この記事の内容は、個人の意見であり感想です。くれぐれもよろしくおねがいします。
1月28日に、「パスキーのすべて」という本を共著で出版させてもらうことになりました。
諸先輩方のように、毎日ブログを書くことは私にはとても難しいので、3人で共著なのを理由にして、28日の発売まで、3日に1本ぐらいの感覚で、どこかのブログで記事を書き続けるチャレンジをしてみたいと思います。1ヶ月ぐらいならきっと続くことを祈ります。
ところで、パスキーの一番の強みは、「フィッシング攻撃に強いこと」であると今の私は思っていますが、この強みは誰にとってうれしいことなのでしょうか。そもそも、あるサービスがセキュアで安全というメリットは、誰に対してのメリットなのでしょうか。
サービスにおいての登場人物は、大きく分けると、サービス提供者と、サービスのユーザです。その両者にとって、どんなメリットが考えられるのでしょうか。
サービスのユーザにとってのメリット
そもそもサービスのユーザにとって、「フィッシング攻撃に強い」ことのメリットは享受できるメリットなのでしょうか。
フィッシングであることに気付かずにページを開いてしまった場合、普段使っているパスキーでログインできない時点で気付けば良いですが、フィッシングにだまされている最中のユーザは、おそらく、普段使っているパスキーでログインできないことが分かると、そのサービスで使っていたはずのパスワードだったり、他のサービスで使っているパスワードだったり、リカバリーのメールアドレスだったり、果てにはクレジットカード番号であったり、あらゆる情報を入力してしまうのではないかと思います。
そのサービスが、パスワードによるログインを無効化していれば、フィッシングの被害を防げて良かったということになるとは思いますが、フィッシングサイト側に他のサービスのパスワードやらいろんな情報を入力してしまった後であれば、他のサービスでの被害のリスクも考えなければなりません。
つまり、そのユーザがパスキーを使っていたという点だけを持って、そのユーザがフィッシング攻撃の被害から免れるというのは、非常に限定的だと言えます。
しかも、たとえばクレジットカードであれば不正被害の補償をしてもらえますし、某フリマサイトが炎上を機に対応が変化したことからも分かるとおり、多くのサービスが顧客保護を何よりも優先して対応している現状であれば、仮にフィッシングの被害を受けてしまったとしても、金銭的な被害の多くは補償されるのではないかと思われます。
つまり、パスキーのメリットが、ユーザにとって、分かりづらいどころか、実感しづらく、そもそも、そんなにないとも言えるかもしれません。
サービス提供者にとってのメリット
サービス提供者にとってのメリットは、上記のユーザにとってのメリットが少ないことの真逆に位置します。
サービス提供者が顧客保護に取り組まなければならないということは、つまり、ユーザがフィッシング被害に遭わなければ、その分サービス提供者が補償のために支払うコストが減ることに直結します。
売り上げが1億増えても、利益は数千万円しか増えませんが、1億円の損失はそのまま利益の減少に繋がります。
フィッシングによって、何十億円も何百億円もの被害が発生している現状、パスキーを導入することで、その数パーセントでも防ぐことができるのであれば、サービス提供者にとっては、その投資効果は簡単に見いだすことができるのかもしれません。
そして、セキュリティと利便性は、時に両立しないことがあります。パスキーの利用を強制すれば、フィッシングの被害は大きく減るかもしれませんが、その分、パスキーを利用できない場合のユーザの利便性が大きく下がります。
現在パスキーによるログインを導入しているサービス提供者も、どこまでパスキーを訴求するか、どこまで強制するか、それぞれのサービスの特性を考えながら、セキュリティと利便性のバランスに頭を悩ませた結果、現状のようなサービス性になっているのではと想像します。
もしかしたら、そのバランスが、どれだけユーザの期待値から乖離しているかによって、どれだけユーザの不満が発生するかに繋がるのかも知れません。
たとえば、オンラインバンキングにおいても、乱数表を使ったり、トークンを使ったり、パスワードをコピーペーストさせてくれなかったりと、不便なサービスは多くあります。それでも、そこまで不満が可視化されていないのは、「昔からそういうものだった」というだけのことなのかもしれません。
パスキーを「ユーザにとってのメリット」にするために
先ほど、私は「パスキーのフィッシング耐性は、ユーザにメリットとして実感しづらい」と述べました。
それは、顧客保護を何よりも優先する日本の文化的な事情なのかもしれませんし、技術にそこまで詳しくないユーザにも安心して使ってもらうことで、利用者を増やしていくというサービスの戦略なのかもしれません。
一方で、パスキーのもう一つの大きなメリットは、利便性であるべきと私は思います。複雑なパスワードを入力しなくても、あらゆる環境で、ワンタップで安全にログインできる、それがパスキーのあるべき姿です。
いままで、パスキーは、セキュリティ対策として導入されることが多かったのではと思います。だからこそ、利便性とのバランス調整が、若干セキュリティ側に傾いてしまい、不便な状況に遭遇したユーザの不満が可視化されるという状況に現状あるのかもしれません。
一方で、最近のパスキーの導入事例は、ユーザの利便性を重視した実装が増えているように思います。今までの事例をきちんと研究されているのかもしれませんし、裾野が広がって、悪用リスクが低いサービスでのパスキーの利用も増えてきたということなのかもしれません。
いずれにせよ、利便性を重視したパスキーの実装が広がることで、ユーザにとってパスキーのメリットを実感しやすくなり、それがポジティブなループとなり、パスキーの普及が広まればいいなと思います。
今回執筆した本が、その動きに少しでも貢献できれば幸いです。どうもありがとうございました。
改めて、この記事の内容は、個人の意見であり感想です。くれぐれもよろしくおねがいします。