情報環境機構では、教職員および学生をはじめとする大学構成員に対してSPS-ID/ECS-IDと呼ぶ全学アカウントを発行し、様々なサービスでご利用頂いているところですが、昨今の不正アクセスの増加・高度化に対するセキュリティ対策として、多要素認証の導入を進めています。SPS-IDについては2020年度から、ECS-IDについては2024年度から導入を開始し、これまで、メールおよびアプリを利用するワンタイムパスワード（One-Time Password; OTP）を用いた多要素認証についてご案内してきているところです。

多要素認証をECS-IDに拡大するにあたり、2024年7月に認証システム更新をおこないましたが、それに伴い、近年普及が進んでいるFIDO/パスキー認証機能もご活用頂けるようになりました。

本解説では、FIDO/パスキー認証の利用方法について簡単に紹介します。（記載内容は、2024年12月時点の動作に基づいています。）

本解説を読むにあたっての注意事項：

• ここでは、ワンタイムパスワードによる多要素認証の設定は済んでいる（ワンタイムパスワードによる多要素認証を利用中である）ことを前提としていますので、ワンタイムパスワードについての説明は行いません。

１．FIDO/パスキーとは

FIDO (Fast IDentity Online; ファイド) とは、携帯端末を活用した生体認証技術などの標準化を目指す非営利団体であるFIDOアライアンスが策定している標準規格であり、それをさらに使いやすく拡張したものはパスキー (Passkey)と呼ばれています。AppleやGoogle、Microsoftもパスキーに対応しており、携帯端末でもパスキーへの対応が急速に進められています。WindowsやMacといったPC端末も、Windows 11やMacOS 13など最近のOSで対応しており、多要素認証の標準としての地位を築きつつあります。ここでは、FIDOとパスキーの厳密な区別には触れずに、以下ではまとめてパスキーと呼ぶこととします[1]。（操作手順や画面上ではFIDO表記になっていますが、パスキーと同じ意味だと考えてください。）

多要素認証とは、性質の異なる3つの認証要素（知識情報、所持情報、生体情報）のうちから2つ（以上）を組み合わせた認証方式のことを指しますが、パスキーは、所持情報としての携帯端末と、その携帯端末に登録されている生体情報または知識情報の組み合わせによって認証を行う方式であり、それ自体で多要素認証を実現する安全な認証方式となっています。これを全学アカウントにおける多要素認証でのワンタイムパスワードの代わりに利用することで、安全かつ手間なく認証を行うことができるようになります（ワンタイムパスワードを確認して入力するという操作が必要ありません）。全学アカウントの新しい認証システムでは、パスキーとして複数の端末を登録・管理することができるため、複数の端末を併用している場合でもそれぞれの端末における認証が便利になります。ただし、これまでと同様、端末自体のセキュリティ対策（スクリーンロック設定など）はしっかり行い、端末の紛失や盗難が発生しても簡単に他人に不正利用されないようにしておくことが重要です。

２．パスキー認証に必要なもの

以下では、パスキーを利用して認証を行うことをパスキー認証と呼びますが、パスキー認証を利用するためには、次の(A),(B),(C)の3つが揃っている必要があります。

(A) パスキー認証に対応した認証サイト

ここでは、全学アカウントの認証システムがこれにあたります。

(B) パスキー認証に対応した端末（Webブラウザ）

上記(A)の認証サイトにアクセスする際に利用する端末のWebブラウザがパスキー認証に対応している必要があります。Windows/Mac/Android/iPhone/iPad/ChromeBookなど主要な端末の標準ブラウザはパスキー認証に対応しています。

(C) 端末（Webブラウザ）から利用可能なパスキー認証器

上記(B)のブラウザから(A)の認証サイトにアクセスした際に利用可能なパスキー認証器が必要です。パスキー認証自体は(A)と(C)の間で行われますが、それを(B)が仲介するという関係になります。一般的には、(B)の端末自身が(C)（パスキー認証器）の機能を備えている場合が多いですが、(B)と連携可能な（外付けの）パスキー認証器を利用する方法もあります。後者は、共用端末からのアクセスの際に、パスキー認証を利用して安全にログインできます（使用後は確実にログアウトする等のセキュリティ上の配慮は引き続き必要です）。

• 端末自身がパスキー認証器の機能を備えているもの[2]

