🗝️
多要素認証じゃダメ?ritouさん、Auth屋さんに聞く 認証技術の最前線 ~パスワードレスとは~ レポート
はじめに
2025年4月17日、「多要素認証じゃダメ?ritouさん、Auth屋さんに聞く 認証技術の最前線 ~パスワードレスとは~」というオンラインイベントが開催されました。エンジニアの間で注目されているパスワードレス認証について、認証技術に精通したお二人(ritou氏・Auth屋氏)を招き、パスキーや多要素認証(2段階認証)などの成り立ちや導入のポイントが、具体例を交えながら紹介されました。モデレーターはエンジニアとして認証技術に関わってきた大西氏が務め、参加者からも活発に質問が寄せられ、認証周りの課題と最新技術の全体像が浮き彫りになる、有意義な時間となりました。
本レポートでは、当日のLT(ライトニングトーク)やディスカッション、Q&Aで特に印象に残ったポイントをまとめています。今後のサービス運営や開発において、認証基盤をどのように強化・選定すべきか悩んでいる方にとって、手がかりとなる情報が多く詰まっていますので、ぜひご覧ください。
ユーザー認証の変遷とパスキー登場の背景
パスワード認証とその限界
まずritou氏のLTでは、パスワード認証の課題を歴史的に振り返るところから始まりました。かつては「パスワードをユーザーに記憶させる」というやり方が標準でしたが、使い回しや推測しやすい文字列といった問題が深刻化し、さらにリスト攻撃やフィッシング攻撃の対象として狙われやすくなった結果、二段階認証や多要素認証が急速に普及したという流れです。
しかし、それでもパスワードをベースに追加要素を掛け合わせる手法では、攻撃手法がより巧妙化するにつれ、ユーザー操作が増えるうえにリスクも完全には消しきれないという課題が残っていました。こうした文脈で「だったら、最初からパスワードを廃止しよう」という考え方が生まれ、それがシンプルなパスワードレス認証や公開鍵方式によるファイド認証、さらにはパスキーと呼ばれる新しい仕組みの登場へとつながっていきます。
ファイド認証とパスキーの仕組み
Auth屋氏のLTでは、パスキーの技術的な側面がかみ砕いて説明されました。ファイド2認証(FIDO2)は、公開鍵暗号の原理を応用し、秘密鍵をユーザー端末に安全に保管する仕組みが特徴です。さらに、認証時にはブラウザーがドメインチェックを自動で行い、正しいサイトかどうかを判定するので、フィッシングサイトへの誘導を根本的に阻止できる可能性が高いといいます。
かつては「セキュリティキー(指でタッチするUSBトークンなど)」を使う方法が一般的でしたが、端末の買い替えや紛失時の再登録が煩雑という弱点もありました。そこで、クラウド上のパスワードマネージャーで秘密鍵を同期できるパスキーが登場し、利便性が大幅に向上したのです。デバイス間の連携や生体認証との組み合わせによるUX改善も相まって、多くのサービスでパスワードレス導入を検討する流れが広がっています。
Q&A・ディスカッション抜粋
パスキー認証をサポートするIDaaSはどこ?
「パスキーを導入したいが、アイデンティティ管理を外部サービスに任せる場合はどうなるのか?」という疑問に対して、ritou氏は次のように答えました。
海外勢を中心にいくつかのIDaaSがパスキー対応を進めているが、ベンダーごとに実装の癖があるので事前に調査が必要。
独自の認証基盤を構築するケースでも、ファイド2およびWebAuthnを扱うためのライブラリが各言語で整備され始めているので、近年は導入しやすくなっている。
ただしUI/UXやバックエンド設計で、ライブラリが想定するフローと自社サービスの要件を突き合わせる必要があり、検証コストは無視できない。
パスワードレスか多要素認証か、どちらを優先すべき?
「二段階認証が既に導入されているサービスで、パスキーを新たに取り入れる意義は?」という質問には、次のようなポイントが示されました。
多要素認証(MFA)はあくまで「パスワードに加えて別の要素を足す」形が主流で、パスワード自体を廃止できない。
パスキーの場合、パスワード不要でありながら、実は端末(所持)+生体(ローカル認証)という二要素を備えているので、多要素認証を単体で成立させられる。
ただし「パスワード+パスキー」のように両方を維持すると、かえって運用が煩雑になるリスクもあり、段階的に移行するか、ユーザー自身に選択させるかなど柔軟な設計が必要。
シンプルなパスワードレス(メールコード認証など)はフィッシングに弱い?
