FIDOがパスキーの事例や最新情報を解説するセミナーを開催。警察庁からもお墨付きを得たパスキーの最新情報とは？

パスワードを使わない認証を推進するための非営利団体FIDO Allianceが開催する「第11回FIDO東京セミナー ～パスワードのいらない世界へ～」という半日のセミナーが2024年12月12日に都内で開催された。

第11回目となるセミナーではエグゼクティブディレクターのAndrew Shikiar氏による最新情報のアップデートやGoogleのデベロッパーアドボケイトによるGoogleの取り組みなどの他、PlayStationの認証にパスワードを廃止してパスキーへ移行したソニー・インタラクティブエンタテインメントの事例などが紹介された。

また学術機関との連携として慶応義塾大学、早稲田大学、情報セキュリティ大学院大学が参加したパスキーハッカソンの紹介や慶應の村井純教授、早稲田の佐古和恵教授、情報セキュリティ大学院大学の稲葉緑准教授による講演などが行われ、通常の企業ユーザーとベンダー／パートナーによるテクノロジーカンファレンスという枠を超えた連携が着実に行われていることを感じる内容となった。同日午前中には記者向け説明会が開催された。

この稿では記者向け説明会と午後のセミナーの内容をざっくりと紹介したい。

公的機関の推奨を得たFIDO Alliance

記者説明会でのトピックは、警察庁と日本政府によるエンドースメント、そしてパスキーセントラルというパスキーに特化した情報ポータルの日本語化の発表だろう。

「国民を詐欺から守るための総合対策」の中にパスキーの普及促進の表記

また警察庁サイバー警察局の報告書にも、次世代認証技術としてパスキーとFIDO Allianceの名前が明記され、これから技術普及のための推進を警察庁が働きかけるという。

警察庁も3月16日の報告書にパスキーの普及を明記

FIDO Allianceにとって、警察庁からの推奨を手に入れられたことは非常に大きな意味がある。過去のFIDO APAC Summitでもセキュリティ、特にデジタルアイデンティティに関しては国の関与は避けられないという認識から、FIDO Allianceがカンファレンスに政府関係者を多数招き、言わばお墨付きを貰うために多大な努力をしてきたわけだが、それと同じことが日本でも起こったと言える。パスキーセントラルについては以下の公式ページを参照されたい。

●パスキーセントラル日本語ページ：Passkey Central

午後のセミナー

ゲストキーノートとして村井純氏が登壇

午後から行われたセミナーではゲストキーノートとして村井教授が登壇した。

村井氏の講演ではインターネットの発想について慶應義塾の創設者、福沢諭吉が遺した書籍に電線が地球上に張り巡らされ、その上を飛脚が運ぶという図版から同様のものが見られることなどを紹介。

福沢諭吉の著書からインターネットと同じ発想が見られることを紹介

地球規模では人口が多く集中するアジア・太平洋地域において、まだインターネットに接続されない人口が多く、まだ発展する可能性が高いことなどを提示した。

アジア・太平洋地域にはまだインターネットが発展する伸びしろがある

事例紹介には定番の4社に加えて新顔も登場

その後、Andrew Shikiar氏の最新情報では、国内の成功事例としてKDDI、LINEヤフー、メルカリ、NTTドコモなどが紹介された。事例については午前中に行われた記者向け説明会でも紹介されたが、前述の4社は日本のワーキンググループのメンバーでもあり、積極的にパスキーを推進しようとしていることは昨年のセミナーでも紹介されていた。この4社はFIDOのセミナーではお馴染みの企業と言えるだろう。それ以外の事例として今回登壇したのが、ソニー・インタラクティブエンタテイメントとMastercardだ。

毎回登場するパスキーのユーザー事例4社

その後、Googleのデベロッパーアドボケイト、えーじ氏が登壇し、Googleが開発しているパスキーに関わる最新情報を紹介。Googleもパスキーに積極的な企業として知られており、えーじ氏もお馴染みの登場人物と言える。

ユーザー登録の中で自然な流れでパスキーの利用を促すフローを検証しているという

スポンサーセッション

またスポンサーのセッションは10分以下の短いライトニングトークという形式だったが、Transmit Security JapanのトークではAflacの契約者の認証にパスキーが使われていることを紹介した。

Aflacが使うパスキーの概要。契約者の32％がすでに移行しているという

休憩を挟んで行われたソニーインタラクテイィブエンタテイメントのセッションではユーザー認証に使っていたパスワードを廃止し、すべてパスキーに移行したことが解説された。

パスワード関連の問題に必要だった数十億円というコストを削減し、UXを改善するのが目的

この目的をもう少し詳しく書いたのが次のスライドだ。

コストとセキュリティ、そしてユーザー体験を両立したいのが目的

PlayStationのコントローラーでパスワードを入れさせるというユーザーにとっては面倒な体験をなくしたいのは当然だろう。そしてその目的の効果を最大化させるためにはパスワードを全廃することが必須だっと説明。

パスワードを廃止し、すべてのユーザーをパスキーに移行

しかし単にログインをパスワードからパスキーに置き換えるだけではなく、アカウントリカバリーやアカウント作成などのUIにも変更が必要であったことを説明した。

ログイン画面以外にも多くの部分の変更が必要

さらにパスキーに対応しているデバイスを持っているユーザーだけではなく、サポートされていないレガシーな携帯電話（ガラケー）を使うユーザーや携帯電話を持っていないユーザーに対しても対応が必要だったことを解説し、影響が広範囲に及ぶことを説明した。

