側が自分の端末に「本人ですか?」と確認する時、この「公開鍵」と自分の「秘密鍵」を使って、まるで金庫の鍵を開け閉めするようなやり取りが行われます。そして、このやり取りが成功すれば、「あ、この人は本人だ!」と確認できるイメージです。

この仕組みのおかげで、自分の大切な「秘密鍵」がインターネット上を流れることはありません。サービス側も自分のパスワードを知る必要がなくなります。だからとても安全なのです。

ログインする時の流れ

パスキーを使ってサービスにログインする時、パソコンやスマホの中でどのようなやり取りが行われているのか、確認しておきましょう。

  1. ユーザーはサービスにログインを試行します。
  2. サービス側のサーバーは、ユーザーの端末に対して認証要求を送信します。
  3. ユーザーは認証要求に応じて生体認証やPINなどで認証します。
  4. 認証に成功するとユーザーの端末は「秘密鍵」で署名を生成します。
  5. ユーザー側の端末はサービス側のサーバーに署名を自動送信します。
  6. サービス側のサーバーは、受け取った署名をユーザーの「公開鍵」で自動検証します。

署名が本物だと確認できれば、サービス側は「あ、やっぱりこの人は本人だ!」と判断し、無事にログインできる、という流れです。
私達が行うことは、指紋認証や顔認証、PINの入力などをするだけです。
その後の複雑なやり取りは、すべてパソコンやスマホが自動で行ってくれる仕組みです。

パスキーの仕組みは、FIDOアライアンスという団体が中心となって作られた、パスワードを使わない(パスワードレス)で安全に認証するための世界的な基準に基づいています。

パスキーを使う上での大切な注意点

パスキーはとても便利で安全な仕組みですが、いくつか注意点があります。パスキーを作成すると、その端末ではパスキー優先のログインになります。一度パスキーを設定したサービスでは、次にログインする時にパスワード入力ではなく、パスキーを使ったログイン方法が優先されます。
パスワードを使いたい場合は、別の方法を選ぶ必要があることもあります。

パスキーは、パスキーを作成した端末(スマホやパソコン)に紐づいています。そして、その端末のロックを解除できる人なら、パスキーを使ったログインができてしまいます。そのため、パスキーを設定した端末は、しっかり画面ロックを設定しておくなど、他の人に勝手に使われないように管理することが大切です。これらの点に気をつければ、パスキーを安全に便利に使うことができます。

関連記事