「メールやSMSでワンタイムコードを送るパスワードレスは、フィッシングにどう対処するのか?」という懸念に対し、開催者たちは「技術的には簡単に偽サイトを作れるため、依然としてリスクはある」と回答しました。
パスキーが注目されるのは、ブラウザーがドメインチェックを自動で行うため、ユーザーに依存しないフィッシング対策が可能になるから。
ただし現状、メールコード認証は「攻撃者にとっても、まだパスワード認証を狙うほうが価値が高い」背景があり、被害が顕在化していないだけかもしれない。
B2B向けSaaSでパスキー実装を後回しにされがちな理由と対処策
エンタープライズで導入を検討しているものの、「まず多要素認証で十分では?」という意見が社内で根強く、なかなかパスキーを検討できないという声もありました。議論では、次のようなアドバイスが出ています。
企業での認証破られは「情報資産全体が損なわれる」リスクが大きく、MFAだけでは防げないフィッシング手法もあるため、安全策としてパスキーを検討する価値は高い。
最初から「パスキーのみ」を必須化するのではなく、段階的に利用を促進し、使えない環境がある社員や顧客のサポートをきちんと準備する。
社内外ともに、パスキーのUX向上やメリット(入力が不要、フィッシング対策になるなど)を周知し、不安を解消していくのが導入成功の鍵。
全体を踏まえた考察
これからの認証は「ユーザー体験とリスク管理の両立」
今回のイベントを通じて浮かび上がったのは、「パスワードレスやパスキーを導入すれば万事解決」というわけではないものの、既存のパスワード主体の運用では限界が見えつつあるという現実です。多要素認証との違いや、パスキーならではの強み(フィッシング耐性、UX向上)を踏まえたうえで、運用面やリカバリー策も含めた総合的な設計が求められています。
特にパスキー認証は、デバイスごとの秘密鍵管理やクラウド連携など新たな運用課題こそあるものの、ユーザー目線ではログイン操作が一気にシンプルになり、サービス提供者目線でもパスワード漏洩リスクを大幅に減らせるという利点があります。これまで「パスワード忘れ対策」や「2段階認証導入」で苦労していたサービスほど、大きなメリットを享受できる可能性が高いでしょう。
一方で、エンタープライズ環境や古いアプリケーションなどでは、すぐにパスワードレスへ全面移行できない事情も多々あるはずです。そういった場合でも、段階的にパスキーと共存させる形で導入し、ユーザーが問題なく移行できるようサポートするのが現実的だという意見が多数見受けられました。
“認証はサービス利用の入口” という言葉が示すように、ユーザー体験を向上させるか、ユーザーを遠ざけてしまうかの分岐点になる重要な領域です。攻撃手法が巧妙化するなか、新しい技術をいかに取り入れていくかは、今後もエンジニアとセキュリティ関係者にとって大きなテーマであり続けるでしょう。
これからのパスワードレスを見据えて
今回のイベントからは、パスワードレス認証が技術的にも運用的にも“今こそ本格的に検討すべき段階”に来ている印象が強く伝わってきました。すでに多要素認証を導入している組織でも、パスワード自体を取り除けないための煩雑さやリスクは残っています。パスキー認証やシンプルなパスワードレス方式が普及すればするほど、同時に新しい攻撃手法も登場する可能性はありますが、それを踏まえてなおフィッシングやリスト攻撃対策の効果は大きいと言えます。
また、実装にあたってはUI/UXの設計やリカバリ手段の確保、アプリとWebの両対応といった検討事項が山積するため、サービス提供者同士の情報共有やベストプラクティスの蓄積が欠かせません。今回登壇されたritou氏やAuth屋氏のように、認証技術を丁寧に啓発するコミュニティが増えていくことも、大きな後押しになるでしょう。
パスワードレスは新しい“当たり前”の入り口に過ぎず、今後は運用面やセキュリティモデルを巡るアップデートがさらに進むはずです。認証のDX化とも言えるこの流れの先で、ユーザーが「ログインで迷わない」「フィッシングに怯えなくて済む」世界が当たり前になるよう、われわれエンジニアも情報をキャッチアップしつつ、最適な導入方法を模索していく必要があると感じました。
Yardでは、テック領域に特化したスポット相談サービスを提供しています。
興味がある方は、初回の無料スポット相談をお申し込みください。
また、資料請求やお問い合わせもお待ちしております。テック領域の知見を獲得し、事業成長を一緒に実現していきましょう。
Read next
Loading recommendations...