Table of Contents

信頼あるブランドとしてPayPalが安全な顧客認証にパスキーを採用した理由

この月曜日に、 PayPal から重要な発表がありました。PayPal利用者は、すぐにでもパスワードの使用をやめ、オンデバイス認証により決済できるというのです。これは顧客体験や顧客のセキュリティに大きな影響を与える発表です。PayPalは金融・小売業界において革新的な優れた顧客体験をいち早く取り入れた企業であり、この新たなパスワードレス時代を先導していることは間違いありません。

注記:PayPalに関するこの最新ニュースは、信頼あるブランドにおいてパスワードレス認証が広く採用されつつあることを更に強く示すものです。今年の Authenticate 2022 においてシティ社は、Transmit Securityと共同で、2億人の顧客にFIDO2ベースのパスワードレス認証を導入した際の経験と学びを公開しました。

つまり、PayPalは何をしたのでしょうか? 比較的新 しいパスキーの仕組みを採用することで、顧客がパスワードを入力する代わりに、自分の持つデバイスに実装されている認証方法を使えるようにしたのです。例えば、iPhoneを持っている顧客はFaceID®で認証できます。Mac®を持っている顧客はTouchID®で認証できます。これにより、パスワードは不要になります。

パスキーは、ユーザー名とパスワードによる認証よりも安全です。この方法では、ハッカーがユーザーのログイン情報を盗んでアカウントを侵害することができないため、フィッシングやソーシャルエンジニアリングによる攻撃に強くなります。PayPalのこの新しいログイン方法は、まずPayPal.comのiPhone、iPad、Macユーザーに展開され、その後他のプラットフォームにも順次対応します。

顧客にTouchIDやFaceIDの使用を認めているアプリケーションは多数ありますが、今回は何が違うのでしょうか。

パスワードレス認証の進化においては、3つのマイルストーンが見られます。

マイルストーン1:モバイルアプリ向けオンデバイス認証

最初に登場したのは、Apple®とGoogle®がモバイルOSとアプリ向けに公開したインターフェースです。これにより、モバイルアプリにログインする際にオンデバイス認証を使うことができます。オンデバイス認証とは、顔認証や指紋スキャン、さらにはパスコードなどデバイスが提供する認証方法のことです。これらの認証方法は、電話、タブレット、コンピューターなどのデバイスによって実行され、デバイス自体が顧客の認証を担うという点が特徴です。アプリはデバイスの機能を利用しているだけです。

マイルストーン2: WebAuthn

2つめのマイルストーンは、この機能をモバイルアプリだけでなくWebアプリケーションでも使えるようにしたWebAuthnプロトコルです。これにより、ブラウザ上で動作するWebサイトでもモバイルアプリと同じように、オンデバイス認証のプロセスを呼び出すことができるようになりました。WebAuthnは、オンラインビジネスにおいて、モバイルアプリとWebサイトの両方で同じパスワードレスのオンデバイス認証を提供可能にした重要な進化です。

マイルストーン3:パスキー

3つめのマイルストーンはパスキーです。パスキーは、WebAuthn特有の制限を克服するためにFIDO Allianceが作成したマルチデバイスFIDO認証の一般用語です。WebAuthnでは、顧客はデバイスを登録してパスワードレス認証を使用できますが、別のデバイスに移動すると、パスワードレス認証のために再びデバイスを登録しなくてはいけません。この登録プロセスは、複雑で煩わしいものになります。

Apple、Google、Microsoftは、パスキーを使うことで同一顧客の異なるデバイス間で認証キーを移行する標準的な方法を実現しました。例:

  • WebサイトAでパスワードレス認証を使うために、iPhoneを登録した。
  • Macも所有している。
  • この場合、パスワードレス認証のためにMacを登録する必要は無く、Macの指紋スキャンを使って、MacでWebサイトAの認証ができます。
  • その際、iPhoneで作成された認証キーをAppleが受け取り、Macと同期させます。自分が所有する、同じApple IDで設定されたすべてのAppleデバイスで同じことができます。

