オンライン認証方法を根本的に変える可能性のある決定的な動きとして、英国国家サイバーセキュリティセンター(NCSC)はパスワードに代わってパスキーの採用をするようコンシューマーに促しており、パスキーを認証の未来として位置付けています。
「パスキーはデジタルサービスへのログインにおいて、コンシューマーの最初の選択肢となるべきです」とNCSCは述べています。数十年間にわたるセキュリティガイダンスを改訂し、パスキーが利用可能な場合はパスワードを推奨しなくなったと、当局は述べており、その理由として現在のサイバー脅威に対する耐性が弱いことを挙げています。
ほとんどの侵害は盗まれたまたは侵害されたログイン認証情報から始まるため、パスキーの採用はフィッシング攻撃に対する信頼できる防御と見なされています。
「これは軽率に下された決定ではありません」と当局は述べています。「ウェブサイト、アプリ開発者、技術ベンダー、FIDO Allianceとの広範な関わり、および当局が実施した重要な技術的および社会技術的研究に基づいています。」
NCSCはこの施策を昨年計画していましたが、「いくつかの主要な実装上の課題」があるとして放棄していました。
この勧告とともに、当局はパスキーの利点、パスワードに関連するリスク、および組織がパスキーを安全に実装する方法に関するガイダンスを概説した新しい技術レポートも公開しました。
「他のセキュリティ対策と同様に、パスキーは適切に実装され、適切に使用される場合に最も効果的です。ユーザーはそれでもデバイスと認証情報マネージャーのセキュリティに依存しており、サービスはユーザーに認証情報を管理および削除し、回復オプションを設定するための明確な方法を提供すべきです」とアーキテクチャ担当NCSCチーフテクノロジーオフィサーのDave Chismonは述べています。
パスキーをサポートしていないサービスの場合、NCSCはコンシューマーに対してパスワードマネージャーを使用してより強力なパスワードを生成し、2段階認証を引き続き使用することを勧めています。
「可能なところではどこでもパスキーを採用することは、より安全でシンプルなログインエクスペリエンスに向けた強力な一歩であり、その普及を支援できることは嬉しいことです」と国家復旧力担当NCSC局長のJonathon Ellisonは述べました。
「パスキーに移行すれば、パスワードを覚える面倒さはもはやログインの一部である必要がありません。それらはより強力な全体的な復旧力を提供するユーザーフレンドリーな選択肢です。」
Sophosによれば、MicrosoftやGoogleやOktaなどのプロバイダーはすでに認証プラットフォーム内でパスキーをサポートしているため、組織がパスキーインフラストラクチャをゼロから構築する必要はありません。優先事項は、既存のアイデンティティシステム内でパスキーを有効化および実装することです。
「組織はまた、パスキーがどこに保存されるか(たとえば、ユーザーのラップトップ上に直接、クラウドベースのパスワードマネージャー内に、YubiKeyなどの物理トークン上に)を検討する必要があり、パスキーが失われた場合、削除された場合、または破損した場合にアクセスを復元する方法も検討する必要があります」とSophosは付け加えています。
翻訳元: https://www.helpnetsecurity.com/2026/04/24/ncsc-passkey-adoption-cybersecurity/
