1. HOME
  2. KAYO NEWS
  3. 不定期配信 マウスちゃんとメモリ主任のIT1年生55

KAYO NEWS

華陽ニュース

不定期配信 マウスちゃんとメモリ主任のIT1年生55

情報の重要性が増す昨今、弊社では情報セキュリティについて、その意義や情報を共有する取り組みを続けています。
担当チームが社内向けにまとめた資料などを基に、軽い読み物を不定期でお届けできればと思いますので、ご笑覧頂ければ幸いでございます。

 「あれ?」
 休み明けの慌しい朝、イーさんの小さな声がマウスちゃんの耳に入ります。
 「どうしたんですか?」
 「いや、ログインできなくて・・・あ、そうか、こっちだった。」
 再度IDとパスワードを入力したイーさん。今度は開けたようで、小さく息を吐きます。
 「情けない・・・三連休明けとはいえ、パスワードを間違えるなんて。」
 「私もよくありますよ。休みに家でパソコン使ったりすると、うっかりそっちのパスワードを入れちゃったりして。」
 「他のファイルのパスワードを入れちゃうこともあるよね。パスワードって

・記号や文字を組み合わせた、充分長いもの
・サービスごとに変えて、使い回ししない
・メモなどに記入しない

って決まってるから、覚えるのが辛い・・・もっと良い方法があれば良いのに。」
 「ありますよ。」
 「え?」
 

 「偉そうに言いましたけど、正確には『あるらしいですよ』でした。メモリ主任に教えて頂いたんですけど、『パスキー』っていう仕組みがあるそうです。」
 「パスキー?」
 「はい。パスワード面倒くさいし、その割にはリスクも高いから、パスワードなしでもっと簡単に安全に本人認証できる方法を普及させよう、っていう団体が考えた仕組みなんですって。日本では2022年ごろから普及し始めて、今では対応してるサイトやサービスも端末も増えているから、今後はそれが認証の標準になるかもって、メモリ主任が仰ってました。」
 「それが標準になると、パスワードを覚えなくて済むようになるの?」
 「覚えるどころか、設定する必要もなくなるらしいですよ。えっとですね、『公開鍵暗号方式』を使うんですって。」
 「公開鍵暗号方式?」
 「はい。パスキーに対応したサービスを使う時に、自分が持ってるデバイスでパスキーの設定をすると、『秘密鍵』と『公開鍵』が作成されます。で、作成された『公開鍵』だけをサービスの方に登録します。『秘密鍵』の方は自分のデバイスに登録しておいて、自分のデバイスでしか利用できないように保護をかけておきます。」
 「えっと、例えば僕のスマホでパスキーの設定をすると、僕の『秘密鍵』と僕の『公開鍵』が生成される。『公開鍵暗号方式』だから、僕の『秘密鍵』で暗号化したものは僕の『公開鍵』でしか復号できないし、僕の『公開鍵』で暗号化したものも、僕の『秘密鍵』でしか復号できない。で、僕の『公開鍵』だけを使いたいサービスに登録しておいて、『秘密鍵』は僕のスマホでしか使えないように保護しておく。そういうこと?」
 「そうです。で、サービス側はイーさんがログインしようとしてきたときにイーさんの署名を求めます。イーさんは自分のスマホに登録した『秘密鍵』で署名して、相手のサーバーに送信します。サービス側は自分が持ってるイーさんの『公開鍵』で署名を確認して、イーさんであることを認証し、ログインができる、という仕組みなんだそうです。」
 「なるほどね。秘密鍵も公開鍵もデバイスがつくってくれるから、自分でパスワードを覚える必要がないってことか。もしサービス側がハッキングされて『公開鍵』が漏れても、『秘密鍵』は僕のスマホの中にしかないから、勝手にログインされる心配はないってことだね。あ、でも、僕の『秘密鍵』が漏洩したら?」
 「『秘密鍵』はデバイスのロック解除機能と結び付けて保護されるんです。だから、『秘密鍵』は、使う時にデバイスのロックが正しく解除されたかどうかで本人確認します。」
 「えっと、僕のスマホなら、僕の指紋でロックが解除されるから、それが『秘密鍵』の本人確認になるってことだね。万一、僕の『秘密鍵』が漏れても、僕の指紋っていう本人確認ができないから、他のデバイスでは使えないって理屈になる。」
 「そうですね。本人かどうかの確認はイーさんのスマホでだけ行うので、サービスのサーバー側には本人確認のためのデータが保存されません。その意味でも、認証情報の漏洩を狙う攻撃に強い仕組みになっているんだそうです。」

 「要するに、『パスキー』って、多要素認証なんだね。」
 「そうですね。ロックを解除するための身体的特徴という『生体』と、そのデバイスや秘密鍵を持っているという『所持』の要素が組み合わさっていますもんね。」
 「パスワードを使った多要素認証だと、パスワードを覚えているっていう『記憶』の要素に『生体』や『所持』を組み合わせるには利用者本人が登録しないといけないけど、『パスキー』の仕組みを使えば、自然に多要素認証ができちゃうってことなんだ。」
 「最初にいろいろ設定はしないといけないみたいですけどね。ただ、設定さえしちゃえば後はパスワード不要ですし、スマホはロックがかかっていることが前提なので、万が一スマホを紛失してもロックが解除できなければパスキーは使えないので、ID・パスワード方式よりはずっとフィッシング詐欺に強い仕組みって言えるそうですよ。」

 「今、メモリ主任のチームで導入を検討しているんですって。近いうちにパスワードを覚える必要がなくなるかも?」
 「そうなると良いなあ。安全性も上がるって、良いことづくめだよね。あ、でも。」
 「どうしました?」
 「そうなると、ますます記憶力が低下しそう・・・ただでさえ、最近、人の名前とか出なくなって来てるのに・・・」
 「スマートグラスを買うとか?」
 「・・・何だろう。何かに負けてる気がする・・・・・・」
 負けてる対象ってAIとか検索機能とかですよね、まさかメモリ主任じゃないですよね、いや、そもそもメモリ主任に勝てると思う方が・・・とは言えず、忙しい振りをして目をそらすマウスちゃんなのでした。