パスワードレス、特にFIDO標準は今後も進化を続けるでしょう。

真のパスワードレス認証を今実現するために

Transmit Securityは、世界最大級の金融機関や小売業者と共にパスワードレスやパスキーのプロジェクトに取り組んでいます。1年前、完全なパスワードレス化を検討していたのはほんの一握りの組織でした。今では多くの組織がこの動きを進めており、明らかな変化が見られます。世界最大級の組織がパスワードレス戦略を実施するためのコンサルティングと支援を行っているベンダーとして、当社は以下の分野に注目することをお勧めします。

  1. アカウント乗っ取りの手法が変化している
    顧客アカウントの乗っ取りを防ぐための従来の方法は、パスワードレスやパスキーによって変化しています。攻撃方法も、攻撃のタイミングも、それを検知する技術も異なります。また、こうした行動の変化は御社の顧客に対して創造的で成功率の高い攻撃を仕掛ける余地を生むため、サイバー犯罪者の格好の標的となることにも注意が必要です。そのため、顧客のパスワードレス化移行時および移行後のアカウント乗っ取りを検知・防止するために適切な管理を行うことが大切です。この期間中に重大な詐欺被害を受けた組織もありますので、十分に注意してください。
  1. テストが複雑という現実
    パスキーとオンデバイス認証のテストは技術的な課題です。すべてのデバイス、ブラウザ、OSでオンデバイス認証がどのように機能するかを簡単にテストすることはできず、すべてのデバイスと構成を揃えた試験設備と、多くの手作業が必要です。ブラウザやOSのベンダーは実装内容を常にアップデートしているので、オンデバイス認証に関しては自動化することはできません。よって継続的なテストサイクルが必要となり、コストがかかります。
  1. 顧客の登録フローを慎重に設計・改良する
    パスキーとパスワードレス認証を用いた登録フローは、顧客の導入(または混乱)率やサポートへの問い合わせ量を大きく左右します。適切に設計・運用しないと、顧客や経営陣の不満を引き起こしかねません。
  1. 利用環境のエッジケース
    顧客が使用する際には、依存要素や可変要素がたくさんあります。これらを前もって考慮した上で設計しないと、使い勝手を損なう可能性があります。例えば次のようなエッジケースが考えられます。
    • デバイス上で削除された登録情報
    • 必要な情報をブロックするデバイスの設定
    • 認証ハードウェアの不具合
    • 顧客が対応デバイスや非対応デバイスから乗り換え、アカウントにアクセスできなくなるケース

最適ではない状況にサービスが適切に対処できるように、こうしたシナリオ(上記以外も含め)を考慮しておく必要があります。

  1. 市場投入までの時間を短く
    PayPalは長年FIDO Allianceにボードメンバーとして参加しており、こうしたパスワードレスプロジェクトに長年取り組んでいる熟練のチームを有しています。当社も同じくFIDO Allianceのボードメンバーです。私たちはプロトコルと課題を熟知しており、お客様のナビゲーションをお手伝いできます。今この世界に入り、早くリターンが欲しいなら、専門家のアドバイスとサポートを受けることをお勧めします。

終わりに

パスワードレスプロジェクトを成功に導く方法についてもっと知りたくなりましたか?まずはTransmit Securityのお客様であるシティ社のID&アクセス管理エンジニアリング部門グローバル本部長であるMatt Nunn氏によるこちらの報告書をお読みいただくか、当社までお問い合わせください。私たちは、世界中のさまざまな業界のチームがパスワードレス認証を最大限に活用できるよう支援しています。

Author

  • Mickey Boodaei

    MickeyはTransmit SecurityのCEO兼共同設立者で、イスラエルのテルアビブで製品・開発チームを情熱的に率いています。パイオニアであり、30年以上にわたって多数の企業を立ち上げてきた起業家です。Imperva(IMPV)やTrusteer(2013年にIBMにより買収)などの大手サイバー企業を共同設立したほか、Armis、Apiiro、Islandなどこの分野の10以上のスタートアップ企業に個人として出資しています。

    View all posts