  • 顔認証や指紋認証によるサインイン設定を行ったWindows (Windowsでは、この設定機能のことをWindows Helloと呼びます) (Windows 10以降で利用可能ですが、Windows 11 22H2以降を推奨)
  • タッチIDの設定を行ったMac (MacOS 13以降)
  • 顔認証や指紋認証による画面ロック解除の設定を行ったAndroid  (Android 9以降)
  • タッチIDやフェイスIDによる画面ロック解除の設定を行ったiPhoneやiPad (iOS 16以降、iPadOS 16以降)

  なお、最近のOSでは、クラウドサービスと連携することで、後述の同期パスキーに対応しているものが増えています。

• 端末以外の（外付けの）パスキー認証器（セキュリティキー）

  • FIDO/パスキー対応USBセキュリティキー（指紋認証つき/なし）
  • FIDO/パスキー対応NFCセキュリティキー（指紋認証つき/なし）
  • QRコードのスキャンによるクロスデバイス認証（後述）に対応したスマートフォン（(B) と(C)の機能を兼ね備えたパスキー認証可能なカメラ付きスマートフォンは、他の端末(B) と組み合わせることで、その端末に対する(C) の機能として利用できる場合があります。詳細は6 に後述。）

  なお、指紋認証なしで利用可能なセキュリティキーは、所持していることのみの確認となるため、紛失・盗難にさらなる注意が必要です。

３．同期パスキーとデバイス固定パスキー

パスキーでは、その利便性をさらに高めるために、「同期パスキー」と呼ばれる機能が追加されました。これに対して、当初からの機能（使い方）は「デバイス固定パスキー」と呼ばれます。ここでは、これら2つのパスキーの違いについて簡単に紹介します。

(i) デバイス固定パスキー (Device-bound Passkey)

設定を行った端末（または USB セキュリティキーなどの物理デバイス）内のみに保存され、外へ出ることがないパスキーです。より高いセキュリティが求められる環境で利用されます。

(ii) 同期パスキー (Synced Passkey)

Apple (iCloudキーチェーン)、Google （パスワードマネージャ）、Microsoft （ウォレット / Authenticator）などのクラウドサービス（アカウント管理サービス）を介して、複数のデバイス間で自動的に共有されるパスキーです。例えば、一度iPhoneを用いて登録すると、同じApple IDを使用しているMac等の別の端末で改めて登録操作をすることなくパスキー認証が利用可能になります。万が一端末の紛失や買い替えをしても、クラウド経由でパスキーが復元できるため、ユーザサポート等に連絡して本人確認を行ってリカバリーする手間が省けるのが特徴です。

パスキーを利用する際には、利便性の高い同期パスキーをメインで活用しつつ、必要に応じて物理的なセキュリティキーなどを組み合わせて利用することが可能です。なお、現在のところ、本学の認証システムでは、両者の区別は行っていません。

４．初期設定（登録）の方法

ここではWindowsでの登録の方法を示します。他のOSでも同様にして端末からのメッセージの指示に従いながら登録することができます。なお、この登録の操作を開始する前に、端末側でパスキーが利用できるように設定が完了している必要があります。Windows端末の場合は、事前にWindowsの設定の中のサインインオプションにおいて、Windows Hello の設定を行い、顔認証や指紋認証でWindows 自体にサインオンできるようにしておく必要があります。（ここでは、Windows Helloの設定方法の詳細は省略します。）

1. パスキー認証を利用したい端末から、全学アカウントの多要素認証設定ページにログインします。（ログインには、すでに設定済みの多要素認証が必要です。）

   多要素認証設定ページ: https://auth.iimc.kyoto-u.ac.jp/user/

    

2. ログインできたら、画面右上の横三本線のメニュー（ハンバーガーメニュー）のアイコンをクリックします。

3. 現れたメニューから「FIDO認証デバイスの登録」を選択します。

4. 「FIDO認証デバイスの登録」を選択すると、登録されているFIDO認証デバイスの一覧が表示されます。最初は未登録の状態なので、一覧は表示されません。

5. 「登録」ボタンを押すと、操作をしている当該端末のパスキー機能を用いて認証が行われます。認証が成功すると、「保存されたパスキー」の画面が表示され、ここでOKを選択することで、FIDO認証デバイスとしての登録が完了します。（最後のOK選択まで進まないと、登録が完了しません。）

