パスキーとは
パスキー(Passkeys)は、パスワードの代わりに生体認証(指紋・顔認証)やPINを使ってログインする仕組みです。FIDO2/WebAuthn標準に基づき、フィッシングに対して耐性があります。
パスワードはフィッシング攻撃で窃取される最大のリスク要因です。パスキーはサイト固有の認証情報を使用するため、偽サイトでは認証が成立せず、フィッシング攻撃を原理的に無効化します。
パスワードレスのメリット
| 項目 | パスワード+MFA | パスキー |
|---|---|---|
| フィッシング耐性 | △(MFAバイパス攻撃あり) | ◎(フィッシング無効) |
| ユーザー体験 | △(パスワード入力+MFA承認) | ◎(指紋/顔だけでログイン) |
| パスワード管理 | 必要(変更・リセット等) | 不要 |
| ヘルプデスク負荷 | 高い(パスワード忘れ対応) | 低い |
Entra IDでの設定
- 認証方法の有効化:Entra ID → セキュリティ → 認証方法 でFIDO2セキュリティキーまたはパスキーを有効化
- Windows Hello for Businessの設定:Intuneのデバイス構成プロファイルでWindows Hello for Businessを構成(生体認証またはPIN)
- 条件付きアクセスとの連携:フィッシング耐性のある認証(パスキー)を条件付きアクセスで要求可能
展開のステップ
| Step | 内容 |
|---|---|
| 1 | IT部門でパスキーを先行テスト |
| 2 | パイロットグループ(20%程度)に展開 |
| 3 | 全社展開(パスワード+パスキーの併用期間を設ける) |
| 4 | パスワードレス認証への完全移行(パスワードの無効化) |
まとめ
パスキーはフィッシング攻撃を原理的に無効化する次世代の認証手段です。Microsoft 365環境ではEntra ID+Windows Helloで段階的に導入できます。パイロット運用から始め、全社のパスワードレス化を目指しましょう。