kintone連携サービスの認証方式は?パスキー認証で実現できることを解説
Toyokumoアカウントに「パスキー」による認証機能が追加されました。「パスキー」とは、現在主流の「IDとパスワード」に代わる新たな認証方式を指します。
パスキーは、世界標準の認証規格である「FIDO2」で作られた認証技術です。「公開鍵暗号方式と多要素認証」により利便性と強固なセキュリティを兼ね備え、GoogleやAppleなどの大手企業も自社サービスやアプリに導入しています。
本記事では「パスキー」の種類や仕組みなどを解説し、トヨクモのkintone連携サービスにパスキー認証を導入したことで実現できることを紹介します。Toyokumoアカウントにおけるパスキーの設定方法も紹介するので、参考にしてみてください。
目次
「パスキー」は高い安全性を有する最新のパスワードレス認証
「パスキー」とは、世界標準規格である「FIDO2規格」に基づく次世代の認証方式です。高いセキュリティと利便性をあわせ持ち、ログイン時の認証に使われる「IDとパスワード」に代わる新たな認証方式として普及が進んでいます。
【パスキーの種類】
| 同期パスキー | セキュリティキー (デバイス固定パスキー) |
|
|
参考:一般社団法人OpenIDファウンデーション・ジャパン「民間事業者向け デジタル本人確認ガイドライン 第1.2版 本人確認手法編」をもとにトヨクモ株式会社が作成
パスキーには「同期パスキー」と「セキュリティキー(デバイス固定パスキー)」を使った2種類の認証方式があります。「パスキー」というと、一般的には同期パスキーをさし、コンシューマー向けのWebページや企業における認証に導入されています。
Toyokumoアカウントのこれまでの認証方式は、マジックリンクまたはOIDC※を採用していました。そのため、OIDCで2要素認証の設定にしたい場合は、GoogleアカウントやMicrosoftアカウント側で2要素認証の設定が必須でした。
今回、新たに同期パスキーによる認証を追加したことで、生体情報やPIN情報の1回の入力操作で、2要素認証が可能となります。
また、パスキーは「公開鍵暗号方式かつ多要素認証」を採用しているため、偽サイトへ誘導して個人情報を盗む「フィッシング耐性」を有し、強固なセキュリティを実現しています。
※OIDC:OpenID Connectは認証プロトコル(認証における通信ルールや手段)のこと。OAuth 2.0という認可プロトコルをベースに構築されている。
(参考:デジタル庁公式サイト「行政手続等での本人確認におけるデジタルアイデンティティの取扱いに関するガイドライン」「本人確認実務の課題・事例・手法とそのガイドラインに関する有識者会議(第1回)|当人認証手法の具体例について」)
パスキー認証の仕組みとログイン認証の流れ
上図は、パスキー認証における公開鍵暗号方式の仕組みと、ログイン時の認証の流れを示したものです。
公開鍵暗号方式とは、自分のデバイスに保存される「秘密鍵」とデバイスで生成されてサーバーに保存される「公開鍵」を使って本人を確認する認証の仕組みです。
パスキーを登録する際、「秘密鍵」と「公開鍵」の2つの鍵がデバイス内で「2つで1つのペア」として作られます。秘密鍵は、デバイス内の耐タンパ性(※1)のあるICチップへ保存され、公開鍵のみサーバー側に保存されます。
パスキーによるログイン認証の際は、 サーバー(公開鍵を保管する側)から認証の度に異なるチャレンジ(ランダムデータ)が送られます。仮に公開鍵から送られるデータを見られても、ランダムデータ自体は意味のない文字列であるため問題ありません。
端末側は、秘密鍵だけが認証を突破できる署名を作成し、サーバーへ返送します。秘密鍵で作成した「署名」を盗まれたとしても、次回ログイン時には異なるチャレンジで認証を行うことから、古い認証情報は利用できないため悪用のリスクはありません。
