注目はパスキーだけじゃない　2025年こそ流行ってほしい3つのセキュリティ技術

　2025年がスタートしました。セキュリティにおいては季節による変動要素というよりも、攻撃者が活発に動くかどうかが影響します。攻撃者が年末年始を「気が緩む時期」と捉えていれば、大量のフィッシングメールなどであなたの気の緩みを狙うかもしれません。普段通り、焦らずに対応をお願いします。

【画像】2025年こそ流行ってほしい3つのセキュリティ技術【全1枚】

　年初ということで、今回は少々緩めに2025年こそ流行ってほしい3つのセキュリティ技術を取り上げたいと思います。

●1．パスキー　パスワードレスの世界を2025年こそ実現しよう

　1つ目は、徐々に浸透しつつある「パスキー」です。これは、皆さんが持つスマートフォンを生体認証デバイスとし、ログイン時にIDと生体認証を使うという本人認証の仕組みです。大手サービスが対応し始めていることで、皆さんも1つくらいはパスキー登録したサービスがあるのではないでしょうか。

　ゲーム機を製造する任天堂は早くからパスキー対応を表明しており、大人も子どもも関係することから、詳細で分かりやすい解説を公開しています。もしかしたら、子どもの方がパスキーに慣れているかもしれないですね。

　これまでパスワードの弱点を補完するために使われてきた「二要素認証」は、不正ログインを防げるものではなくなりました。フィッシング攻撃ではワンタイムパスワードを偽のWebサイトに入力させて奪った後、裏でリアルタイムに不正ログインを実行することで二要素認証を突破します。

　しかしパスキーのような仕組みであればそのような手法では不正ログインはできず、より安全、安心に認証が可能です。恐らく個人でできる最良の方法なので、対応できるサービスではぜひ利用するようにしてください。

　初めて設定する人は、少々不安があるのではないかとは思います。特にスマートフォンが関連するため「機種変更後も正しくログインできるのか？」という点は筆者も不安でした。そこで、2つ目の流行ってほしいものが関連します。

●2．パスワード管理ツール　パスキーのよりどころとして活用しよう

　2025年こそ流行ってほしい2つ目は、毎年触れているような気がしますが「パスワード管理ツール」です。ここにきて、そのツールの重要な利用手法がもう一つ増えました。パスキーの保存先としてのツールです。

　パスキーの利用では、基本的にはスマートフォンに鍵の役割が加わります。そのため、機種変更のときにはその鍵が正しく移行できなければなりません。そこで、スマートフォンに保存される鍵を、「パスワード管理ツール」に収めることが必要になってきました。パスキーの管理もパスワード管理ツールに任せることで、スマートフォンを機種変更したらパスワード管理ツールに（正しく）ログインできれば、これまでの機種同様、安全にパスワードとパスキーが扱えるようになるはずです。

　個人的に利用しているのは、海外で著名な有料のパスワード管理ツールです。しかし、最近の「iOS」などでは、OSが提供する「パスワード」というアプリを通じ、有料アプリと変わらない機能が無償でも提供されています。こちらもパスキーを格納できるので、まずはOS標準の機能を利用することを強くお勧めします。もしかしたら、あまり意識せずに既に活用しているかもしれませんが。

　この他、二要素認証設定時やパスキー設定時に表示される「復旧コード」も、同じくパスワード管理ソフトにメモすることをお勧めします。OS標準のパスワード管理ツールでも、例えば「使い回しのパスワード」や「漏えいが確認できたパスワード文字列」に警告を出してくれるので、パスワードに関する危うさにも気が付けるでしょう。2025年は多くの方がこのツールを使い、より安全にパスワードを管理できるようになることを願っています。加えて、パスワード管理ツール自体の認証（つまり、OSのアカウントとパスワード）を一段と強固に守ることを忘れないでください。

●3．電子メールのエイリアス機能　フィッシング対策の新たな一手となるか

　最後は、電子メールのエイリアス機能です。「これは一体何？」と思う方がいるかもしれませんが、これは普段使っているものではない、秘密の電子メールアドレスを使えるという機能です。例えば「Gmail」では、自分のメールアドレスの＠部分の前に、“+”をつけ、任意の文字列を加えても、自分のメールボックスに届きます。これを利用すると、複数の電子メールアドレスを持つことができるようになるだけでなく、そのエイリアスを利用してフォルダ振り分けもできます。

　できれば、2025年には「お金に関連するサービス」だけでも、これらの電子メールアドレスのエイリアスを利用し、個別のアドレスに電子メールが届くように設定してほしいものです。そうすれば、一般的に知られている電子メールアドレスに届いたものは全てフィッシングと判断することができるはず。根本的なフィッシング対策にはなりえませんが、特にお金に絡むものだけでも、判断の軸を増やすことができるというのは良いことでしょう。

●「個人」と「組織人」　根本的なセキュリティ対策に変わりはないはず

　これらは全て、個人に対する希望です。「ITmediaエンタープライズ」の読者の多くは「組織」の人であるため、あまり意味を感じないかもしれませんが、裏を返すとこれらが実現できるサービスを作ってもらわないことには、この展望はまた次の年に持ち越されてしまうのです。

　例えば2025年にサービスを開始するのであれば、どの規模のサービスでも「パスキー」には対応してほしいと思います（先日スタートした「mixi2」で唯一残念だったのはパスキーに未対応なことでした）。パスキー対応が難しかったとしても、パスワード管理ツールが効果を発揮できるよう、「ペーストを禁止しない」「パスワード文字列の長さを十分にする」「パスワード文字種を制限しない」などが求められます。

　そしてGmailのエイリアスも、ご丁寧に「＋」を含むメールを排除するサービスも多くみられます。かつては意味があった制限かもしれませんが、安全を考えると時代遅れなものになっていませんでしょうか。また、新たにサービスを開始しようとする認証部分が、利用者視点で作られているでしょうか。組織に属する皆さんにも、これらのことは大いに関係があるはずです。

　個人的には、個人と組織に違いはあれど、セキュリティとして目指すものは同じであり、個人と組織は「見え方の違い」でしかないと思っています。2025年にはそういった考え方も主流になってくれるとうれしいと思いながら、「パスキー」「パスワード管理ツール」「フィッシング対策としてのメールエイリアス」が注目されることを願っています。

　2025年も本コラムをどうぞよろしくお願いします。

筆者紹介：宮田健（フリーライター）

＠IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。