セキュリティ

英国がパスワード時代の終わりを宣言、パスキーを第一選択に

英国政府のサイバーセキュリティ機関NCSCが、ついに踏み込んだ。パスキーが使えるサービスでは、もうパスワードを推奨しない。10年に及ぶ「強いパスワード+多要素認証」の常識が、政府機関の手で塗り替えられる。

情報の灯台

情報の灯台

英国がパスワード時代の終わりを宣言、パスキーを第一選択に

英国政府サイバーセキュリティ機関NCSCが、ついに踏み込んだ。パスキーが使えるサービスでは、もうパスワードを推奨しない。10年に及ぶ「強いパスワード+多要素認証」の常識が、政府機関の手で塗り替えられる。

「パスワードを推奨しない」という決断

英国政府通信本部(GCHQ)傘下の国立サイバーセキュリティセンター(NCSC:National Cyber Security Centre)が、4月23日、パスワードに関する公式ガイダンスを書き換えた。同機関は、デジタルサービス全般において、利用者の第一選択をパスキーとすべきだと表明。パスキーが提供されているサービスでは、個人にパスワードの使用を推奨しないという方針へ転換した。

これは単なる「パスキーを推奨します」という案内ではない。パスワードを推奨しないという、踏み込んだ宣言だ。1960年代から続いてきた認証の主役交代を、政府機関が公式に告げた瞬間と言っていい。

発表は、グラスゴーで4月21日から23日まで開催された英国政府の旗艦サイバーセキュリティイベント「CYBERUK 2026」の2日目にあたる。NCSCの設立10周年の節目に合わせた発表でもあり、節目感を強く意識したタイミングと言える。

NCSCの国家レジリエンス担当ディレクター、ジョナサン・エリソン(Jonathon Ellison)は次のように述べた。

パスキーを使えるところで使うことは、より安全で簡単なログイン体験への力強い一歩であり、これを後押しできるようになったことを嬉しく思う。

パスワードを覚えることがもたらしてきた何十年もの頭痛は、利用者がパスキーへ移ったとき、もうログインの一部である必要はない。パスキーは利用しやすく、全体としてより強い回復力を備えた代替手段だ。

「ユーザーフレンドリー」と「強い回復力」を並べて語っているところに、今回の方針転換の特徴が出ている。安全性と利便性はトレードオフだと長く言われてきた領域で、パスキーは両立を主張する技術として置かれている。

なぜ今、政府が方針を変えたのか

実はNCSCは昨年の段階で、パスキー全面採用を見送っていた。実装上の課題が残ると判断したためだ。それが今年、180度の方針転換を見せたわけだが、何が変わったのか。

NCSCが同時に公開した技術文書「Comparing the security properties of traditional user credentials and FIDO2 credentials for personal use(個人利用における従来型ユーザー認証情報とFIDO2認証情報のセキュリティ特性比較)」を読むと、答えが見えてくる。文書は認証情報のライフサイクル全体を分解し、攻撃手法ごとに従来型MFA(パスワード+第2要素)とFIDO2認証情報を比較している。

結論は明快だ。FIDO2認証情報(パスキー含む)は、認証情報のあらゆる段階、現実に観測されるあらゆる攻撃手法に対して、従来型MFAと同等以上のセキュリティを提供する。これがNCSCの結論だ。

特に決定的なのが、AitM(Adversary-in-the-Middle、中間者)フィッシングへの耐性だ。AitMはここ数年急速に広がっている攻撃手法で、攻撃者が偽サイトと正規サイトの間に立ち、利用者が入力したIDとパスワードだけでなく、SMSコードやアプリ承認の結果まで横取りする。従来型MFAは、SMS、メール、TOTP、アプリ承認のすべてがこの攻撃に脆弱だとNCSC文書は指摘する。

一方でパスキーは、暗号学的にドメインに紐づいているため、偽サイトでは認証そのものが成立しない。仕組みのレベルで、AitMが効かない。

全ての従来型MFAは本質的にフィッシング可能で、攻撃者はアカウント侵害のためにこの性質をますます悪用している。

NCSCは技術文書でこう断じている。「パスワード+SMS」が長らく現実的な落としどころとされてきたが、その時代も終わりに近い。

「同期ファブリック」という新しい問題

ただし、NCSCは無批判にパスキーを礼賛しているわけではない。文書の後半は、パスキー固有の課題に正面から向き合っている。

最大の論点は「同期ファブリック(Sync fabric)」の存在だ。パスキーの利便性を支えるのは、AppleGoogleMicrosoftなどが提供する、デバイス間でパスキーを同期させる仕組みだ。これがあるおかげで、iPhoneで作ったパスキーがMacでも使える。だが、この同期ファブリックそのものが攻撃対象になりうる。

