Okta Japan、パスキー導入の最新状況を解説--「パスキーは独自仕様」はよくある誤解

　Okta Japanは8月6日、パスキー導入の最新状況とよくある誤解に関して記者説明会を開催した。

　パスキーは、パスワードやそれに付随するSMSの利用といった全てを代替するとOktaでアイデンティティスタンダード担当 シニアアーキテクトを務めるTim Cappalli氏は語る。「Discoverable credentials」「Resident credentials」「FIDO2 credentials」「WebAuthn discoverable credentials」など技術的な呼び名もあるが、実際に利用するエンドユーザーにとって分かりやすいようパスキーと呼ばれていると同氏は続ける。

　種類としてはデバイスバウンド（Device-bound）と同期型（Synced）がある。前者は、USBキーのような単一のデバイスにひも付けられ、セキュリティに厳しい環境や企業で使われる。後者は、より簡単に使えるようエンドユーザーが持っているスマートフォンやノートPC、タブレットとでパスキーを同期する。同期型は、単一のデバイスにひも付けられていないので、一つのデバイスを紛失しても、パスキーが同期されている別のデバイスを使えばアカウントにアクセスできる。

　最近では、タッチ決済が可能なことを示すアイコンを店舗でよく見かけるが、それにより、買い物客はタッチ決済が使えることを認識する。同様に、パスキーが利用可能なことを示すアイコンがあることは、利用しようとするサービスでパスキーが使えることを認識できるため重要だとCappalli氏は述べる。

　機能としては、パスキーを自動入力する「オートフィルUI」と、自分のスマートフォンに保存されているパスキーを一時的に使って会社の共用PCなどからサービスのサインインを可能にする「クロスデバイス認証」がある。

　パスキーの利用状況としては、Googleアカウントの場合、2024年4月現在で4億以上がパスキーを使用している。FIDO Allianceによると、ショッピング、ライドシェア、メッセージング、ソーシャルメディア、決済などの大手サービスでパスキーがサポートされているという。Dashlaneの調査では、3カ月単位でのパスキー利用を見た場合、最も大きかったベンダーで88％の伸びを示す。業界別に見た場合、トップ3の電子商取引（EC）、ソフトウェア、金融・決済だけで約75％を占める。

　ブラウザーの視点で見た場合、「Chrome」ブラウザー上でのパスキー生成は、2023年後半から急増しており、この傾向は続きそうだとCappalli氏。採用数で見ても、現在、非常に伸びている。

　このような傾向に対応するため、パスキー側は、サイトやサービスを提供するリライングパーティー（RP）で必要とされる新しい技術や機能を実装する必要がある。このようなニーズに応える進化としては「Feature Detection」「Client UI Optimizations」「Conditional Creation」「Related Origins」などが挙げられる。