安全で摩擦のないログインプロセスを実現–Okta、パスキーによる認証解説

今回は「安全で摩擦のないログインプロセスを実現–Okta、パスキーによる認証解説」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　Okta Japanは、クラウド型ID管理サービス「Okta Customer Identity Cloud」で提供開始されたパスキーによるパスワードレス認証に関するプレス向け説明会を開催した。

　パスキー（Passkeys）は、「パスワードへの過度の依存を減らすための認証標準という、焦点を絞った使命を持つオープンな業界団体」であるFIDOアライアンスが策定したFIDO認証に基づき、「ユーザーの複数の端末から、より速く、簡単に、そして安全に、ウェブサイトやアプリにログイン・認証するためのパスワードの代わるもの」で、標準的な公開鍵暗号技術を使用して実現している。同社は2023年10月に「Customer Identity Cloud（powered by Auth0）のパスワードレス認証方式として、早期アクセスによるパスキー（Passkeys）のサポート」を発表しており、2024年初めに一般利用が可能になる予定だと公表していた。

　説明を行った同社のプリンシパルデベロッパーアドボケイトの池原大然氏は、ID／パスワードによる認証がパスワードの推測などで簡単に破られてしまうことや、対策としてさまざまな多要素認証（MFA）を導入しても今度はコスト増やユーザーの負担増などの課題が伴うとし、「ユーザーとしてはログインするという行為にいろいろな“摩擦”や“壁”が生じることになる」と指摘した。

　同社が実施したグローバル調査では、グローバルの回答者の65％、日本の回答者の68％が「管理しなければならないユーザー名とパスワードの数に圧倒されている」と回答したという。さらに同氏は、この状況を逆に考えると「この体験を良くすることでビジネスやサービスを成長させる余地があるともいえる」と語り、パスキー導入が事業成長につながるポジティブな意味も持つとした。

　池原氏はパスキーの特徴として、「ID／パスワードは認証を行うサーバー側に保存されるので、サーバー側で情報が漏えいすると不正ログインされてしまう。一方、パスキーはユーザーの手元にあるスマートフォンなどの認証機に秘密鍵が保存され、サーバー側には公開鍵が保存されるので、サーバー側の公開鍵が万一漏えいしたとしても、秘密鍵を復元することは困難」などのポイントを紹介した。

　そのほか「パスキーの認証情報では、ユーザーIDとそれを利用するウェブサイトやアプリケーションなどのひも付いているので、フィッシングサイトなどに誘導された場合でもその資格情報の送信をウェブブブラウザー側で阻止でき、フィッシング耐性がある」「ユーザーは、スマートフォンのロック解除と同様の暗証番号や指紋認証／顔認証といった常に使っている機能で認証できるので、摩擦のない認証体験ができる」「一度登録した認証情報は、クラウドサービスを介してデバイス間で同期でき、デバイスごとに再登録を行う必要はない」などのポイントがあるという。

　同氏は、パスキーの現時点での課題についても触れ、「さまざまなOSやウェブブラウザーでのサポート状況。現在対応が進んでいる最中なので、ユーザーやサービスの環境に合っているかどうかを確認する必要がある」「スマートフォンなどの認証機を持っていない／使えない場合にどう対応するかを考えておく必要がある」「パスキーの導入が進む中で、パスキーの同期の仕組みの実装が望まれている」といった点が指摘された。

　Oktaはアイデンティティー管理プラットフォームを提供するが、2021年5月にAuth0の買収を完了した結果、現在はもともとのOktaのサービスが引き継がれた「Workforce Identity Cloud」とAuth0由来の「Customer Identity Cloud」の2本柱で事業を展開している。もともとOアイデンティティーライズ向けのIDaaSという性格が強かった一方、Auth0はウェブサービス事業者など、自分たちのサイトでエンドユーザーのログイン情報を管理する必要がある組織をユーザーとしてアイデンティティー管理機能を提供するという性格が強かった。

　今回のCustomer Identity Cloudにおけるパスキー機能の提供とは、例えばオンラインバンキングサービスを提供する金融機関のウェブサイトなどがOktaのカスタマーとなってOktaが提供するパスキー認証の機能を自分たちのウェブサイトに組み込んで利用する、という使い方となる。

　もちろん自分たちでアイデンティティー管理機能や認証機能を全て搭載することも不可能ではないが、池原氏はCustomer Identity Cloudを活用するメリットについて、「開発コスト／運用コストを低減できる」「単なる実装だけではなく、セキュリティの担保やメンテナンス、脆弱（ぜいじゃく）性への対応もOktaが責任を持って行う」「新機能を迅速に利用できる」といった点を挙げた。

　パスキーの機能は2024年2月に一般提供開始されているといい、既にCustomer Identity Cloudを利用中のユーザーであれば、「管理画面でこの機能を有効化していただければ即座にパスキー機能を導入できる」という簡便さだという。

　ID／パスワード方式の認証の脆弱さが指摘されるようになって相当な年月が経っているが、簡便なシステムであるがゆえに導入も容易であり、ユーザーも慣れ親しんだ方式ということもあって決別することにはなっていないのが現状だ。しかしながら、現在では誰もが日常的にスマートフォンを使っていると言っていい状況になりつつあり、これを介して安全な認証を行うパスキーはエンドユーザーにとっても導入障壁が低く、「ログインする度に煩雑な操作を要求される」といったクレームも出にくいシステムだといえるだろう。

　Customer Identity Cloudのようなサービスを通じてパスキーを導入するウェブサイトやサービスが増加することで、「分かっていながら脱却できなかった」昔ながらのID／パスワード方式からようやく次のステップに進むことができるのではないだろうか。