パスキーとは?(セキュリティ対策)




はじめに

パスキーは、パスワードに代わるより安全で簡単な方法です。パスキーを使うと、指紋や顔認証、PIN、パターンなどでアプリやウェブサイトにログインできます。


もうパスワードのように「覚える」「管理する」といった面倒は必要ありません。自動入力(Google パスワード マネージャー等)で少し便利になりますが、もっと簡単で安全にしたい場合は、パスキーや ID 連携が最新の方法です。


パスキーは、フィッシングなどの悪意ある攻撃に強く、SMS やアプリで届く一時コードを入力する手間もなくせます。さらに、パスキーは共通のルールで作られているので、一度対応すれば、スマホ・パソコン・どのブラウザ・どの OS でもパスワードなしでログインできます。



パスキーの方が簡単

Passkey

ログインに使用するアカウントを選択できます。ユーザー名を入力する必要はありません。


Passkey01

ユーザーは、指紋認証センサー、顔認証、PIN などのデバイスの画面ロックを使用して認証できます。


Passkey02

パスキーを作成して登録すると、ユーザーは新しいデバイスにシームレスに切り替えて、再登録することなくすぐに使用できます(従来の生体認証では、各デバイスで設定が必要でした)。



パスキーは安全です

Passkey03

パスキーはユーザーをフィッシング攻撃から保護します。パスキーは登録したウェブサイトやアプリでのみ機能します。ブラウザや OS が検証を行うため、ユーザーが不正なサイトで認証を行うよう誘導されることはありません。


Passkey04

デベロッパーはパスワードではなく公開鍵のみをサーバーに保存するため、悪意のあるユーザーがサーバーに侵入する価値が大幅に減り、侵害が発生した場合のクリーンアップも大幅に減ります。


Passkey05

パスキーは SMS を送信する必要がないため、コストを削減できます。また、認証の安全性と費用対効果を高めることができます。



パスキーとは何ですか?

パスキーは、ユーザーのアカウントとアプリやウェブサイトをつなぐ“デジタルの鍵”です。 追加の認証要素を提供したりすることなく認証できます。このテクノロジーは、パスワードなどの従来の認証メカニズムを置き換えることを目指しています。 つまり、これまでのパスワードの代わりとして使える便利な仕組みです。 パスキー対応のサービスにログインするときは、ブラウザやスマホのOSが自動でどのパスキーを使うか選んでくれます。


これは、今の「保存されたパスワードの自動入力」と似た使い方です。 ただし、パスキーは本物の持ち主だけが使えるように守られています。 そのため、スマホやパソコンでログインするときは、指紋認証・顔認証・PIN・パターンなどで端末のロックを解除する必要があります。 パスキーを使いたいアプリやウェブサイトでは、まずそのサービスにパスキーを登録しておく必要があります。


ウェブサイトやアプリのパスキーを作成するには、まずそのウェブサイトやアプリにパスキーを登録する必要があります。

       

    1.アプリに移動し、既存のログイン方法を使用してログインします。
    2.[パスキーを作成] ボタンをクリックします。
    3.新しいパスキーで保存される情報を確認します。
    4.デバイスの画面ロック解除を使用してパスキーを作成します。


このウェブサイトまたはアプリに戻ってログインする際は、次の手順を行います。

       

    1.アプリケーションに移動します。
    2.アカウント名フィールドをタップすると、自動入力ダイアログにパスキーのリストが表示されます。
    3.パスキーを選択します。
    4.デバイスの画面ロック解除を使用してログインを完了します。

Passkey05

パスキーはこれらの方法を使用してあなたのIDを安全に識別します。


Passkey05

パスキーはクラウド同期にも対応できます。



パスキーの仕組み

パスキーは、安全に端末の中で管理され、他の端末で使うときまで「読めない状態(暗号化)」で保存されます。使うときにだけ「読める状態(復号)」になります。 パスキーは、Google パスワード マネージャーなどのパスワード管理アプリに保存できます。 これで、同じ Google アカウントにログインしているスマホや Chrome ブラウザで、自動的にパスキーを使えるようになります。 Android 14 以降では、対応している他社のパスワード管理アプリにもパスキーを保存できます。

