注目はパスキーだけじゃない　2025年こそ流行ってほしい3つのセキュリティ技術：半径300メートルのIT

　1つ目は、徐々に浸透しつつある「パスキー」です。これは、皆さんが持つスマートフォンを生体認証デバイスとし、ログイン時にIDと生体認証を使うという本人認証の仕組みです。大手サービスが対応し始めていることで、皆さんも1つくらいはパスキー登録したサービスがあるのではないでしょうか。

　ゲーム機を製造する任天堂は早くからパスキー対応を表明しており、大人も子どもも関係することから、詳細で分かりやすい解説を公開しています。もしかしたら、子どもの方がパスキーに慣れているかもしれないですね。

任天堂はパスキーに関する分かりやすい解説を公開している（出典：任天堂のWebサイト）

　これまでパスワードの弱点を補完するために使われてきた「二要素認証」は、不正ログインを防げるものではなくなりました。フィッシング攻撃ではワンタイムパスワードを偽のWebサイトに入力させて奪った後、裏でリアルタイムに不正ログインを実行することで二要素認証を突破します。

　しかしパスキーのような仕組みであればそのような手法では不正ログインはできず、より安全、安心に認証が可能です。恐らく個人でできる最良の方法なので、対応できるサービスではぜひ利用するようにしてください。

　初めて設定する人は、少々不安があるのではないかとは思います。特にスマートフォンが関連するため「機種変更後も正しくログインできるのか？」という点は筆者も不安でした。そこで、2つ目の流行ってほしいものが関連します。

2．パスワード管理ツール　パスキーのよりどころとして活用しよう

　2025年こそ流行ってほしい2つ目は、毎年触れているような気がしますが「パスワード管理ツール」です。ここにきて、そのツールの重要な利用手法がもう一つ増えました。パスキーの保存先としてのツールです。

　パスキーの利用では、基本的にはスマートフォンに鍵の役割が加わります。そのため、機種変更のときにはその鍵が正しく移行できなければなりません。そこで、スマートフォンに保存される鍵を、「パスワード管理ツール」に収めることが必要になってきました。パスキーの管理もパスワード管理ツールに任せることで、スマートフォンを機種変更したらパスワード管理ツールに（正しく）ログインできれば、これまでの機種同様、安全にパスワードとパスキーが扱えるようになるはずです。

パスワード管理ツールにはパスキーも格納できる（出典：任天堂のWebサイト）

　個人的に利用しているのは、海外で著名な有料のパスワード管理ツールです。しかし、最近の「iOS」などでは、OSが提供する「パスワード」というアプリを通じ、有料アプリと変わらない機能が無償でも提供されています。こちらもパスキーを格納できるので、まずはOS標準の機能を利用することを強くお勧めします。もしかしたら、あまり意識せずに既に活用しているかもしれませんが。

　この他、二要素認証設定時やパスキー設定時に表示される「復旧コード」も、同じくパスワード管理ソフトにメモすることをお勧めします。OS標準のパスワード管理ツールでも、例えば「使い回しのパスワード」や「漏えいが確認できたパスワード文字列」に警告を出してくれるので、パスワードに関する危うさにも気が付けるでしょう。2025年は多くの方がこのツールを使い、より安全にパスワードを管理できるようになることを願っています。加えて、パスワード管理ツール自体の認証（つまり、OSのアカウントとパスワード）を一段と強固に守ることを忘れないでください。

筆者のパスワード管理ツールの画面（筆者のスマートフォンからキャプチャー）

3．電子メールのエイリアス機能　フィッシング対策の新たな一手となるか

　最後は、電子メールのエイリアス機能です。「これは一体何？」と思う方がいるかもしれませんが、これは普段使っているものではない、秘密の電子メールアドレスを使えるという機能です。例えば「Gmail」では、自分のメールアドレスの＠部分の前に、“+”をつけ、任意の文字列を加えても、自分のメールボックスに届きます。これを利用すると、複数の電子メールアドレスを持つことができるようになるだけでなく、そのエイリアスを利用してフォルダ振り分けもできます。

Gmailのエイリアス機能（出典：Gmailのヘルプ画面）

　できれば、2025年には「お金に関連するサービス」だけでも、これらの電子メールアドレスのエイリアスを利用し、個別のアドレスに電子メールが届くように設定してほしいものです。そうすれば、一般的に知られている電子メールアドレスに届いたものは全てフィッシングと判断することができるはず。根本的なフィッシング対策にはなりえませんが、特にお金に絡むものだけでも、判断の軸を増やすことができるというのは良いことでしょう。

「個人」と「組織人」　根本的なセキュリティ対策に変わりはないはず

　これらは全て、個人に対する希望です。「ITmediaエンタープライズ」の読者の多くは「組織」の人であるため、あまり意味を感じないかもしれませんが、裏を返すとこれらが実現できるサービスを作ってもらわないことには、この展望はまた次の年に持ち越されてしまうのです。

　例えば2025年にサービスを開始するのであれば、どの規模のサービスでも「パスキー」には対応してほしいと思います（先日スタートした「mixi2」で唯一残念だったのはパスキーに未対応なことでした）。パスキー対応が難しかったとしても、パスワード管理ツールが効果を発揮できるよう、「ペーストを禁止しない」「パスワード文字列の長さを十分にする」「パスワード文字種を制限しない」などが求められます。

　そしてGmailのエイリアスも、ご丁寧に「＋」を含むメールを排除するサービスも多くみられます。かつては意味があった制限かもしれませんが、安全を考えると時代遅れなものになっていませんでしょうか。また、新たにサービスを開始しようとする認証部分が、利用者視点で作られているでしょうか。組織に属する皆さんにも、これらのことは大いに関係があるはずです。

　個人的には、個人と組織に違いはあれど、セキュリティとして目指すものは同じであり、個人と組織は「見え方の違い」でしかないと思っています。2025年にはそういった考え方も主流になってくれるとうれしいと思いながら、「パスキー」「パスワード管理ツール」「フィッシング対策としてのメールエイリアス」が注目されることを願っています。

　2025年も本コラムをどうぞよろしくお願いします。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。