遅かれ早かれ、その日はやって来る。お気に入りのウェブサイトやアプリケーションにログインしようとしたとき、ユーザーIDとパスワードを入力するところがないことに気づくだろう。パスワード入力フィールド自体が存在しないのだ(ユーザーIDフィールドがどうなるかは、まだ分からない)。代わりに、そのサイトやアプリで有効な、あなた専用の認証情報(パスキーなど)がリスト表示され、それを選択するだけでログインが完了する。うまくいけば、これでアクセスが許可されるはずだ。現状、この魔法のように自動的なパスワードレス認証プロセスは、まだ完璧とは言えない。しかし、業界関係者は、今後改善されていくと確約している。
5月1日は「World Password Day」(世界パスワードの日)だ(もちろん、パスワードに関するベストプラクティスはいつも意識すべきだが)。このパスキーが主流となる新しい世界に向けて、私たちは今、どのような準備をしておくべきだろうか。実は、やるべきことはかなりたくさんある。
パスキー登場の背景
Apple、Google、Microsoftといった巨大IT企業や、パスキーの標準規格を策定・推進する業界団体FIDO Allianceのメンバー企業が、ウェブサイトやアプリにおける認証方法の大きな変革を主導している。彼らは、高度に自動化されたパスワードレスの未来を実現するため、OSやウェブブラウザーに水面下で改良を加えてきた。
パスキーが生まれた背景には、私たちユーザー自身がセキュリティ上の最大の弱点になってしまうことを防ぐ、という大きな狙いがある。この20年近く、フィッシング詐欺やスミッシング詐欺を仕掛ける攻撃者は、言葉巧みに私たちをだましてパスワードを盗み出してきた。これだけ時間が経てば、そうした詐欺を見抜き、回避する方法を学んだと思いたいところだが、現実はそう甘くなく、被害は後を絶たない。
こうした状況に対し、FIDO Allianceはパスワードそのものを完全になくしてしまう方法を考案した。正規のウェブサイトやアプリに渡すべきパスワードが存在しなければ、攻撃者に盗まれるパスワードもなくなるはずだ、という発想だ。
FIDO Allianceの関係者は、私たちユーザーが失敗しないように、特別な工夫を凝らしている(まるで、子どもがいつも車を傷つけるのに業を煮やし、ついに鍵を取り上げてプロの運転手による送迎に切り替える親のようだ)。パスキーの仕組みでは、いわばIT業界が私たちから「鍵(パスワード)」を取り上げ、代わりにドアの解錠と管理を専門に行う「認証情報マネージャー」にその役割を委ねるようなものだ。そして、残念ながら、私たちがその「鍵」を取り戻すことはできない。しかし、今ならまだ、賢明な選択をする余地がある。
2種類の認証情報マネージャー
皮肉なことに、そしてあまり建設的とは言えないが、私たちは今日、これらの認証情報マネージャーをいまだに「パスワードマネージャー」と呼んでいる。Appleは2024年、自社の認証情報マネージャー(旧「iCloud Keychain」)を「Apple Passwords」に名称変更した。これは、2022年に「パスキー」という言葉を生み出したとされる、まさにそのApple(FIDO Allianceのメンバー)によるものである。Googleも、認証情報マネージャーに「Google Password Manager」という時代遅れな名前を付けており、Microsoftの認証情報マネージャーに至っては、まだ正式な名称すらない。
しかし、はっきりさせておきたいのは、パスキーはパスワードではない、ということだ。パスワードをなくそうとしているのなら、「パスワードマネージャー」という呼び名もなくすべきではないか。
認証情報マネージャーには、主に2つのタイプがあることを覚えておく必要がある。1つ目は「プラットフォーム組み込み型」である。これらは、「Windows」「macOS」「Android」といったOSや、「Edge」「Chrome」などのブラウザーに最初から組み込まれている、Apple、Google、Microsoftなどが提供する認証情報マネージャーを指す。もしユーザーが自分で別の認証情報マネージャーを用意しない場合、パスキー利用時にはこれらのいずれかを使うことになるだろう。
2つ目のタイプは、「専用(Bring-Your-Own:BYO)型」の認証情報マネージャーである。これには、「1Password」「Bitwarden」「LastPass」「NordPass」などが含まれる。
組み込み型、専用(BYO)型のどちらも、基本的な動作原理は同じである。認証情報(パスキーなど)が作成されると、まず中央の保管場所(多くの場合、認証情報マネージャーが提供するクラウドサービス)に同期される。そして、その中央の保管場所と同期するように設定されている他のデバイスにも、認証情報が共有・同期される仕組みだ。
認証情報マネージャーは、製品によって機能差はあるものの、氏名、住所、クレジットカード情報といった他の個人情報や機密情報を管理し、自動入力する機能も備えている。現在のパスキーを取り巻く環境(エコシステム)には、幾つかの問題点や制限があることも事実だが、だからといってパスキーの利用をためらうべきではない。ただし、導入に当たっては、慎重かつ十分な情報に基づいたアプローチが必要だ。
