トップ > 認証セキュリティ > 【CISSPが解説】パスワード管理・MFA・パスキーの全知識|安全な認証戦略の完全ガイド

【CISSPが解説】パスワード管理・MFA・パスキーの全知識|安全な認証戦略の完全ガイド

認証セキュリティ サイバーセキュリティ
プロフィールアイコン

筆者名:城咲子(じょう せきこ)

情報システム部でセキュリティを担当している城咲子です。セキュリティに関する情報や日常の出来事(グチやボヤキ笑)などを発信していきます。(情報処理安全確保支援士/登録セキスペ/CISSP)

\ 好きなことば /

  • 最小権限の原則
  • 測定できなければ管理できない!
  • 失敗する可能性のあるものは、いずれ失敗する。

詳しいプロフィールはこちら

パスワードを使い回してはいけないと言われるけど、覚えられない」

MFA(多要素認証)を設定してくださいと表示されるけど、面倒で後回しにしている」

「最近『パスキー』という言葉を聞くけど、一体何?」

もし一つでも当てはまるなら、あなたはアカウント乗っ取りの重大なリスクに晒されているか、最新のセキュリティトレンドを逃しているかもしれません。

こんにちは。東証プライム上場企業で情報システム部のセキュリティ担当をしている、城咲子です。

私はCISSP(認定情報システムセキュリティ専門家)として、日々企業のセキュリティを預かっていますが、個人・法人問わず、認証情報の不適切な管理が原因のインシデントが後を絶ちません。

「パスワード管理」「MFA」そして「パスキー」は、バラバラの知識ではなく、「認証セキュリティ」という一つの戦略を構成する重要な要素です。

この記事は、セキュリティの基礎知識を求めるすべての方に向けた「認証セキュリティ総まとめ記事」です。

なぜパスワードが危険なのか、MFAがなぜ必要なのか、そしてパスキーがどう未来を変えるのか。専門家の視点から、網羅的に解説します。

1. なぜ今、認証戦略が必須なのか?(従来の脅威)

私たちがまず直視すべきは、「なぜパスワードが破られるのか」という現実です。主な攻撃手法は2つあります。

  1. ブルートフォース(総当たり)攻撃: 単純なパスワード(password123など)に対して、プログラムで全パターンの文字列を試行する攻撃です。
  2. クレデンシャル・スタッフィング(リスト型)攻撃: これが最も深刻です。 攻撃者は、どこかのサービスAから流出したID・パスワードのリストを使い、別のサービスB、C、D...に対しても同じ組み合わせでログインを試行します。

あなたが「やってはいけない」パスワード管理

上記の攻撃を防ぐため、以下のパスワード管理 やってはいけないことをまず認識してください。

  • × 安易なパスワードを使う: 123456 password qwerty などは数秒で破られます。
  • × パスワードを使い回す: 最も危険です。 1つのサイトで流出したら、クレデンシャル・スタッフィング攻撃により、あなたの全アカウント(銀行、SNS、メール)が乗っ取られるリスクがあります。
  • × 付箋やメモ帳(PC上)に平文で保存する: マルウェアに感染した際、真っ先に盗み出されます。

この「パスワード」という"知識"だけに頼る認証が破られた時の現在の砦がMFAであり、この問題を根本的に解決する未来がパスキーです。

2. パスワード管理とは?【認証戦略の基盤】

まずは基本となるパスワード管理です。これは、「サイトごとに、推測困難な固有のパスワードを作成し、それを安全に保管・利用すること」を指します。

パスワード管理 どうしてる? 4つの管理方法

世の中のパスワード管理方法は、大きく4つに分類できます。セキュリティ専門家の視点で、そのメリットとデメリットを評価します。

1. 記憶(頭の中)

  • デメリット: 現実的に不可能。 結果として「パスワードの使い回し」や「単純なパスワード」に陥るため、最も危険な方法です。

2. アナログ(ノート、手帳)

パスワードのノート管理パスワードのエクセル管理(印刷して保管)もこれに含まれます。

  • メリット: ネットから切り離されており、ハッキングのリスクがない。
  • デメリット: 物理的な盗難・紛失・火災に弱い。 また、手入力が必要で面倒なため、結局パスワードを更新しなくなる。

3. OS標準のパスワード管理機能

iPhoneのパスワード管理(iCloudキーチェーン)やGoogleのパスワード管理(Googleパスワードマネージャー)などです。

  • メリット: 無料で使える。OSと統合されており、自動入力がシームレス。
  • デメリット: OSやブラウザの「囲い込み」がある。(例:iPhoneとWindows PC、ChromeとFirefoxなど、環境をまたいだ連携が弱い)。

