こんにちは。KentemのR.I.です。
年々セキュリティに関する世間の興味も高まり、技術も進展しています。
この記事では、昨今注目され始めた「パスワードレス認証」について私自身も気になったので掘り下げてみます!
※2025年6月時点の状況を様々な資料から集約・整理してみました。
はじめに: パスワードレス認証 とは?
「パスワード認証」は近年もはや当たり前、経験が無い人の方が少ないと思います。
ですが、管理の大変さ、使い回し問題、フィッシング詐欺被害など課題は多いです。
※2024年の調査でも、「123456」 や 「password」が未だに使われているという結果が…
そこで、セキュリティと利便性の両方を解決する新しい認証手法として注目されているのが「 パスワードレス認証 」です。
言葉通りパスワードを使わずにログインする仕組みです。
どのような技術・方式があるか簡単に挙げてみます。
| 認証方式 | 特徴 | 利用例 |
|---|---|---|
| メールリンク(Magic Link) | 一時的なログインリンクをメールで送信 | Slack, Notion |
| SMSコード | 携帯番号にワンタイムコード送信 | LINE, Uber |
| TOTP (Time-based One-Time Password) |
Google Authenticatorなどのアプリで生成 | GitHub, AWS |
| WebAuthn / FIDO2 | 生体認証やセキュリティキーを使用 | Google, Microsoft |
※各方式の掘り下げはなかなか深い内容になるので割愛します。
すでに色々な技術があり、パッと特徴を見たところ…既視感ありませんか?
ですが、スマートフォンでの生体認証を除き、これらが単独で成り立っている例はあまりなく、例えば「パスワード」と別の認証方式といった組み合わせが圧倒的に多いように感じますね。
ちなみに「認証の3要素」として「知識認証」「所持認証」「生体認証」があります。
「パスワード(知識認証)」と「指紋認証(生体認証)」など別の要素方式との組み合わせによる認証方式のことを「 多要素認証(MFA) 」と言います。
実際どうなの?: パスワードレス認証 の実情
さて、「パスワードレス認証」ってそこまで良いものなのでしょうか?
一般的に言われているメリットとデメリットを整理してみます。
| メリット | デメリット |
|---|---|
| ・ユーザー体験が向上 (知識として覚える必要が無い) ・セキュリティ強化 (フィッシング耐性が高い、 パスワード漏洩リスクがゼロ) |
・生体情報の取り扱いの難しさ ・端末紛失時のリスク大 ・企業側の導入コスト大 |
こうしてみると、課題はありつつも上で取り上げた「パスワード認証」の課題を払拭できることが大きなメリットに見えます。
使用者目線でもとにかく「楽!」なのが大きなメリットですね。
正直、開発目線で考えると特に生体認証は導入の大変さや情報漏洩時の損失に震えます。
また、季節などにより指紋認証が通りづらいは人は恩恵にあずかれなくなり悲しいというデメリットはありそうです…。
では、「パスワードレス認証」の普及度合いはいかがなものでしょうか。
一説によると、認知度は増加傾向、一部分野では技術実用に至る場面もあるものの、普及はまだこれからであり、現在はまだ多要素認証(MFA)の方が圧倒的に普及していることがわかりました。
まぁ...確かにMFAの方が馴染みがある気がしますが、結局MFAは「知識認証」を含むことが多く、絶対的・完全ではないという意見もあるようです。
パスワードレス認証 のトレンド「パスキー」
まだ発展途中でも「パスワードレス認証」技術として注目を浴びているものや提供サービスなどはどんどん増えています。
トレンドと言えばやはり「 パスキー 」かと思います。
パスキー(Passkeys)
「パスキー*1」は、FIDO Allianceが推進するFIDO2*2という国際標準規格に基づき設計されている認証方式です。
Apple/Google/Microsoftといった大手が推進していることもあり、注目されているそうです。
どんな技術?
- ユーザーの生体情報は端末内のTPM(Trusted Platform Module)に保存
- 認証時には公開鍵暗号方式を使って、サーバーと安全に通信
- パスワードは一切使われないため、フィッシング耐性が非常に高い
どんな手段、サービスがある?
- Apple製品では「Face ID」(顔認証)、「Touch ID」(指紋認証)など
- PINコード
- Windows Hello*3
少し気になる「Windows Hello」
「Windows Hello」は実はまだ体験したことがないのですが、以下のようなことができるようです。
- 顔認証や指紋認証でWindowsにログイン
- Microsoft 365やOneDriveなどのクラウドサービスへログイン
- WebAuthn対応サイトにブラウザからログイン
簡単に言うと、WindowsデバイスやMicrosoftサービスへのログインで、デバイスに保存された情報を用いて認証を行うということですね。
最近はWindows11搭載のノートPCやタブレットの大半にWindows Hello対応の顔認証カメラや指紋センサーが標準搭載されてきているようです。
ビジネスシーンでのセキュリティリスク低減に大きく貢献できるのではないでしょうか。
あとはお値段と相談かな…。
トレンド技術に対して感じたこと
「普及はこれから」と言われつつ、「パスキー」という概念や技術は実はもう身近にある技術のように感じられました。
生体情報を利用した認証はセキュリティと利便性の両面で評価が高いので、もっともっと普及すると良いなと思います。
開発者としては、知識習得を怠らず自社製品における認証の在り方について疑問を持ち、課題発見や新技術への対応検討を続けていきたいです。
まとめ
ざっくりですが「パスワードレス認証」に関してまとめてみました。
「パスワードレス認証」は現在普及に向けた過渡期にありますが、着実に広がりを見せています。
近い将来その技術の恩恵を受けることが当然となりそうです。
新しい技術や変化に柔軟に対応し、安全で快適に使用していきたいですね!
おわりに
KENTEMでは、様々な拠点でエンジニアを大募集しています! 建設×ITにご興味頂いた方は、是非下記のリンクからご応募ください。 recruit.kentem.jp career.kentem.jp
