パスワードに代わる「パスキー」を安全に交換する新仕様とは「CXF」と「CXP」が登場

FIDO Allianceは「パスキー」の普及を促すためにセキュリティの新しい仕様を発表した。これによりユーザーが享受できるメリットと、知っておいた方がよい注意点とは。

2024年11月26日 07時00分 公開
[Arielle WaldmanTechTarget]

 認証関連の業界団体FIDO Allianceは2024年10月、パスワードを使わない認証方法「パスキー」(Passkey)の安全性を高めるための2つの新しい仕様を発表した。FIDO AllianceにはGoogleやMicrosoft、Appleなどが参加し、パスキーの普及に取り組んでいる。新しい仕様は以下の2つだ。

  • 「Credential Exchange Format」(CXF)
  • 「Credential Exchange Protocol」(CXP)

 これらの仕様により、何がどう良くなるのか。注意点は何か。

CXF、CXPのメリットとリスクとは

 パスキーは、パスワードに代わるデジタル認証情報だ。パスワードを使用せずに、顔や指紋といった生体認証を使ってシステムへのアクセスを管理できる。近年、ソーシャルエンジニアリング(人の心理を巧みに操って意図通りの行動をさせる詐欺手法)によってパスワードが流出する事案が後を絶たない。その背景には、人間の言葉遣いを模倣できる生成AI(人工知能)の普及がある。生成AIによってフィッシングメールの精度が高まり、標的がだまされやすくなっている。パスキーを使用すれば、パスワードが流出する恐れがなくなる。

 今回、FIDO Allianceが発表したCredential Exchange FormatとCredential Exchange Protocolは、プロバイダー間でパスキーのクレデンシャル(資格情報)を交換する際にデータの標準形式を定義し、セキュリティを確保する。ユーザーはパスキーのクレデンシャルをプロバイダー間で安全に移動できるようになるという。FIDO Alliance委員長のニック・スティール氏は「新しい仕様によってパスキー移動時のセキュリティを高め、ユーザー企業にとってより使いやすくしたい」と話す。

 スティール氏によれば、新しい仕様はセキュリティプロトコル「TLS」(Transport Layer Security)と同じ仕組みを採用してデータを暗号化する。暗号化には、インポート先のプロバイダーだけが暗号化を解除できる「ディフィー・ヘルマン鍵共有法」(DH法)を使用するという。加えて、アカウントを所有する企業の承認がある場合に限ってプロバイダーが資格情報を移動できるようにする機能も備えている。新しい仕様の草案の公開は、2025年第1四半期(1月~3月)になる見込みだ。正式版の公開時期は未定だという。

新しい仕様を専門家はどう評価するのか

 米TechTarget傘下の調査会社ESG(Enterprise Strategy Group)シニアアナリストのトッド・ティーマン氏は、「FIDO Allianceの新しい仕様はパスキーの普及を後押しするだろう。しかしセキュリティの課題をもたらす可能性もある」と指摘する。

 メリットとしてティーマン氏が捉えるのは、ユーザー企業がプロバイダー間でパスキーを移行できるようになることだ。しかしそのためには、プロバイダー側で講じなければならないセキュリティ対策は複雑になるという。一般にはセキュリティが複雑化すればするほど、脆弱(ぜいじゃく)性が生じやすくなり、攻撃のリスクが高まるとみられる。

 近年、IDプロバイダーやパスワードマネジャーの提供会社を標的にした攻撃が盛んだ。IDおよびアクセス管理(IAM)ツールベンダーOktaは2023年に攻撃を受け、ユーザー企業のデータが漏えいした。被害企業の中には、パスワード管理ツールを手掛ける1Passwordや、アクセス管理ツールベンダーのBeyondTrustなどがある。2022年、パスワード管理ツールを手掛けるLastPassはシステムに不正アクセスがあり、顧客データが侵害されたことを公表している。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

隴�スー騾ケツ€郢晏ク厥。郢ァ�、郢晏現�ス郢晢スシ郢昜サ」�ス

製品資料 フォーティネットジャパン合同会社

クラウドに必要な「データドリブンなセキュリティ」を実現する方法とは?

クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。

製品資料 TIS株式会社

Web攻撃総数の2割以上が狙うAPI、適切な管理とセキュリティ対策を行うには?

ビジネスでのAPI利用が進むにつれ、そのAPIを標的としたサイバー攻撃も増加している。それらに対抗するためには、「シャドーAPI」や「ゾンビAPI」を洗い出し、セキュリティ対策を徹底する必要がある。その正しい進め方を解説する。

製品資料 Okta Japan株式会社

アイデンティティー管理/保護の注目手法、「IGA」とは何か?

ある調査で企業の61%がセキュリティ優先事項のトップ3に挙げるほど、重要度が高まっているアイデンティティー管理・保護。その中で昨今注目されているのが「IGA」というアプローチだ。そのメリットや、導入方法を解説する。

製品資料 株式会社エーアイセキュリティラボ

AIで人材不足を解消、セキュリティ担当者のためのDXガイド

DX推進によってさまざまなビジネスシーンでデジタル化が加速しているが、そこで悩みの種となるのがセキュリティの担保だ。リソースやコストの制限も考慮しながら、DXとセキュリティを両輪で進めるには何が必要になるのか。

製品資料 パロアルトネットワークス株式会社

セキュリティ運用を最適化し、SOCの負担を軽減する「SOAR」とは?

サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。

郢晏生ホヲ郢敖€郢晢スシ郢ァ�ウ郢晢スウ郢晢ソスホヲ郢晢ソスPR

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

パスワードに代わる「パスキー」を安全に交換する新仕様とは:「CXF」と「CXP」が登場 - TechTargetジャパン セキュリティ 隴�スー騾ケツ€髫ェ蛟�スコ�ス

TechTarget郢ァ�ク郢晢ス」郢昜サ」ホヲ 隴�スー騾ケツ€髫ェ蛟�スコ�ス

ITmedia マーケティング新着記事

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news026.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news130.jpg

Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...