従来、ウェブサービスやアプリのログインは、IDとパスワードを用いて行うことが一般的でした。しかし近年、パスワードなどの情報や金銭の詐取を狙ったフィッシング詐欺や、第三者が不正に入手したIDとパスワードのリストをもとに不正ログインを試みる「パスワードリスト型攻撃」などのサイバー犯罪が急増し、安全性・利便性の両面から、パスワードに依存しないログイン方法(パスワードレス認証)への移行が国際的に推進されています。
Yahoo! JAPANでは、ユーザーが安全・安心にサービスを利用できる環境を整えるため、より安全で使いやすい認証方法の研究開発を進めています。2017年からSMS認証(※1)、2018年から生体認証の提供を順次開始し(※2)、現在ではアクティブユーザーの7割以上がSMS認証・生体認証いずれかのパスワードレス認証を利用しています。
生体認証においては、パスワードに替わる認証技術の標準化を推進する国際的な団体「FIDOアライアンス」(※3)が策定した「FIDO2」の技術規格を採用しています。FIDO2は、指紋・顔などの生体情報をログイン先のウェブサービスに登録することなく認証が可能で、生体情報は自身の端末内で守られる安全・安心な認証の規格です。
今回新たに対応した“パスキー”は、「FIDOアライアンス」が昨年発表した、マルチデバイスに対応した「FIDO2」に加わる技術で、Apple、Google、MicrosoftといったOS・ブラウザー提供事業者がサポートを進めています。Yahoo! JAPANでは、インターネットサービス事業者としていち早くこの技術に対応しました(※4)。
これまで生体認証を利用する場合、端末ごとに「このサイトで生体認証を使う」という設定が必要でしたが、“パスキー”の対応によって、“パスキー”をサポートしているOS・ブラウザーであれば、1回の設定で複数の端末から生体認証を利用できるようになりました(※5)。スマートフォンやパソコンなど複数の端末からの利用はもちろんのこと、端末を買い換えた際も、端末本体やブラウザー上でApple IDやGoogleアカウントにログインすれば、設定済みのサイトで引き続き生体認証が利用できます。
■FIDOアライアンス エグゼクティブディレクター 兼 CMO アンドリュー・シキア氏からのコメント
パスキーは、一般消費者がウェブ上のアプリやサービスにサインインする方法を抜本的に変え、パスワードやワンタイムパスワード(OTP)の負担や脆弱性から脱却し、ユーザーが毎日何十回もデバイスのロックを解除するのと同じ動作(通常は生体認証やローカルPINコード)でサインイン可能な、根本的にシンプルで堅牢なアプローチに移行します。また、Yahoo! JAPANは、ボードおよびFIDO Japan Working Groupのメンバーとして極めて重要な役割を果たしており、パスキーでのサインインを可能にすることで、日本国内およびFIDOアライアンスにおいて引き続きイノベーターとしての役割を担っていきます。
「情報技術のチカラで、日本をもっと便利に。」をミッションに掲げるYahoo! JAPANでは、今後も安全・安心にサービスをご利用いただくためのさまざまな技術の研究開発に努めていきます。
<Yahoo! JAPAN IDにおけるパスキー対応環境>
・Android 9.0以上 かつ画面ロックを設定済み
・iOS 16以上/iPadOS 16以上 かつ画面ロックを設定済み
・macOS 13(macOS Ventura)以上 かつ画面ロックを設定済み
※1:プレスリリース https://about.yahoo.co.jp/pr/release/2017/04/20a/
※2:プレスリリース https://about.yahoo.co.jp/pr/release/2018/10/23a/
※3:FIDOアライアンスについては公式サイトをご確認ください https://fidoalliance.org/
※4:Apple IDは2022年11月に対応済みです。今回Googleアカウントに対応しました。
※5:生体認証の利用は「Yahoo! JAPAN IDガイド」から設定できます https://id.yahoo.co.jp/