NCSCは複数の留意点を挙げる。同期ファブリックのアカウントはフィッシング耐性のある認証で守る必要がある、デバイス紛失時の復旧手段を確保しておく必要がある、そして単一デバイス専用のパスキーを使う場合はバックアップ管理が利用者の責任になる、と。

パスキー用の認証情報マネージャーの選択は重要であり、パスキーを正しく保護していることを確認する必要がある。

「パスキーにすれば全て解決」ではなく、「適切なマネージャーを選び、適切に運用する」ことが前提という、現実的な姿勢だ。

技術文書はサードパーティの認証情報マネージャーについても警鐘を鳴らす。一部の製品は、パスキーの作成や保存にMFAを必須としていない。パスワードだけで守られた同期ファブリックにパスキーが保管される事態を生みかねない。

普及の現実:英国は世界の先頭、日本は別ルートで先行

NCSCが発表に踏み切れた背景には、Googleが提供したデータがある。英国はパスキーのグローバル普及で先頭を走っており、英国内のアクティブGoogleユーザーのうち50%超が既にパスキーを登録済みだという。サービス側ではGoogle、eBay、PayPalなどが対応済みだ。

では日本はどうか。実は日本は、英国とは別ルートで世界有数のパスキー先進国になっている。FIDOアライアンスが2024年末に公表した数値では、KDDIで1300万人、LINEヤフーで2700万人、メルカリで1000万人超、ドコモのdアカウントでは認証の半数がパスキーに置き換わっている。

きっかけは2025年に相次いだ証券業界へのフィッシング被害だ。楽天証券は2025年10月にパスキーを導入し、みずほ証券は2026年2月から重要な口座操作でパスキーを必須化した。日本証券業協会は2025年7月、フィッシング耐性のあるMFAをデフォルトオンで実装するようガイドライン改正案を公表しており、業界全体が動いている。

英国が「政府が公式に推奨」というトップダウン型なのに対し、日本は「民間サービスが個別に対応」というボトムアップ型だが、たどり着く場所は同じだ。

まだパスワードが必要な場所もある

NCSCのガイダンスは、パスワードを完全に否定しているわけではない。パスキーに対応していないサービスも、まだ多い。そうしたサービスでは、パスワードマネージャーで強いパスワードを生成し、二段階認証を併用することが引き続き推奨される。

エリソン氏も次のように補足している。

我々が英国のサイバー防衛を規模を持って加速させようとするとき、パスキーへの移行は、誰もが日常のデジタルサービスのセキュリティを高め、現在および将来のサイバー脅威に備えるためにできることだ。

「誰もができる」という言い方には、パスキーが特別な技術ではなく、日常の選択肢になったというメッセージが込められている。

NCSCは利用者向けの主なメリットとして、ログインがユーザー名+パスワード+二段階認証コードと比べて最大8倍速いこと、フィッシングに強く傍受や再利用や推測ができないこと、複雑なパスワードを覚える必要がないことを挙げる。さらに事業者にとっても、SMS認証の代替によるコスト削減効果がある。

英国政府は昨年、自身のデジタルサービスでもSMS認証に代わってパスキーを導入する方針を発表しており、毎年数百万ポンドの節約を見込んでいるという。

「いつかは消える」というシナリオ

技術文書は将来の攻撃トレンドにも触れている。NCSCの予測では、利用者がパスキーをデフォルトにするほど、攻撃者はダウングレード攻撃——AitMプロキシを使って、フィッシング耐性のない従来型認証メカニズムへ強制的に切り替える攻撃——を増やすという。

これは何を意味するか。パスキーが選べる状態にあっても、攻撃者がパスワード認証への切り替えを誘導できる限り、フィッシングのリスクは残る。NCSCは「従来型MFAを選択肢から外すまで、利用者はパスキーの恩恵を完全には受けられない可能性が高い」と踏み込んでいる。

つまり、究極のセキュリティのためには、いずれパスワード認証そのものをサービスから削除する必要がある。今回の英国政府のガイダンス変更は、その長い道のりの最初の一歩なのかもしれない。

パスワードという長年使われてきた不便な道具に対し、「弱いから使うな」ではなく「より良い選択肢ができたから乗り換えよう」と促す。技術の世代交代は、こうしてゆっくりと、確実に進んでいく。

参照元

関連記事

Read more

中国製コアを積んだロシア製CPU「イルティシュ」でウィッチャー3が動いた

中国製コアを積んだロシア製CPU「イルティシュ」でウィッチャー3が動いた

中国製コアを搭載しながら「ロシア産」を名乗るサーバー向けCPU「イルティシュ(Irtysh)」が、ゲーミングPCに搭載されてウィッチャー3を30FPS前後で動かすという映像が公開され、国際的な注目を集めている。制裁下のロシアにとって数少ない選択肢のひとつだが、その正体をよく見ると、実情はやや複雑だ。