パスワードではなく「パスキー」を使う“パスワードレス認証”の利点はこれだ：生成AIで変わる攻撃と対策【後編】

人工知能（AI）技術の利用によって手口が巧妙になるフィッシング攻撃。被害に遭わないための新たな対策になるのが、パスワードを使用しない「パスワードレス認証」だ。その利点と可能性を探る。

[Andrew Shikiar，TechTarget]

　「生成AI」（エンドユーザーの指示を基にテキストや画像、音声などのデータを生成する人工知能技術）が台頭したことを背景にして、フィッシング攻撃が成功しやすくなっている。より巧妙なフィッシング攻撃に対抗するために、組織にはどのような対策が求められているのか。

　有効な手段の一つになる可能性があるのが、パスワードを使わない「パスワードレス認証」だ。パスワードレス認証には「パスキー」（Passkey）という認証方法がある。パスワードを使った手法を置き換えていく可能性のあるパスワードレス認証の利点と可能性を探る。

「パスキー」を使う“パスワードレス認証”の利点とは？

併せて読みたいお薦め記事

連載：生成AIで変わる攻撃と対策

• 前編：「攻撃専用GPT」が生成する“見破れない詐欺メール”　その恐ろし過ぎる現実

そもそも「パスワードレス認証」とは

• パスワードを使わない「パスワードレス認証」が“より安全”になるのはなぜ？
• “パスワード廃止論”の追い風が吹く「パスワードレス認証」の現在地

　生成AIは、人間の言葉遣いを模倣することができる。生成AIを使って作成したフィッシングメールは正しい文法や自然な表現を再現しているため、標的がだまされやすくなっている。従来のフィッシング攻撃対策の研修では、スペルや文法の誤りに敏感になるための訓練がなされていた。しかし生成AIが普及している現在は、それだけではフィッシングメールを見破りにくくなっている。

　セキュリティを強化するためのツールの一つがMFA（多要素認証）だが、攻撃者は生成AIを利用することでMFAを回避するための手口を見つけられる可能性がある。そのため、MFAツールを導入しても完全な攻撃防止にはつながらない。では、どうすればいいのか。

　強固なセキュリティの鍵を握るのは、「ユーザーフレンドリー」だ。セキュリティの仕組みが従業員にとって使いやすくなければ、継続的かつ徹底的に使ってもらうことが難しい。

　ユーザーフレンドリーな認証技術の一つに「パスキー」（Passkey）がある。パスキーは、パスワードに代わるデジタル認証情報だ。パスワードを使用せずに、顔や指紋といった生体認証を使ってシステムへのアクセスを管理できる。パスキーを使用することで、パスワードが流出する恐れがなくなる利点もある。

　近年、GoogleやApple、Microsoftなど大手ITベンダーは、自社製品やサービスにパスキーを採用することに取り組んでいる。パスキー技術を共同開発しているのは、認証関連の業界団体FIDO Allianceと、インターネット技術の標準化団体World Wide Web Consortium（W3C）だ。パスキーを巡る大手ITベンダーの主な取り組みは以下の通り。

• Google
  • パスキーを使って同社サービスの共通アカウント「Googleアカウント」にログインできるようにしている。
• Apple
  • ユーザーが「Mac」を使用する際、顔認証機能「Face ID」や指紋認証機能「Touch ID」でアプリケーションやWebサイトにサインインすることを可能にした。
• Microsoft
  • パスワード不要の認証機能「Windows Hello」を使用してPINの他、顔認証や指紋認証でアプリケーションやWebサイトにサインインできるようにしている。

　フィッシング攻撃は生成AIによって手口が巧妙になった。そのため、組織はパスワードに頼らず、より安全な認証の仕組みを考えなければならない。パスキーは従業員にとっての使いやすさと、攻撃者にとっての厄介さを両立させる手法であり、生成AIの利用が広がる中で組織にとっての有効な防御策になりつつある。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。