// シス担のミカタ
認証

パスワードレス認証 ぱすわーどれすにんしょう

生体認証FIDO2WebAuthnパスキー多要素認証公開鍵暗号
パスワードレス認証について教えて

簡単に言うとこんな感じ!

パスワードを使わずにログインできる仕組みだよ!顔認証や指紋、スマホの通知で「本人確認」をするんだ。「パスワード忘れた…」や「使い回しで情報漏えい」といった悩みをまるごと解決してくれるってこと!

パスワードレス認証とは

パスワードレス認証とは、従来の「ID+パスワード」の組み合わせに頼らず、生体情報・デバイス・秘密鍵などを使って本人確認を行う認証方式のことです。スマートフォンの指紋センサーや顔認証、専用のセキュリティキーなどを使って、文字列としてのパスワードを一切入力せずにシステムへログインできます。

パスワードは長年の主流でしたが、「推測されやすい」「使い回し」「フィッシング詐欺で盗まれる」といった弱点が常につきまとってきました。パスワードレス認証はこれらの問題を根本から取り除くアプローチであり、セキュリティ強化と利便性向上を同時に実現できる点が大きな魅力です。

近年ではApple・Google・Microsoftが「パスキー(Passkey)」という統一規格に対応し、一般ユーザーでも意識せず使える環境が整いつつあります。企業の情報システム担当者にとっても、社員のパスワード管理コスト削減や不正アクセスリスク低減につながる、注目度の高い技術です。

パスワードレス認証の主な方式

方式仕組み代表例特徴
生体認証指紋・顔・虹彩で本人確認Touch ID / Face IDスマホ・PCに内蔵。手軽
パスキー(FIDO2端末に秘密鍵を保存、公開鍵で照合Google / Apple Passkeyフィッシング耐性が高い
マジックリンクメールに届くURLをクリックSlack / Notionパスワード不要で簡単
ワンタイムコード(OTP)SMS・認証アプリで都度コード発行6桁の確認コード既存システムに導入しやすい
セキュリティキーUSB等の物理デバイスをかざすYubiKey最高レベルの耐タンパー性

覚え方:「パスワードなしの三種の神器」

パスワードレス認証で使う要素は大きく3つ。

① あなたが「持っている」もの → スマホ・セキュリティキー
② あなたの「体」           → 指紋・顔・虹彩
③ あなたが「知っている」もの → PINコード(補助的に使用)

この中の ②や① が主役になるのがパスワードレス認証のポイントです。

パスキー(FIDO2/WebAuthn)の仕組み

パスキーは現在最も注目される方式で、公開鍵暗号という技術を使っています。

【登録時】
  デバイス内で「秘密鍵」と「公開鍵」のペアを生成
  → 秘密鍵はデバイス内に厳重保管(外に出ない)
  → 公開鍵はサーバーに登録

【ログイン時】
  サーバーが「チャレンジ(乱数)」を送る
  → デバイスが秘密鍵で署名して返す
  → サーバーが公開鍵で検証 → 本人確認完了!

パスワードがネットワーク上を流れることがないため、フィッシング詐欺で盗む手段がないのが最大の強みです。

歴史と背景

  • 1960年代〜 パスワードによる認証が登場。MITのCompatible Time-Sharing Systemで採用される
  • 2000年代 インターネット普及でパスワード漏えい事故が多発。使い回し・弱いパスワードが社会問題化
  • 2013年 GoogleやPayPalらがFIDO(Fast IDentity Online)アライアンスを設立。パスワードに依存しない認証の標準化を開始
  • 2018年 W3CがWebAuthn(FIDO2の中核規格)を標準化。ブラウザ対応が進む
  • 2019年 Windows 10の「Windows Hello」が普及し、生体認証でのPCログインが一般化
  • 2022年 Apple・Google・Microsoftがパスキー対応を共同発表。プラットフォーム横断での普及が加速
  • 2023年〜 GoogleアカウントやApple IDでパスキーが標準利用可能に。企業向けサービスでも続々対応

パスワード認証との比較

パスワード認証 vs パスワードレス認証 🔑 パスワード認証 ✅ パスワードレス認証 ■ セキュリティリスク ・フィッシングで盗まれる ・使い回しによる被害 ・推測攻撃(ブルートフォース) ■ セキュリティリスク ・フィッシング耐性あり ・使い回し問題なし ・推測できるものがない ■ ユーザー体験 ・複雑なパスワードを覚える必要 ・定期変更の負担 ・「忘れた」時の手間 ■ ユーザー体験 ・生体認証でワンタッチ ・覚えるものが不要 ・ロック時もPINで回復可能 ■ 管理コスト ・ヘルプデスク対応が多い ・ポリシー管理が煩雑 ■ 管理コスト ・パスワードリセット対応ほぼ不要 ・デバイス管理と連携しやすい

企業導入時の注意点

  • デバイス紛失時のリカバリー手順を事前に設計しておくことが必須
  • 古いシステムはWebAuthn非対応の場合があるため、段階的な移行計画が現実的
  • 従業員へのトレーニングと「なぜ変えるのか」の説明が定着の鍵

関連する規格・RFC

規格・RFC番号内容
FIDO2FIDOアライアンスが策定するパスワードレス認証の標準フレームワーク
WebAuthn(W3C勧告)ブラウザ・WebアプリでFIDO2を使うためのAPIの仕様
CTAP2セキュリティキー等の外部認証器とデバイスが通信するプロトコル
RFC 8471Token Binding(WebAuthnとの連携に関連)
RFC 9448OAuth 2.0とFIDOの連携に関するガイダンス

関連用語

  • 多要素認証(MFA) — パスワードに生体認証等を組み合わせてセキュリティを高める方式
  • パスキー — FIDO2をベースにApple・Google・Microsoftが推進する次世代ログイン規格
  • 生体認証 — 指紋・顔・虹彩などの身体的特徴で本人確認を行う技術
  • 公開鍵暗号 — 「公開鍵」と「秘密鍵」のペアを使う暗号化の仕組み
  • シングルサインオン(SSO) — 一度の認証で複数システムにアクセスできる仕組み
  • フィッシング — 偽サイトに誘導してパスワード等を盗み取るサイバー攻撃