4. 専用のパスワード管理ツール

パスワード管理 アプリと呼ばれるもので、1Passwordなどが代表格です。

  • メリット: セキュリティが最も強固。 あらゆるOS・ブラウザ間でシームレスに同期できる。パスワード以外の重要情報(カード番号等)も一元管理できる。
  • デメリット: 月額料金がかかる場合がある。

3. MFA(多要素認証)とは?【認証戦略の砦】

MFA(Multi-Factor Authentication)とは、ログイン時に2つ以上の異なる「要素」を組み合わせて本人確認を行う仕組みです。 パスワード(知識)が破られたとしても、次の要素(所持・生体)でブロックするための「砦」の役割を果たします。

認証の「3要素」とは

多要素認証 3要素として、認証の要素は以下の3つに分類されます。

  1. 知識情報 (Something you know): あなただけが知っている情報
    • 例: パスワード、PINコード
  2. 所持情報 (Something you have): あなただけが持っているモノ
    • 例: スマートフォン(認証アプリ)、ハードウェアセキュリティキー
  3. 生体情報 (Something you are): あなた自身の身体的特徴
    • 例: 指紋認証(Touch ID)、顔認証(Face ID)

MFAは、これら3つのうち**「異なる2つ以上」**を組み合わせることを指します。

「MFA」と「2段階認証」の違い

MFAと2段階認証の違いを理解することはとても重要です。

  • 2段階認証 (2-Step Verification): 認証の「ステップ」が2回あること。例えば「パスワード(知識)」の後に「秘密の質問(知識)」を要求されても、同じ「知識情報」だけなので「2段階認証」ですが、MFAではありません。
  • MFA (多要素認証): 認証の「要素」が2種類以上あること。「パスワード(知識)」+「スマホアプリの確認コード(所持)」はMFAです。

セキュリティ専門家としては、単なる「2段階認証」ではなく、「MFA(多要素認証)」の導入を強く推奨します。

MFA(多要素認証)の主な種類

多要素認証の種類として、個人が利用できる主なMFAの方式(主に「所持情報」)は以下の通りです。

種類 仕組み メリット デメリット
SMS認証 SMSで確認コードを送信 手軽 **傍受リスクあり。**SIMスワップ攻撃に弱い
認証アプリ Google Authenticatorなど。時間経過で変わるコード(TOTP)を表示 SMSより安全 スマホの紛失・機種変更時に注意が必要
ハードウェアキー YubiKeyなど。物理的なUSBキー 極めて安全。フィッシング耐性が高い コストがかかる。紛失リスク

4. パスキーとは?【認証戦略の未来】

「パスワード管理」と「MFA」は、どちらも「パスワードが存在すること」を前提とした対策でした。 これに対し、パスワードそのものを無くしてしまおうという次世代の認証技術がパスキー(Passkeys)です。

パスキーとは

パスキーとは、わかりやすく言うと、あなたのスマートフォンやPC自体を「鍵」にして、指紋認証や顔認証(生体情報)でログインする仕組みです。

あなたはもう、サイトごとに異なる複雑なパスワードを覚える必要がありません。ログイン時に求められるのは、あなたの「顔」や「指紋」だけです。

パスキーの仕組みと安全性

パスキー 仕組みの核心は「公開鍵暗号方式」です。

  1. 登録時: 端末(iPhoneなど)が2つの鍵ペア(「秘密鍵」と「公開鍵」)を生成します。
    • 秘密鍵: あなたの端末内に、厳重に保護されて保存されます。(これがあなたの「鍵」です)
    • 公開鍵: サービス側(Googleなど)のサーバーに登録されます。(これが「鍵穴」です)
  2. ログイン時:
    • サービス側が「認証要求(チャレンジ)」を送ります。
    • あなたの端末は、顔認証や指紋認証で本人確認を行います。
    • 端末内の「秘密鍵」でその要求に署名して返します。
    • サービス側は、登録されている「公開鍵」でその署名を検証し、一致すればログインを許可します。