パスキーのエコシステムは常に進化しており、存在する課題の一部は改善されつつある。それでもなお、ユーザーはこのパスワードレスの未来に向けて準備をしておく必要がある。以下に、パスキーの現在、そして未来を受け入れるための10の推奨事項を挙げる。
1. 今すぐ専用(BYO)型の認証情報マネージャーを選ぶ
まず、専用(BYO)型の認証情報マネージャーを利用することが極めて重要であり、各製品を十分に調査・比較した上で、慎重に選択する必要がある。
なぜなら、現時点でのプラットフォーム組み込み型マネージャーでは、認証情報やその他の機密情報の管理に関して、ユーザーができることは非常に限られているからだ。ウェブ上には、「Apple Passwordsを愛用していたが、1Passwordに乗り換えた」「Google Password Managerに見切りをつけた6つの理由」といった、苦労話や失敗談が数多く見られる。
さらに重要な点として、専用(BYO)型マネージャーは、多くのプラットフォームやブラウザーで幅広く利用できることを前提に、互いに機能や利便性を競い合っている。対照的に、プラットフォーム組み込み型マネージャーには、他のプラットフォームメーカーのユーザーのために積極的に機能改善を行う動機はほとんどない。複数のOSやブラウザーをサポートする専用(BYO)型マネージャーを選んでおけば、将来予期せず利用環境が変わった場合にも対応しやすくなるだろう。例えば、今はMacを愛用していても、将来Windowsしか使えない職場に転職するかもしれない。あるいは、Chromeから「Firefox」にブラウザーを乗り換える可能性もある。
2. 他のマネージャーからは慎重に移行する
言うのは簡単だが、実行は難しいのが認証情報マネージャーの移行である。多くのパスワードマネージャー(認証情報マネージャー)は、移行プロセスを簡略化・自動化しようとしているが、自動移行の結果は必ずしも期待通りとは限らない。一部の専用(BYO)型マネージャーは、既存のマネージャーをそのまま残してしまうため、自動入力時に不要な競合が発生することがある。例えば、ユーザーIDとパスワードの入力欄があるウェブサイトで、古いマネージャーと新しいマネージャーの両方が同時に起動し、それぞれが入力補助のポップアップを紛らわしく表示してしまう、といった状況である。
残念なことに、認証情報マネージャーはブラウザーのようには動作しない。新しい認証情報マネージャーを初めて使っても、それを既定(デフォルト)にするかどうか確認されない。ブラウザーではこうした確認が行われるのが一般的なので、認証情報マネージャーでも同様の仕組みが導入されることを期待したいところだ。
重要な注意点として、移行作業の際には、新しい認証情報マネージャーに登録された情報に重複がないか、必ず再確認する必要がある。そして、古いマネージャーや新しいマネージャーから登録情報を削除する前には、今後確実に使うことになる認証情報を特定し、それが正しく機能するかどうかを必ずテストする必要がある。
なぜなら、いくつものポップアップが重なり合って表示され、使いたい認証情報をクリックすることすらできないような状況ほど、ユーザー体験を損ない、イライラするものはないからだ。スムーズな移行を確実にする最善の方法は、古いマネージャーと新しいマネージャーの両方を手作業でチェックし、競合がないか、あるいは自動移行から漏れてしまった情報が古いマネージャーに残っていないかを確認することである。最終的には、古いマネージャー内の登録情報は全て削除する必要がある。そして、新しいマネージャー内の全情報を一つずつ確認し、残すものと削除するものを判断する作業を行うのであれば、次のステップ3の作業も併せて行うのが効率的だろう。
3. パスワードの共有は、今日限りで、そして永遠にやめる
ここで言う「共有」とは、複数の異なるウェブサイトやアプリで同じパスワードを使い回すことである。多くのサイトやアプリがパスキーに対応し始めているが、ユーザーIDとパスワード認証を完全に廃止したところはまだほとんどない。この状況が続く限り、「複数のサイトで同じパスワードを使っても大丈夫」という考えは捨てるべきだ。パスワードマネージャー(認証情報マネージャー)は、サイトやアプリごとに、長くて推測されにくく、固有のパスワードを生成するのに非常に役立つ。今こそ、全てのログイン情報を見直し、更新する時である。
なぜなら、パスワードを使い回す唯一の理由は、何十個もの異なるパスワードを覚える手間を省きたいからだ。しかし、いったん認証情報マネージャーを導入し、全てのデバイスで使い始めれば、それはスマートフォンの連絡帳のようなものだと考えられる。最後に誰かの電話番号を暗記したのはいつだっただろうか。認証情報マネージャーには、利用する全てのサイトやアプリに対して、強力で固有のパスワードを生成・管理し、自動入力する機能が備わっている。この便利な機能を使わない手はない。全てのパスワードを更新するには数週間かかるかもしれないが、その手間は将来必ず報われるだろう。