パスキーは、保存している端末だけで使う必要はありません。 例えば、スマホにパスキーがあってノートパソコンには同期されていなくても、スマホが近くにあり、スマホでログインを承認すれば、ノートパソコンでもログインできます。 パスキーは共通のルールに沿って作られているので、どのブラウザでも利用できます。



プライバシーのメリット

パスキーは、ユーザーのプライバシーを守るために作られています。 安心して使えるポイントは次の通りです。

・指紋や顔などの生体情報が、ウェブサイトやアプリに送られることはありません。
・生体認証データは、ユーザーのスマホやパソコンの中だけで安全に使われます。

さらに知りたい場合は、FAQやサポート記事で詳しく確認できます。

Passkey06

生体認証でログインすると、機密情報がサーバーに送信されているという誤解をユーザーに与える可能性があるためです。実際には、生体認証データがユーザーの個人用デバイスから送信されることはありません。


Passkey07

パスキー単体では、サイト間でユーザーやデバイスをトラッキングすることはできません。同じパスキーが複数のサイトで使用されることはありません。 パスキー プロトコルは、サイトと共有される情報がトラッキング ベクターとして使用されないように慎重に設計されています。


パスキー マネージャーは、パスキーを不正なアクセスや使用から保護します。たとえば、Google パスワード マネージャーはパスキーのシークレットをエンドツーエンドで暗号化します。 ユーザーのみがアクセスして使用できます。 Google のサーバーにバックアップされますが、Google がユーザーになりすますために使用することはできません。



セキュリティ上のメリット

パスキーはフィッシング攻撃に強く、安全に使える仕組みです。 パスキーは、そのウェブサイトやアプリ専用の鍵のようなものです。 ブラウザやスマホが管理しているので、作ったサイトやアプリでしか使えません。 これにより、ユーザーは「本物のサイトかどうか」を気にせず、安全にログインできます。

                

    パスキーは公開鍵暗号化方式を使用します
    パスキーを作ると、スマホやパソコンの中で 公開鍵 と 秘密鍵 のペアが作られます。サイトに保存されるのは 公開鍵だけ なので、もしデータが流出しても攻撃者には使えません。 秘密鍵 はユーザーの端末の中だけにあり、外に出ることはありません。パスキーは作ったウェブサイトやアプリでしか使えないので、安心してログインできます。 ユーザーは「本物のサイトにログインしているか」を気にする必要がほとんどなくなります。

                

    フィッシング攻撃に対する耐性が強く、安全に使えます
    パスキーは、作ったウェブサイトやアプリ専用に作られているので、偽物のサイトでは使えません。 これにより、間違ったサイトにログインしてしまう心配がなくなります。




パスキーの操作手順

パスキーは、パスワードに代わる新しいログイン方法です。 パスキーを使うと、より簡単で安全にウェブサイトやアプリにログインできるようになります。 パスキーの使い方や便利な方法は、日々アップデートされています。 ユーザーが普段通りに操作する流れに合わせて作ることで、 開発もスムーズになり、ユーザーが迷わず簡単にパスキーを使えるようになります。

この記事では、次のユーザー ジャーニーに関する推奨事項について説明します。

  • パスキーの作成
  • パスキーを使用して新しいアカウントを作成する
  • パスキーによるログイン
  • パスキーの管理

これらの推奨事項は、FIDO Alliance による UX 調査とガイダンス、および Google のユーザー エクスペリエンス チームの学習に基づいています。


パスキーを導入するときは、早めに何度もテストしてみるのがおすすめです。 そうすることで、パスキーの使い方がわかりやすくなり、ユーザーにとって便利でスムーズになります。



パスキーの作成

そうすることで、パスキーの使い方がわかりやすくなり、ユーザーにとって便利でスムーズになります。 アカウントに関する作業と一緒に、パスキーを作る手順を案内するとスムーズです。 パスキー作成のときにおすすめの操作ステップは、ユーザーの行動に合わせて4つのポイントがあります。

