「パスワードやめます」 英国政府が“パスキー”を使うのはなぜ?:世界的に進む“脱パスワード”
公共サービスを提供する英国政府のWebサイト「GOV.UK」に、全面的にパスキー認証が実装されるとの計画が発表された。英国政府の狙いと、世界的に脱パスワードが進む理由を解説する。
パスワード要らずの認証手法「パスキー」(Passkey)の導入が加速している。英国政府は2025年5月8日(現地時間)、公共サービスを提供する政府のWebサイト「GOV.UK」に、パスキーを全面的に導入することを明らかにした。これに先立ち、英国の国民保健サービス(NHS:National Health Service)は、ログイン時のパスキー認証を導入済みだ。世界的に脱パスワードの機運が高まり、英国政府もパスキー導入に動く背景には何があるのか。
パスワードとSMSをやめてパスキー導入へ
英国政府は、GOV.UKにおけるパスキーの導入を2025年後半に予定しているという。これは現行のSMS(ショートメッセージサービス)を使った認証方法に代わるものだ。
UK.GOVが現在採用しているSMSベースの認証方式には問題がある。Google傘下のセキュリティベンダーMandiantのマネージングディレクター、スチュアート・マッケンジー氏は、英国Computer Weeklyに対し、パスワードとSMSを使った2要素認証は、回避される可能性があると説明する。「携帯電話のSIMカードは複製が可能で、攻撃者はそれを使ってSMSメッセージを傍受できる。SMSベースの認証は非常に脆弱(ぜいじゃく)だ」とマッケンジー氏は語った。
パスキーは、顔や指紋といった生体要素、PIN(Personal Identification Number)によるスマートフォンの画面ロックなどと組み合わせて、Webサイトやアプリケーションにログインできる技術だ。パスワードやSMSを使った認証よりもセキュリティが強固で、侵害される可能性が低い。
英国政府の科学・イノベーション・技術省(DSIT)で、AI(人工知能)&デジタル担当政務次官(Parliamentary Under-Secretary of State for AI and Digital Government)を務めるフェリヤル・クラーク議員は、「パスキーの導入は、デジタル防衛力の強化と、数百万人が使用するGOV.UKのUX(ユーザーエクスペリエンス)の向上につながる大きな一歩だ」と語る。パスキーにより、認証のために複雑なパスワードを覚えたり、SMSのメッセージが届くのを待ったりするような手間を省くことができ、必要なサービスに迅速かつ容易にアクセスできる。経済的な損失をもたらす、詐欺やフィッシング攻撃といったリスクの軽減にもつながる。
英国の秘密情報収集機関GCHQ(Government Communications Headquarters)の一部であるセキュリティに関する政府機関、国家サイバーセキュリティセンター(NCSC)によると、パスキーを使用すると、ユーザー名とパスワード、SMSで受信したコードを入力する認証方式と比べて、ログイン当たり約1分の時間が短縮できるという。年間数百万ポンド分のコスト削減につながる可能性もある。パスキーの導入は「国家規模でのサイバーレジリエンス(回復力)強化に不可欠」だとNCSCは強調している。
NCSCのCTO(最高技術責任者)を務めるオリー・ホワイトハウス氏は、パスキー導入によりフィッシング攻撃やクレデンシャルスタッフィング攻撃(流出したログイン情報を使ってアプリケーションへの自動ログインを試みる手口)など、よくある攻撃への耐性が向上すると述べた。「パスキーを率先して導入することで、英国政府は民間企業に対し、セキュリティ強化のための模範を示すことができる。英国国民が、公共サービスに迅速かつスムーズにログインし、利用できるようにもなる。認証のためのSMSメッセージの送信コストを大幅に削減することも可能だ。できる限りパスキーを実装するよう、全ての組織に強く勧める」(ホワイトハウス氏)
インシデントと民間の動き
発表に先駆けた数週間、英国では、スーパーマーケットのMarks and Spencer Group、消費者協同組合のCo-operative Group(Co-op)、百貨店を展開するHarrodsといった小売業者に対するサイバー攻撃が立て続けに発生した。攻撃を受けて、Marks and Spencer GroupのWebサイトと専用アプリケーションでは注文ができなくなり、店舗への品物の配送にも影響が出た。一部の報道によると、これは攻撃者が従業員になりすましてヘルプデスクに連絡し、パスワードをリセットさせたことに起因するという。従来のパスワード認証の脆弱性が改めて浮き彫りになった形だ。
これらのインシデントを受けて、NCSCのナショナルレジリエンス担当ディレクターを務めるジョナサン・エリソン氏は、ブログエントリ(投稿)の中で次のように語った。「攻撃者を寄せ付けないように、どんなに強力な防御体制を整えたとしても、攻撃が成功することがある。被害を最小限に食い止めるために、従業員の依頼でパスワードをリセットする際には、その従業員の資格情報を確認するようにという、NCSCのベストプラクティスを順守するよう強く推奨する」
脱パスワードを推進する民間企業の動きもある。2025年5月1日(現地時間)、Microsoftは同社のブログエントリで、シングルサインオンツール「Microsoftアカウント」でアカウントを新規作成する際の設定を変更し、パスワードレスをデフォルトとすると発表した。具体的には、アカウントを新規作成する際にパスワードを登録する必要がなくなり、複数のパスワードレスの選択肢から選べるようになるという。既存のアカウントについても、設定からパスワードを削除できるようになる。Microsoftは、将来的には自社製品・サービスにおけるパスワード認証の完全な排除を目指していると述べた。
その他の発表
NCSCは、認証関連の業界団体FIDO Allianceへの加盟も発表した。これにより英国政府が、技術ベンダーなど他の加盟組織と協力し、パスキーなどの新しい認証技術の開発と普及において、重要な役割を果たすようになると期待できるという。
NCSCはまた、企業にセキュリティツールを提供するNCSCのポータルサイト「MyNCSC」へのパスキーの導入も進めており、こちらも2025年後半に公開される予定だ。
翻訳・編集協力:雨輝ITラボ(株式会社リーフレイン)
Copyright © ITmedia, Inc. All Rights Reserved.