そのため、なりすましや認証情報の漏洩防止を実現できます。ログイン時に求められる生体情報も秘密鍵と同じ耐タンパ性(※1)のあるICチップに保存されるため、情報の不正な読み出しや改ざんを防げます。
【同期パスキーによるログイン認証の流れ】
| ユーザー側
(秘密鍵) |
サーバー側
(公開鍵) |
| ①ログインしようとする | |
②ランダムなデータを送信(チャレンジ)
|
|
③生体情報 or PINコードを求められる
|
|
④秘密鍵で署名をする
|
|
| ⑤署名(チャレンジ)をサーバー側に返送 | |
⑥署名を検証
|
|
⑦本人確認完了
|
参考:FIDO Alliance公式サイト「Introduction to Passkeys|How Passkeys Work」をもとにトヨクモ株式会社が作成
※1 耐タンパ性:不正な読み出しや改ざんなどの攻撃への耐性
※2 パスキー認証は暗号化や復号を使わない暗号アルゴリズム(ECDSA)を使用
認証における要素と2段階認証の違い
多要素認証とは、全部で3種類ある認証における要素を「2種類以上組み合わせて行う認証」をさします。一方、2段階認証は一つの要素を使って2回認証するため、一つの要素の情報が漏洩した際、認証を突破されてしまうリスクがあります。
【多要素認証と2段階認証の違い】
| 多要素認証 | 2段階認証(単要素認証) |
| 「知識」「所持」「生体」いずれかの要素を2つ以上組み合わせる認証方法
[例] 同期パスキー
セキュリティキー
|
「パスワード」と「秘密の質問」など2回にわけて行う認証方法
[例] パスワード入力
|
参考:一般社団法人OpenIDファウンデーション・ジャパン「民間事業者向け デジタル本人確認ガイドライン 第1.2版 本人確認手法編」をもとにトヨクモ株式会社が作成
多要素認証の一つに、SMSやメールでのOTP(ワンタイムパスワード)の取得があります。しかし、OTPは、SIMを不正に再発行して電話番号を乗っ取る「SIMスワップ」や「リアルタイム中継型のフィッシング攻撃」に弱いことから、パスキーの導入が推奨されています。
警察庁の公式サイトにある「令和7年におけるサイバー空間をめぐる脅威の情勢等について|(2) 犯罪インフラへの対処」では、パスキーの普及を促していることが読み取れます。
フィッシングによる被害も増加傾向であることから、早急にセキュリティの強化が求められます。パスキーによる認証は、パスワード管理の負担の軽減や、フィッシング対策に有効であることから、普及していくと考えられるでしょう。
各認証方式や技術の違い
企業では、用途やセキュリティ要件に応じて認証方式や技術が使い分けられています。各認証方式や技術は、本人確認の手段である「認証方式」やシステム間の連携ルールである「通信プロトコル」などによって「企業向け or コンシューマー向け」に分類できます。
以下の表では、企業で使われることの多い認証方式や技術をまとめています。
【企業で使われる認証方式や技術の比較】
| 認証方式や技術 | 用途 | 要素と数 | セキュリティ※2 | 詳細 |
| パスワード認証 |
|
|
低 |
|
| パスワード+OTP※1 |
|
|
中 |
|
| マジックリンク |
|
|
低 |
|
| 同期パスキー |
|
|
中〜高 |
|
| セキュリティキー (デバイス固定パスキー) |
|
|
高 |
|
| OIDC(OAuth) |
|
|
中
※多要素認証の場合 |
|
| SAML |
|
|
高
※IdP側の認証設定による |
|
| Active Directory/LDAP |
|
|
低〜中 |
|
| クライアント証明書 |
|
|
高
※多要素の一部として利用 |
|
※1 OTP:ワンタイムパスワード
