WebAuthn / FIDO2 規格に準拠したパスワードレス認証方式。秘密鍵が認証器(端末・セキュリティキー)から外に出ず、利用するサイトのドメインに対してのみ署名するため、 フィッシング耐性が極めて高い 。
概要
パスキーはユーザーがパスワードを覚える・入力する必要がなく、生体認証(指紋・顔)や端末 PIN を使ってログインを完結させる仕組み。Apple・Google・Microsoft が共同で標準化を推進し、2023 年以降に主要 OS / ブラウザで一般利用可能になった。
なぜ安全か
| 攻撃 | 従来パスワード | TOTP / SMS MFA | パスキー |
|---|---|---|---|
| フィッシング | ❌ 騙される | ❌ ワンタイムコードも盗まれる | ✅ ドメインに紐付き署名されるため成立しない |
| クレデンシャル漏洩 | ❌ DB 流出で被害 | △ 二要素で軽減 | ✅ サーバー側に秘密鍵が無い |
| リプレイ攻撃 | ❌ | △ 30 秒有効 | ✅ チャレンジ・レスポンスで防止 |
秘密鍵が 端末から出ない ため、サーバーが侵害されても認証情報そのものが漏れない。
利用シーン
- 一般消費者向けサービスの パスワードレスログイン
- 企業の 管理者ログイン での MFA 代替(最強のフィッシング対策)
- フィッシング被害が多い金融・SaaS の追加防御
CTS での活用例
CTS-EC では BtoB 管理者ログインの認証方式としてパスキーを採用。AWS Cognito User Pool(Essentials tier)のネイティブ機能で実装し、パスワードとの併用でデバイス紛失時のフォールバックを確保している。
関連用語
- AWS Cognito — パスキーをネイティブサポートする認証基盤
- WebAuthn — パスキーが準拠する Web 認証 API
- PKCE — OAuth 2.0 でクライアント側の認証を強化する仕様