パスワードに依存しないログイン方法への移行が国際的に推進

　ウェブサービスやアプリのログインは、IDとパスワードを用いて行うことが一般的だが、近年は、パスワード情報や金銭詐取を狙ったフィッシング詐欺や、不正に入手したIDとパスワードによる「パスワードリスト型攻撃」などのサイバー犯罪が急増。安全性・利便性から、パスワードに依存しないログイン方法（パスワードレス認証）への移行が国際的に推進されている。

　Yahoo! JAPANでは、ユーザーが安全・安心にサービスを利用できる環境を整えるため、より安全で使いやすい認証方法の研究開発を進めている。2017年からSMS認証、18年から生体認証の提供を順次開始し、現在ではアクティブユーザーの7割以上がSMS認証・生体認証いずれかのパスワードレス認証を利用している。

　生体認証では、パスワードに替わる認証技術の標準化を推進する国際的な団体「FIDOアライアンス」が策定した「FIDO2」の技術規格を採用。FIDO2は、指紋・顔などの生体情報をログイン先のウェブサービスに登録することなく認証が可能で、生体情報は自身の端末内で守られる安全・安心な認証の規格だ。

　『パスキー』は、「FIDOアライアンス」が昨年発表した、マルチデバイスに対応した「FIDO2」に加わる技術で、Apple、Google、MicrosoftといったOS・ブラウザー提供事業者がサポートを進めている。Yahoo! JAPANでは、ネットサービス事業者としていち早くこの技術に対応した。

根本的にシンプルで堅牢なアプローチに

　これまで生体認証を利用する場合、端末ごとに「このサイトで生体認証を使う」という設定が必要だったが、『パスキー』の対応によって、『パスキー』をサポートしているOS・ブラウザーであれば、1回の設定で複数の端末から生体認証を利用できるようになった。

　スマートフォンやパソコンなど複数の端末からの利用はもちろんのこと、端末を買い換えた際も、端末本体やブラウザー上でApple IDやGoogleアカウントにログインすれば、設定済みのサイトで引き続き生体認証が利用できる。

　「FIDOアライアンス」のエグゼクティブディレクター兼CMOは『パスキー』について、「ウェブ上のアプリやサービスにサインインする方法を抜本的に変え、パスワードやワンタイムパスワードの負担や脆弱性から脱却し、ユーザーが毎日何十回もデバイスのロックを解除するのと同じ動作（通常は生体認証やローカルPINコード）でサインイン可能な、根本的にシンプルで堅牢なアプローチに移行する」とコメントしている。