6. ①～⑤と同様の操作を他の端末で行うことにより、複数の端末を登録することができます。同じ種類の端末を複数登録する場合（Windows端末を複数、Android端末を複数など）は、一覧表示でWindows HelloやAndroid、FIDOとしか表示されないため、どの端末の登録であるかを区別できるように、ラベルに機種名などを設定しておくとよいでしょう（右端の操作のところで、メモ書きのアイコンをクリックします）。ラベルを設定しておくことで、使わなくなった端末の設定削除なども容易になります。この例では、ThinkpadやPixel 8のラベルを設定しています。登録したい端末がこの一覧に表示されれば、登録完了です。
   （登録完了後に引き続き、登録した端末のFIDO認証の動作確認をする場合は、ハンバーガーメニューから一旦ログアウトした上で、後述の5に進みます。）

５．認証時の操作

1. 全学アカウントでログインする際に多要素認証が必要なサイトにアクセスします。（「全学アカウントの多要素認証設定ページ」も、そのようなサイトの一つです。）
2. 最初に、これまでどおり、ECS-ID/SPS-IDとパスワードを用いて認証します。次の画面で、認証方式として「FIDO認証」を選択します。（FIDO認証デバイスが登録済みの場合は、認証方式の選択画面がスキップされて、次の「FIDOログイン」の画面がいきなり表示されます。ワンタイムパスワードによる認証に切り替えたい場合は、「認証方式の選択に戻る」をクリックしてください。）
3. 「FIDOログイン」の画面で「認証」のボタンをクリックすると、当該端末でサポートされている認証方式が提示されます。その中から端末側で設定済みの方式を選択して認証操作を行うことで、FIDO認証が完了し、アクセスしようとしていたサイトにログインできます。Windowsの場合、Windows Helloと呼ばれる機能がFIDOに対応していますが、顔認証、指紋認証、PIN認証などが併用でき、それらのいずれかで認証できます。

６．別端末（スマートフォン）を用いた認証（上級者向け）

　FIDO認証デバイスとして登録していない端末から多要素認証でログインする場合にも、ワンタイムパスワードを使用する代わりに、「全学アカウントの多要素認証設定ページ」で登録済みのスマートフォンを用いた認証を行う機能があります。このような方法を、「クロスデバイス認証」と呼びます。クロスデバイス認証では、Webブラウザが動作する端末と認証デバイスが近くに存在していることを確認するためにBluetooth (BLE: Bluetooth Low Energy)が利用されます。

1. FIDO認証デバイスとして登録していない端末からログインする際に、認証方式としてFIDOを選択します。また、端末のBluetoothをONにしておきます。
2. 「FIDOログイン」の画面で「認証」のボタンをクリックすると、当該端末でサポートされている認証方式が提示されますが、そこで「別のデバイスを使用する」を選択します。
3. FIDO認証デバイスとして登録されているもののうち利用可能なものが一覧に表示されるので、その中から「iPhone、iPad、またはAndroidデバイス」を選択します。
4. ログイン画面にQRコードが表示されるので、FIDO認証デバイスとして登録済みのスマートフォンでカメラアプリ（あるいはGoogle Lens）を起動してQRコードをスキャンします。QRコードが認識されると、スマートフォンの画面に「Passkeyを使用する」という表示が現れるので、そこをタップします[3]。このとき、スマートフォンはネットワークに接続されている状態にし、さらにBluetoothもONにしておきます[4]。（Bluetoothを後からONにするとうまく動作しないことがあるようです。）
5. さらに、Androidの場合は、このタイミングで「次回のQRコードをスキップしますか？デバイスをお互いに記憶させることができます」という表示が出るので、ここでは「後で」をタップします。（「OK」をタップすると、同じ端末・スマートフォンの組み合わせで、次回以降のQRコードのスキャン操作が省略できるようになり、上記③の「iPhone、iPad、またはAndroidデバイス」の並びで当該スマートフォンが直接選択できるようになります[5]。次回以降のFIDO認証において当該スマートフォンを選択すると、QRコードを読み込まなくても当該スマートフォンに認証が転送されます。）
6. QRコードを読み込んだスマートフォンで認証処理が始まるので、指示に従ってして、スマートフォンで認証操作を行うことでFIDO認証が完了します。

７．同期パスキーの仕組みと利用上の注意

3で紹介した同期パスキーは、利便性が高い反面、利用・管理にはある程度の仕組みの理解が必要になりますので、最後にまとめておきます。

(1)管理プラットフォームの選択

同期パスキーを利用するには、パスキーを保存・同期するためのクラウドプラットフォームが必要です。クラウドプラットフォームとしては次のようなものがあります。

OS標準のサービス: Apple（iCloudキーチェーン）やGoogle（Google パスワード マネージャー）が提供する機能が利用できます。

サードパーティ製サービス: 1Password, Bitwarden, Dashlane, Keeper, NordPass, Protonなどのパスワードマネージャサービスを利用することも可能です。

