英国国家サイバーセキュリティセンター(NCSC)は、パスキーをデフォルトの認証標準として公式に承認し、同機関がパスワードから完全に離れるよう消費者に指示したのは初めてのことです。
新しい公式ガイダンスでは、パスキーが利用可能な場所ではパスワードを使用しないべきとされており、これは数十年の従来のアドバイスを覆すものです。本日のNCSCの年次CYBERUKカンファレンスで発表された技術レポートは、パスキーがパスワードと2段階認証(2SV)の組み合わせ「と同等かそれ以上にセキュアである」と結論付けています。
同機関は昨年この施策を検討していましたが、業界によっていくつかの「実装上の課題」が解決されるまで待機していました。それにはプラットフォーム間でのパスキー命名の不一貫性、デバイスサポートの不確実性、および認証情報マネージャーの互換性の制限が含まれています。これらのギャップはそれ以来十分に縮まっています。
NCSCはGoogle、eBay、PayPalの3つの主要プラットフォームがユーザーのパスキー導入を容易にしたと名指ししており、英国のGoogleユーザーの約50%が少なくとも1つを登録しています。Microsoftはほぼ1年前にパスキーをデフォルト標準に設定しました。
パスキーが利用できない場合、情報機関は消費者と企業にパスワード+2SVの組み合わせを使い続けることを勧めていますが、パスワードマネージャーを使用して、それらのパスワードが複雑で各サービスに固有のものであることを保証すべきとしています。
Regの読者がご存じのように、パスワードを一意に保つということは、例えばそれらが情報窃取マルウェアダンプに含まれても、複数のアカウントにアクセスするために使用されることはないということを意味します。さらに2SVを使用することで、サイバー犯罪者が正しいユーザー名とパスワードの組み合わせをうまく取得した場合、別の層の保護が追加されます。
NCSCの国家復元力担当責任者であるジョナサン・エリソン氏は述べました:
「何十年もの間、パスワードを覚えることがもたらした頭痛は、ユーザーがパスキーに移行する場所ではログインの一部である必要がなくなりました。それはより強力な全体的な耐性を提供するユーザーフレンドリーな代替手段です。
「英国のサイバー防御を規模で加速させることを目指す中で、パスキーへの移行は私たち全員が日常のデジタルサービスのセキュリティを改善し、現代および将来のサイバー脅威に対応できるようにするために行えることです。」
パスキーは、ユーザーのデバイスと保護されたアカウント間で暗号化キーペアを作成することで機能します。推測やフィッシング攻撃の対象にならず、パスワードよりも最大8倍高速に使用でき、認証情報の作成と記憶の疲労を排除します。
長年の間、パスキーはパスワードの最終的なキラーであると広く考えられていました。パスキー導入の推進は、NCSCが英国のセキュリティの状態を向上させるために取っているもう1つのステップです。
同機関のCEOであるリチャード・ホーン氏は今週述べました。英国に襲来している国家的に重要なサイバー攻撃の数は、NCSCが毎週4件目撃したと述べた10月と同様のレベルで推移しているということです。
現在の地政学的状況と、防御者を脅かす絶えず高度化する最先端のAIモデルを考慮すると、ホーン氏は組織に対し、英国が「極めて不安定な時期」に入る中で、セキュリティ衛生を優先するよう促しました。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/23/ncsc_passkey_tech_now_reliable/
