パスワードの先へ: ユーザーのセキュリティに大きなイノベーションをもたらす Google Workspace のパスキー

※この投稿は米国時間 2023 年 6 月 6 日に、Google Workspace blog に投稿されたものの抄訳です。

コンピュータでは 60 年以上もパスワードが使用され続けてきましたが、今やパスワードではユーザーや組織のデータの安全性を十分に維持できなくなりました。フィッシング攻撃は、パスワードのセキュリティの弱さを利用して攻撃範囲を広げ、巧妙さを増しています。例:

• 2021 年に発生したデータ侵害の 60% 以上に認証情報の盗難またはフィッシングが関与

• フィッシングに起因するデータ侵害によって 2022 年に組織が被った費用は平均 491 万ドルに

• フィッシング攻撃は 2022 年に 61% 増加し、6 か月で 2 億 5,500 万回に到達

この 10 年間、Google はフィッシングおよびパスワード関連の脅威に対する戦いの先頭に立ち続け、Google AI による自動化された防御などを開発してきました。また、物理的なセキュリティ キーの開発と、FIDO Alliance によるその標準化を支援してきました。パスワードに代わって使用できる、よりシンプルで安全なパスキーはこの取り組みの最たるもので、フィッシング耐性のあるテクノロジーを世界中の数十億の人々に提供しています。5 月の初めに、個人の Google アカウントのログイン オプションとしてパスキーを追加しました。本日からオープンベータ版として、900 万を超える組織で、ユーザーがパスワードの代わりにパスキーを使用して Google Workspace と Google Cloud のアカウントにログインできるようになりました。

パスキーを使用することで、ユーザーはセキュリティとユーザビリティの両方で大きなメリットを得られます。Google は、このテクノロジーをあらゆる規模の企業、学校、政府機関に提供する初の主要なパブリック クラウド プロバイダとなることを嬉しく思います。引き続きパスワードを使用して仕事用または個人の Google アカウントにログインすることもできますが、パスキーの方がシンプルかつ安全であり、フィッシングやその他のソーシャル エンジニアリング攻撃が及ぼす影響の緩和に役立ちます。

パスキーとは

パスキーは、ウェブサイトやアプリで便利かつ安全な認証プロセスを提供する、新しいパスワードレスのログイン方式です。スマートフォン、ノートパソコン、デスクトップ パソコンで、指紋、顔認証、その他の画面ロック メカニズムを使用してログインできます。パスキーは業界標準に基づいており、ユーザーが日々使用している一般的なブラウザおよびオペレーティング システム（Android、ChromeOS、iOS、macOS、Windows など）で利用できます。パスワードと異なり、パスキーは記憶したり入力したりする必要がありません。書き留めることはできず、誤って攻撃者に渡してしまうおそれもありません。パスキーは本当に使いやすい方式です。実際に、Google の過去のデータ（2023 年 3 月～4 月）から、パスキーはパスワードに比べて 2 倍高速で、エラーの発生率が 4 分の 1 であることが判明しています。

パスキーは、Titan セキュリティ キーなどの物理的なセキュリティ キーを支えているのと同じ公開鍵暗号プロトコルを基盤としているため、フィッシングやその他のオンライン攻撃の防止に効果的です。Google の調査によると、SMS、アプリベースのワンタイム パスワード、その他の従来の 2 要素認証よりも、セキュリティ キーの方が、自動 bot、一括フィッシング攻撃、標的型攻撃に対してより強固な保護機能を提供できることが実証されています。パスキーにはフィッシング耐性があるため、標的型攻撃を受けるリスクが高く高度な保護機能プログラムに登録しているユーザーも、物理的なセキュリティ キーに加えてパスキーを使用できるようになりました。

Snap Inc. はすでに、パスキーを使用してパスワード管理の負担を軽減し、従業員のセキュリティを強化しています。Snap Inc. の CISO、Jim Higgins 氏は次のように述べています。「Google Workspace チームと連携してパスワードからパスキーに移行したことで、従業員のパスワードの漏洩とアカウントの乗っ取りのリスクが減少しました。当社の Corporate Security チームは Google とのセキュリティ面での協力体制を強化しており、パスキーを全社的に導入して、より安全で便利なログイン エクスペリエンスを実現したいと考えています。」

パスキーはユーザーのプライバシーにも配慮して設計されています。ユーザーが Gmail や Google ドライブなどの Workspace アプリにパスキーを使用してログインすると、ユーザーが自分のデバイスにアクセスできること、指紋、顔認識、またはその他の画面ロック メカニズムを使用してデバイスをロック解除できることがパスキーにより確認されます。ユーザーの生体認証データが Google のサーバーあるいはその他のウェブサイトやアプリに送信されることはありません。パスキーの仕組みについて詳しくは、技術ブログの投稿をご覧ください。

使ってみる

本日から数週間をかけて段階的に、ユーザー向けのパスキーと Workspace 管理者向けのコントロールを有効にしていきます。

管理者は、組織内のユーザーがパスキーを使用してログイン時のパスワード入力をスキップできるように設定できます。この設定はデフォルトでオフになります。オフの場合、ユーザーはログイン時にパスワード入力をスキップできませんが、2 段階認証プロセス方式としてパスキーを作成し、使用することは可能です。ユーザーがパスワード入力をスキップできるようにするには、管理コンソールでこちらの簡単な操作を行います。

Google Workspace と Google Cloud でパスワードの代わりにパスキーを使用するには、または 2 段階認証プロセス方式としてパスキーを使用するには、g.co/passkeys にアクセスしてください。