サードパーティ製サービスは、Apple製品とAndroid/Windows製品を併用している場合など、異なるOS間でもパスキーをシームレスに共有・利用できる点が大きなメリットです。

(2)ブラウザの選択とアカウントの切り替え

同期パスキーを利用する場合、端末あるいはブラウザが同期パスキーに対応している必要があります。

BYOD（私物端末）を大学業務にも使用している場合、同一端末上に個人のGoogleアカウントと大学のGoogleアカウント（Google Workspace）の両方が存在していることがあります。この場合、Chromeのどのプロファイルでパスキーを登録するかによって、パスキーが紐づく管理プラットフォームが変わる点に注意が必要です。

ブラウザの対応: 例えばGoogle Chromeは、標準でGoogleが提供する同期パスキーに対応しています。

ブラウザに対するサインインの状態: ブラウザアプリ自体が、同期パスキーに対応するアカウント（ChromeであればGoogleアカウント）にサインインしている必要があります。

プロファイルの使い分け: 複数のアカウントを使い分けている場合（個人のGoogleアカウントと大学のGoogleアカウント等）、ブラウザにサインインしているアカウントを切り替える必要があります（同期パスキーが登録されているアカウントにサインインしている必要があります）。Chromeの場合、アカウントごとに「ブラウザプロファイル」を作成して別のウィンドウとして起動することで、それぞれの同期パスキーを適切に使い分けることができます。なお、後述のとおり本学のGoogle Workspaceアカウントでは同期パスキーの登録が無効化されているため、Chromeで同期パスキーを利用したい場合は個人のGoogleアカウントのプロファイルで登録する必要があります。個人のGoogleアカウントに紐づいた同期パスキーは、そのアカウントでサインインしているすべての端末（私物スマートフォン等も含む）から利用可能になるため、それらの端末すべてに適切なスクリーンロック設定が施されているかあわせて確認してください。

(3) セキュリティと信頼性

同期パスキーでは、重要な鍵をクラウドプラットフォームに預けて管理を任せることになります。

プラットフォームへの依存: パスキー情報の安全性が各プラットフォームの信頼性やセキュリティレベルに委ねられることを理解して利用してください。

端末管理の徹底: 同一アカウントでサインインしている同期パスキーが利用可能な全ての端末について、端末自体のスクリーンロック（パスコード、生体認証等）を確実に行うことが重要です 。特にBYOD端末では個人用途と大学用途が混在することが多いため、端末のスクリーンロック設定、OSアップデートの適用、不審なアプリのインストール回避など、個人としての適切な端末管理が大学サービスへのアクセス安全性に直結することを意識してください。

(4) 端末のライフサイクル管理

同期環境から離れる端末の管理も必須です。

不要な端末の削除: 端末を買い替えた際や紛失した際は、同期パスキーを共有する端末リストから速やかに削除してください 。

初期化の実施: 端末を手放す際は、端末側の初期化を行い、同期パスキーの連携を確実に解除する必要があります 。

　なお、現時点で本学のGoogle Workspaceアカウントでは、同期パスキーの登録は無効化されているため、個人のGoogleアカウントに同期パスキーを登録するか、デバイス固定パスキーを使用するようにしてください。個人のGoogleアカウントに同期パスキーを登録する場合は、上記(2)で説明したとおり、個人アカウントのChromeプロファイルで登録操作を行う必要があります。また、個人のGoogleアカウントの管理状況（パスワード強度、二段階認証の設定、連携デバイスの管理など）が大学サービスへのアクセス安全性にも影響することを十分に認識してください。BYOD端末は個人所有であっても、大学サービスの認証に使用する際は、大学の情報セキュリティポリシーに沿った適切なセキュリティ管理を個人として心がけることが求められます。

以上、新認証システムにおけるパスキー認証の使用方法を簡単に紹介しました。パスキー認証機能はまだまだ発展途上にあり、各端末における対応状況も変化が激しいと考えられますが、非常に便利な機能ですので、最新の情報を確認しつつ是非ともご活用頂けましたら幸いです。

（IT基盤センター：情報環境機構）