※2 デジタル庁「行政手続等での本人確認におけるデジタルアイデンティティの取扱いに関するガイドライン|4) 当人認証保証レベルと対策基準」を参考
※3 ゼロトラスト認証:アクセスの度に認証や認可を行い信用度の低いアクセスを認可しないという認証の考え方
「パスワード+OTP」は、同期パスキーと同様2要素認証にあたりますが、フィッシング耐性が低いことから、セキュリティの強さを「中」としています。
OIDCは、コンシューマー向けSSOで使われる認証方式で、多要素認証が可能です。しかし、IdP(認証プロバイダ)側で多要素認証の設定が必須となるため、注意が必要です。
SAMLは、OIDCと同様、SSO(シングルサインオン)が可能な認証方式です。しかし、OIDCとは異なり大企業のセキュリティ要件を満たす「エンタープライズ向けの設計」となっているため、セキュリティの強さを「高」としています。
下記の専門用語のまとめ表を確認しつつ、自社ではどの認証を用いているのか確認してみてください。
【専門用語のまとめ表】
| 分類 | 用語 | 役割・特徴 |
| 認証システムやサービス | IdP(認証プロバイダ) |
例:Microsoft Entra ID、Okta、HENNGE Oneなど |
| 社内基盤(アカウント管理) | Active Directory |
|
| LDAP |
|
|
| 認証プロトコル(認証における通信ルール) | SAML |
|
| OIDC(OpenID Connect) |
|
|
| Kerberos |
|
|
| 認証方式(自分を証明する手段) | クライアント証明書 |
|
| パスキー |
|
|
| 認証のしくみ | SSO |
|
パスキー認証のメリットとデメリット
パスキー認証は、同期パスキーとセキュリティキーのどちらも使い方に応じてメリットデメリットが生じます。
【パスキー認証のメリットとデメリット】
| 同期パスキー | セキュリティキー
(デバイス固定パスキー) |
|
| メリット |
|
|
| デメリット |
|
|
参考:一般社団法人OpenIDファウンデーション・ジャパン「民間事業者向け デジタル本人確認ガイドライン 第1.2版 本人確認手法編」をもとにトヨクモ株式会社が作成
たとえば、同期パスキーの場合、1回の操作で2要素認証が可能であることで強いセキュリティと利便性を兼ね備えているメリットがあります。しかし、アカウントを同期しているため、アカウント自体を乗っ取られたらパスキーを奪われるデメリットも発生します。
セキュリティキーの場合、物理キーを使うため、デバイスの盗難時でも不正ログインを防げる強固なセキュリティを有するメリットがある反面、「事前の購入や設定」「認証時に物理キーの所持が必要」などのユーザー側の負担が大きいというデメリットがあります。
トヨクモkintone連携サービスのパスキー認証で実現できること
Toyokumoアカウントにパスキーによる認証が導入されたことで、kintone連携サービス利用時の「パスワード管理の負担削減」や「セキュリティの強化」が実現可能となりました。
【パスキー認証で実現できること】
- ワンタッチでログイン可能
- パスワードの問い合わせを削減
- フィッシングを技術的に無効化
- パスワード漏洩リスクゼロを実現
- パスワード管理の負担削減
- FIDO2準拠のパスキー認証によりセキュリティ要件に適合
Toyokumoアカウントにおけるパスキー認証の設定方法
トヨクモのkintone連携サービスを活用する際は、パスキー認証を設定しましょう。今回は「Googleアカウントを未連携の人がパスキー認証を設定する方法」を紹介します。
事前に、Toyokumoアカウントのホーム画面右上にある人型の「アイコン」をクリックして「ログイン方法」画面を開いておきましょう。