左側がパスキーに対応したデバイスを持っている場合、右側が持っていないユーザーへの対処方法

PCしか持っていない場合はメールでリンクを送る方法を採用したことを説明。ここでも多くのユースケース、多様なユーザー像を想定していることがわかる。

この移行で得られた知見を共有

この移行がスムーズに行えたのは、早い段階でのユーザー体験のリサーチ、FIDOコミュニティの知見の活用、社内で繰り返されたベータテスト、そして世界同時の移行ではなく地域ごとに移行を行うことでリスクを最小化したことなどを説明した。

Mastercardは決済の仕組みをパスキーに移行したことを解説

MastercardはToken Authentication Service（TAS）という仕組みでオンライン決済の認証をパスキーに移行したことを説明。インターネット決済は各国でそれぞれの決済事業者が存在するためにインド、UAE、シンガポールなどで個別に移行が行われているとして、グローバルなブランドではあっても各国の事情に対応したプロセスが必要であることがわかる。

世界各国でローンチされたMastercardのパスキーサービス

アカデミアによる取り組み

ここから慶応義塾大学などの学生が参加したパスキーハッカソンのパネルディスカッションと早稲田大学、情報セキュリティ大学院大学のセッションが続き、認証という行為が現代の社会生活の中で必要となっていることに、アカデミアがいち早く気付いていることを感じさせる内容となった。

早稲田大学佐古研究室における取り組みの一部を紹介

このスライドで佐古教授は、パスキーの要素技術となっている公開鍵暗号やゼロ知識証明などをベースに健全な社会を作りたいと説明し、認証という行為が販売やサービスといった営利活動だけではなくプライバシーと公平性を保ちながら実装されることを期待していると語った。

パスキーハッカソンでの佐古研究室の成果物を紹介

また情報セキュリティ大学院大学の稲葉准教授は、パスキーを導入する際に最適な心理学的アプローチについて研究の成果を暫定版として紹介。パスワードからパスキーに置き換える場合にどのような文言、デザインを使えばユーザーに響くのか？ といった内容で、これからパスキーの導入を考えているユーザー企業には価値のある発表であったと言えるだろう。

パスワードからパスキーに移行を促す際の文言を検証

この日の説明内容はまだ暫定であると断ったうえで心理学的な観点からユーザーの心の動きを読み、不安と安心に揺れ動く情動を考えたデザイン、導線が重要であること、通知などの工夫によってユーザーを動かすことの可能性について説明を行った。

検証結果のまとめ

ここではあくまでも暫定結果ではあるが、デザインなどを工夫することでパスキーの利用を促すことが可能であると説明した。

通知デザインによってユーザーの心情に訴え、パスキー利用を伸ばす可能性についての研究

またスポンサーセッションではNok Nok Labsによる人工知能と機械学習を応用したSmart Analytics、ユーザー体験の最適化のためのSmart Senseなどが紹介された。Nok Nok Labsは多くのパスキー導入企業を持つFIDO Allianceの創設メンバーだが、他社に先駆けて人工知能や機械学習を応用した製品を持っていることが差別化のポイントだ。

Nok Nok LabsのSmart Analyticsのスライド

ラストはパネルディスカッション

休憩を挟んだ最後のパートでは日本のパスキーユーザー（KDDI、LINEヤフー、NTTドコモ、メルカリ）によるパネルディスカッション、デジタル庁の林達也氏のセッション、OpenID Foundation理事長の崎村夏彦氏のセッションなどが続いて、すべての日程を終えた。

全体的には新しい事例やアカデミアとの連携、官公庁への働きかけの成果などが詰まった情報満載のカンファレンスとなった。しかしパスキーのコミュニティの中核としてFIDO JapanワーキンググループのメンバーであるKDDI、LINEヤフー、NTTドコモ、メルカリなどが事例としても紹介されこのセミナーの運営側にも参加し活発に活動していることは良いとは言え、マンネリ化していることは否めない。

気になる楽天の動き

注目したいのはワーキンググループにもメンバーとして参加している楽天市場の存在だ。日本のインターネット経済のかなりの部分を占めている楽天がメンバーとして参加しているにも関わらず、楽天は楽天認証アプリと呼ばれるFIDOの仕様に準拠したアプリケーションを、2024年10月28日をもって廃止したとしている。そもそも認証アプリは楽天市場の一部店舗（DAZN認定店、Google Playギフトコード認定店）でしか使えない仕様だったようだが、これはFIDOの仕様で提供していた認証をユーザーIDとパスワードに戻すということを意味している。

楽天認証アプリ提供終了のお知らせ

上記スクリーンショットは以下の楽天市場の公式サイトからの引用だが、明らかにパスキーの導入からは逆行しているように見える。FIDO仕様の「かんたんログイン」は機能としてはまだ有効のようだが、楽天ウォレットのみで利用可能となっており、多くのユーザーを抱える楽天モバイル、楽天カード、楽天銀行などは蚊帳の外だ。

●楽天認証アプリ提供停止のお知らせ：楽天認証アプリに関するよくあるご質問

もしも楽天がパスキーに消極的な理由が技術的なものであるならば、積極的にコミュニティへのフィードバックを行い、改善するために動いて欲しい。セミナー会場で出会ったワーキンググループのメンバーには「来年は楽天市場の人を招いてパスキーをやらない理由をプレゼンテーションさせて欲しい」とリクエストを出しておいた。楽天市場がパスキー導入に積極的になれば、それに倣う企業も多いだろう。ぜひ、その真意を聞いてみたい。