パスキーのメリットとデメリット

メリット

  1. フィッシング耐性が極めて高い: パスキーとパスワードの違いの最大の点です。パスワードは「知識」なので、偽サイト(フィッシングサイト)に騙されて入力すれば盗まれます。 しかしパスキーは「モノ(端末)」と「生体情報」に紐づいています。そもそも入力すべきパスワードが存在しないため、フィッシングで盗みようがありません。
  2. 利便性の向上: パスワードを覚える・入力する手間から解放されます。ログインは顔認証や指紋認証で一瞬です。
  3. サーバー側でパスワードを管理しない: サービス側が持つのは「公開鍵」だけです。万が一サービス側から情報が流出しても、秘密鍵はあなたの手元にあるため安全です。

デメリット(今後の課題)

  1. 機種変更・紛失時の対応パスキー:

    「秘密鍵」が入っている端末を紛失するとログインできなくなるため、そのことがパスキーのデメリットとして懸念されていました。

    しかし現在、Apple(iCloudキーチェーン)やGoogle(Googleパスワードマネージャー)が、パスキーをクラウドで安全に同期する仕組みを提供し始めており、さらに、iPhone と android間でのパスキー連携が進んでいます。これにより、機種変更のリスクは大幅に低減しています。

  2. 対応サービス・ブラウザがまだ限定的:

    Amazon、Google、Microsoft、Appleなどが対応を急速に進めていますが、全てのWebサービスで使えるようになるには、まだ時間がかかります。

パスキーとMFAの違い

パスキーは、それ自体がMFAの性質を持っています。

  • 所持情報: スマートフォンやPC(秘密鍵を持っているモノ)
  • 生体情報: 顔認証や指紋認証(PINコードの場合は知識情報)

これら2つの要素をログイン時に同時に検証するため、パスキーでのログインは、それだけでMFAをクリアしていることになります。

5. 結論:専門家が推奨する「現代の認証戦略」

ここまで「基盤(パスワード管理)」「砦(MFA)」「未来(パスキー)」の3つを解説しました。 パスキーがどれほど優れていても、全てのサービスが対応するまでには時間がかかります。

したがって、専門家が推奨する今すぐ取るべき現実的な戦略は、以下の3ステップです。

  1. 【最優先】MFAを有効化する:
    利用可能なサービスは「すべて」MFAを有効化してください。SMS認証でも構いません。まずは「無い」より「有る」状態にすることが最優先です。
  2. 【必須】パスワード管理方法を見直す:
    「記憶」や「アナログ管理」からは直ちに卒業し、「OS標準機能」または「専用ツール」へ移行してください。パスキーが普及するまでの過渡期において、複雑なパスワードを安全に管理することは必須です。
  3. 【将来】パスキー対応サービスから設定する:
    GoogleアカウントやAmazonなど、対応しているサービスからパスキー設定を試してみてください。未来のスタンダードを体験することで、セキュリティ意識がさらに高まります。

あなたに最適なパスワード管理方法はどれ?

「パスキーの管理も含めて、OS標準機能と専用ツール、結局どっちがいいの?」 「おすすめの専用ツールは何?」

1Passwordのような専用パスワード管理ツールは、従来のパスワードだけでなく、パスキーの保存・同期機能にも対応し始めています。 OSの垣根を超えて(例:WindowsとiPhone)、パスワードとパスキーを一元管理できるハブとして進化しています。

OS標準機能と専用ツール(1Passwordなど)の機能や安全性を徹底的に比較し、あなたに最適な選択肢を見つけるための解説記事を用意しました。以下の記事で、その具体的な違いを確認してください。

【次のステップへ】
【専門家が比較】パスワード管理ツールおすすめ5選|OS標準機能と専用ソフト(1Passwordなど)の違いは?

また、「まずは今使っているOSの機能を使いこなしたい」という方のために、各OS標準機能の詳しい使い方や、セキュリティ上の注意点をまとめた記事も用意しています。

【OS標準機能の詳細】

まとめ

本記事では、現代の認証セキュリティ戦略の「最上位ガイド」として、パスワード管理、MFA、そしてパスキーの重要性を網羅的に解説しました。

  • 戦略1 (基盤): 安全なパスワード管理を導入する。「記憶」「アナログ」を脱し、「OS標準」または「専用ツール」へ移行する。
  • 戦略2 (砦): MFAを有効化する。3要素(知識・所持・生体)のうち2つ以上を組み合わせる。
  • 戦略3 (未来): パスキーを導入する。パスワードレス認証で、フィッシングリスクを根本から断ち切る。

この記事を読み終えた今が、あなた自身の認証セキュリティを見直す絶好のタイミングです。まずは、メインで使っているメールやSNSのアカウントでMFAが有効になっているか、確認することから始めてみてください。