  • ログイン時
  • セキュリティ設定
  • 復元
  • 再設定


ログイン時

ログイン時やログイン中は、ユーザーがセキュリティや本人確認に意識を向けているタイミングです。 ここでパスキーを案内すると、今後のログインがもっと簡単でスムーズになります。 また、このタイミングは本人確認がしやすいため、セキュリティも高まり、使いやすさ(UX)も向上します。 ログインタイミングでのパスキー操作手順(ユーザージャーニー)の例:

    1. いつも通りログインする
    2. パスキーを作れることを知らせる
    3. OSの画面でパスキー作成を開始する
    4. パスキーが作成されたことをユーザーに知らせる

その後は、ユーザーが自分のペースで操作を続けられるようにします。

Passkey10

ログイン画面、ユーザーがユーザー名とパスワードを入力します。


Passkey09

ログインが成功すると、ユーザーにアカウントのパスキーの使用を開始するよう求めるメッセージが表示されます。


Passkey10

パスキーの作成が完了すると、確認メッセージが表示されます。



セキュリティ設定

パスキーはアカウントのセキュリティ設定で使えると便利です。 セキュリティ設定の中にパスキーのオプションを入れると、ユーザーは簡単にパスキーを管理したり更新したりできます。 また、このタイミングで電話番号やメールアドレスなど、アカウントを再設定するときに必要な情報も確認できるので安心です。

Passkey11

パスキー設定ページには、アカウントで使用可能なすべてのパスキーと、新しいパスキーを作成するためのオプションが表示されます。



復元

アカウントの復元は簡単な作業ではないため、ユーザーはセキュリティの大切さを意識します。ログインできたら、次回からもっとスムーズにログインできるよう、パスキーを作るよう案内するタイミングです。
これにより、アカウントの安全が高まり、ユーザーは今後も快適にサービスを使えるようになります。

Passkey12

メールまたは電話によるアカウント復元プロセスをユーザーに提示するプロンプト。


Passkey13

パスキーの作成が完了すると、確認メッセージが表示されます。



再設定

個人情報の変更や出金依頼などの重要な操作の前などユーザーがセキュリティを意識しているタイミングでパスキーを作れば、今後のログインがもっとスムーズになり、アカウント全体の安全性も高まります。

パスキー作成をキャンセルした場合
作成をやめたり失敗した場合は、メール等の方法でユーザーにわかりやすく通知します。 意図せず、パスキー作成をキャンセルした場合も、ユーザーが後で再試行できるように、簡単に作り直せる方法を用意します。

パスキーを使って新しいアカウントを作る場合
ニックネームやユーザー名を入力する専用ページに案内し、パスキー作成の手順を進めます。 復元方法の設定は電話番号やメールアドレス、Googleなどのソーシャルログインで確認できます。 どの方法が最適かは、ユーザーやアプリのセキュリティ要件によって変わります。 バックアップを設定しておくと、パスキーが使えないデバイスでもアカウントにアクセスできるので安心です。

Passkey14

ある xxxxx サイトのアカウント作成ページ。



パスキーによるログイン

パスキーでは、ユーザー名を入力するか、ドメインのパスキーのリストから選択するなど、柔軟なログイン オプションを利用できます。 すばやくエラーのないアクセスを実現するには、特定のドメインのパスキーのリストを表示する WebAuthn 機能を使用してみてください。パスキーが直接表示されるため、入力にかかる時間と手間を省くことができます。