▲出典:kintone連携サービス操作ガイド「トヨクモ kintone連携サービス」
1. Googleアカウントとの連携
①Googleアカウントの「連携」をクリック

▲出典:kintone連携サービス操作ガイド「トヨクモ kintone連携サービス|ログイン方法を管理する」
②Googleの画面でメールアドレスまたは電話番号を入力

▲出典:kintone連携サービス操作ガイド「トヨクモ kintone連携サービス|ログイン方法を管理する」
③該当のアカウントをクリック

▲出典:kintone連携サービス操作ガイド「トヨクモ kintone連携サービス|ログイン方法を管理する」
④Googleの画面でパスワードを入力

▲出典:kintone連携サービス操作ガイド「トヨクモ kintone連携サービス|ログイン方法を管理する」
⑤Toyokumoアカウントの画面で「設定済み」になっているか確認する

▲出典:kintone連携サービス操作ガイド「トヨクモ kintone連携サービス|ログイン方法を管理する」
※パスキー認証以外のログイン方法は最低1つ設定が必要
2. パスキーの設定
①「パスキーを登録」をクリック

▲出典:kintone連携サービス操作ガイド「トヨクモ kintone連携サービス|ログイン方法を管理する」
②パスキーの保存先を選択し、登録および認証を行う

▲出典:kintone連携サービス操作ガイド「トヨクモ kintone連携サービス|ログイン方法を管理する」
③「パスキーを登録しました。」と表示されたら完了

▲出典:kintone連携サービス操作ガイド「トヨクモ kintone連携サービス|ログイン方法を管理する」
※パスキー認証を設定後、パスキー以外の方法でログインした場合はメールへ通知が飛ぶ
パスキー認証は最大3デバイスまで登録可能です。また、パスキーでログインしていない人が「パスキーの名前変更および削除」をしようとする場合、パスキーでの認証が求められる仕様となっています。
Toyokumoアカウントのログイン管理方法を詳しく見たい人は、kintone連携サービス操作ガイド「トヨクモ kintone連携サービス|ログイン方法を管理する」から確認してみてください。
ユーザー管理で必要な情報にだけアクセス
より安全にトヨクモのkintone連携サービスを活用したい人は、管理側のログイン認証だけでなく、ユーザー側の認証サービスの活用も検討しましょう。
トヨクモのkintone連携サービスでは、kintoneライセンスを持たない顧客や取引先に対して、安全にフォームやビューを公開できる「ユーザー管理(旧Toyokumo kintoneApp認証)」機能を利用できます。
ユーザー管理はトヨクモの認証機能で、登録したユーザーのメールアドレスに紐づいた特定のデータ(レコード)のみを対象者に見せられます。ユーザーごとにデータを出し分けられるため、個人情報のやり取りも安全に行えます。
たとえば、3人のユーザーだけに見せたい情報がある場合は、事前に3人のメールアドレスを登録しておくことで「kViewer(ケイビューワー)」のビューを使って、特定の3人に対して安全に情報共有ができます。
「FormBridge(フォームブリッジ)」との連携で、データ入力や編集も可能です。
ユーザー管理を使うことで、URLの共有ミスによる情報漏洩や第三者によるなりすましを防げます。管理側だけでなく、ユーザー側の認証も強化したい人は、トヨクモのユーザー管理を活用してみてください。
まとめ
トヨクモのToyokumoアカウントに、世界標準規格「FIDO2」に基づく次世代の認証方式である「パスキー」が追加されました。パスキー認証は、公開鍵暗号方式と多要素認証を採用しており、従来のIDとパスワードに代わる高い安全性と利便性を兼ね備えています。
同期パスキーによる認証の導入により、ユーザーは生体情報やPINによる1回の入力操作で2要素認証でのログインが可能となります。パスキーを導入することで、企業はパスワード管理の負担を削減し、フィッシング攻撃に対するセキュリティを強化できます。
kintone連携サービスをすでに利用している人は、Toyokumoアカウントの画面からパスキーの設定を行いましょう。また、kintoneのアカウントを持たない外部の顧客や取引先と、安全に情報共有したい場合は「ユーザー管理」の導入もあわせて検討してみてください。
なお、トヨクモのkintone連携サービスは、すべてのサービスで「30日間無料お試し」が可能です。kintoneと一緒に使いたい便利なサービスをお探しの人は、ぜひご活用ください。
【トヨクモ株式会社のkintone連携サービス】
| 連携サービス名 | できること |
| FormBridge | kintoneへデータが自動で保存されていくWebフォームを作成できる |
| PrintCreator | kintoneアプリのデータをPDFで出力できる/電子契約ができる |
| kViewer | kintoneライセンスがない人に、kintoneアプリのデータを共有できる |
| kMailer | kintoneアプリのデータを引用してメール送信できる |
| DataCollect | 複数のkintoneアプリに登録されたデータを集計できる |
| kBackup | kintoneアプリに登録されたデータを安全にバックアップする |
参考:トヨクモ株式会社「kintone連携サービス公式サイト」

