1月28日に、「パスキーのすべて」という本を共著で出版しました。
出版社の技術評論社のページに、本書の「はじめに」を掲載頂いています。1分で読み終わるので是非ご覧ください。また、本文のサンプルが数ページありますので、コンテンツの雰囲気をつかんでいただければと思います。
また、共著者のえーじさんが、本を紹介するブログを書いてくださっています。
さらには、一瞬のタイミングでしたが、Amazonのランキングで1位を取ることもできました。予約・購入してくださった皆さま、ありがとうございます。
諸先輩方のように、毎日ブログを書くことは私にはとても難しいので、3人で共著なのを理由にして、年初から1月28日の発売まで、3日に1本ぐらいの感覚で、どこかのブログで記事を書き続けるチャレンジをしてみたいと思います。1ヶ月ぐらいならきっと続くことを祈ります。発売日を過ぎてしまいましたが、これで10本目。最後のエントリとさせていただきます。
「パスキーのすべて」本では、パスキーを理解する上で必要と思われる情報を、コラムとして補足しています。どういったコラムがあるのか、なぜそのコラムを書いたのか、まとめました。
NIST SP 800-63
米国政府のデジタルアイデンティティガイドラインですが、日本でもあらゆる場面で参照されることがあるため、コラムで簡単に解説することにしました。
公開鍵暗号をざっくりと理解する
パスキーによる認証の根幹である公開鍵暗号を、超ざっくりと分かってもらうためのコラムです。算数の話はしていますが、数学の話はしていません。
イラストにもちょっとしたネタが入っていますので、息抜きにクスッとしてもらえたらうれしいです。
ディスカバブルでないクレデンシャル
パスキーは、WebAuthn仕様上、ディスカバブル・クレデンシャル(discoverable credential)と定義されていますが、そもそもディスカバブルでないクレデンシャル(non-discoverable credential)とは何なのでしょうか。そこには、WebAuthnがパスキーと呼ばれる前、メモリ容量の限られたセキュリティキーをうまく使うための工夫が詰まっていました。
このコラムは、出版社やネット書店の本書のページにサンプルとして掲載されています。
パスキーは多要素認証ではない場合もあるのでは?
パスキーは多要素認証なのか、非常に多く聞かれる疑問にストレートに回答を試みています。
アカウントのライフサイクルとパスキーの関係性
ユーザの認証体験を考える上で、ライフサイクルは大事な概念だと思いましたので、コラムとして入れています。
パスキーの他人との共有
パスキーを利用するサービスにおいて、1つのアカウントを他人と共有する場合の留意点を、ユーザ目線、サービス目線の両方から説明しています。
クロスデバイス認証のしくみ
技術的に `hybrid` と呼ばれるクロスデバイス認証。見た目にはQRコードを読んでいるだけですが、なぜそれで安全な認証ができるのか、その仕組みを解説しています。
PINを使わず、生体認証だけでパスキーを利用できるようにすることはできますか?
「パスキーは生体認証」という誤解の裏返しとして、パスキー利用時のローカルユーザー検証を生体認証に限定させたいという要件がある場合があります。
パスキーの同期を禁止する方法はある?
これも良く聞かれる質問です。パスキーがパスキーと呼ばれる前は、FIDO認証などと呼ばれていましたが、秘密鍵は作成したデバイスから外に出ないことが前提となっていました。そのため、特に高いセキュリティを求めるサービスにおいては、パスキーにおいても同様のことを求めたい場合があります。
アプリで利用している生体認証とパスキーは何が違うの?
ユーザ目線ではあまり意識することはありませんが、アプリ開発者としては、アプリで利用できる生体認証APIとパスキーの違いは理解していた方がいいと思い、説明しています。
ということで、計10本のコラムが本書には含まれています。
コラム1つ300円(税抜)とすれば、それだけで本書の元が取れる計算です。
一つでも気になるコラムがありましたら、是非書店で手に取ってご覧いただければと思います。
そして、発売までブログを書き続けるチャレンジも、切りのいい10本目のこの記事をもって完了とさせて頂きます。
今までのブログの一覧は、こちらにまとめておりますので、良かったらご覧ください。
そして、すでにお買い求め頂いた方々から、感想も頂いており、励みになっております。また、誤記の指摘もいくつか頂いており、ありがとうございます。
2月13日には、筆者陣3名でイベントの登壇も予定しておりますので、よろしければご参加ください。
それでは、またどこかでお会いしましょう。約1ヶ月間お付き合い頂きありがとうございました!