ログインページを設計する

効果的なログイン ページを設計する際は、スピード、ユーザーの利便性、わかりやすさを重視する必要があります。
最新のウェブブラウザの自動入力機能を利用してユーザーにパスキーを提供したり、認証情報マネージャー API と深く統合して、ユーザー ジャーニーの早い段階でパスキーを提供したりするとよいでしょう。 ユーザー名とパスワードのフィールドやさまざまなソーシャル ログインなど、複数のログイン オプションを提供すると、ユーザーに多様な選択肢を提供できますが、ユーザーが混乱する可能性もあります。オプションを優先順位付けし、ユーザーベースにとって最も有用なものを提示します。 パスキーの利用率は現時点では低いかもしれませんが、セキュリティとユーザー エクスペリエンスが向上し、パスキーを採用するユーザーは日々増えています。今すぐパスキーを実装することで、将来の成功に向けた正しい道を進むことができます。
パスキー用の別のボタンを統合する場合は、そのボタンが美観やアイデンティティと調和するようにしてください。



パスキーの管理

パスワードと違い、1つのアカウントに複数のパスキーを作ることもできます。
パスキーは「変更する」のではなく、必要なときに新しく作って追加し、使わなくなったら削除します。
パスキーの特徴
一度作成したパスキーは、ユーザーが安全にログインするための強力で一意の認証方法です。 パスワードのようにコピーして使うのではなく、端末ごとに安全に管理されます。
また、パスキーがどこに保存されているかをユーザーに見せることが大切です。 これにより、ユーザーはどのデバイス・どのサービスで使えるパスキーかをすぐに確認できます。

Passkey15

3 つのパスキーとそのソースを示すパスキー設定を含む xxxxx サイト のセキュリティ設定ページ。


同じエコシステムの追加のパスキーに番号を追加する
同じエコシステムのデバイスで複数のパスキーを作成した場合は、ユーザーが区別できるように、追加のパスキーに番号を追加します。

Passkey16

パスキーの設定ページにパスキーとそのソースが表示されます。Google パスワード マネージャーで作成された 2 つのパスキーには、「Google パスワード マネージャー 1」と「Google パスワード マネージャー 2」というラベルが付けられます。



パスキーを削除する場合

パスキーを使わなくなった場合、サーバー側からパスキーを「削除」することで、そのパスキーを無効化できます。ただし、スマホやパスワード管理アプリにあるパスキー(秘密鍵)は自動では削除されません。技術的には「取り消し」ですが、ユーザー向けの画面では分かりやすく「削除」という言葉を使うのがおすすめです。
また、アカウント管理ページやサポートページで、パスキーの管理方法をわかりやすく説明し、ChromeやiOSなど、使っているプラットフォームごとの管理ページへのリンクを載せると便利です。

Passkey16

パスキーの設定ページにパスキーとそのソースが表示されます。Google パスワード マネージャーで作成された 2 つのパスキーには、「Google パスワード マネージャー 1」と「Google パスワード マネージャー 2」というラベルが付けられます。



メールまたは電話のバックアップを設定する

メールアドレスや電話番号のバックアップがあれば、ユーザーはパスキーを全部削除してもアカウントを復元できます。ログイン用のリンクやコードを送信して、もう一度アカウントにアクセスできるようにします。さらに、Googleでログインなどのソーシャルログインの設定を案内すると、今後のログインがもっと便利になります。




複数のパスキーを管理する

パスワードと違い、1つのアカウントに対して複数のパスキーを別のデバイスで作ることができます。過去にパスキーを作ったことがあっても、特定のデバイスで見つからず、メールや電話などのバックアップ方法でログインしている場合は、新しいパスキーを作るよう案内すると便利です。この操作を行うと、認証情報マネージャーが更新されたり、今使っているデバイスに新しいパスキーが追加されます。



口座開設はこちらから

口座開設はこちらから (無料!)

弊社e支店のホームページに記載の商品等にご投資いただく際には、各商品等に所定の手数料や諸経費等をご負担いただく場合があります。また、各商品等には価格の変動等による損失を生じるおそれがあります。商品によっては、投資元本を超える損失が発生することがあります。各ページに掲載された各商品等へのご投資にかかる手数料等およびリスクについては、弊社e支店のホームページの当該商品等の取引ルール、契約締結前交付書面またはお客様向け資料などが掲載されたページに記載されておりますので、当該ページより内容をご確認ください。

ページトップヘ