Toyokumo kintoneApp Blog

kintone連携サービスの認証方式は?パスキー認証で実現できることを解説

トヨクモ編集部のサムネイルアイコン トヨクモ編集部

Toyokumoアカウントに「パスキー」による認証機能が追加されました。「パスキー」とは、現在主流の「IDとパスワード」に代わる新たな認証方式を指します。

パスキーは、世界標準の認証規格である「FIDO2」で作られた認証技術です。「公開鍵暗号方式と多要素認証」により利便性と強固なセキュリティを兼ね備え、GoogleやAppleなどの大手企業も自社サービスやアプリに導入しています。

本記事では「パスキー」の種類や仕組みなどを解説し、トヨクモのkintone連携サービスにパスキー認証を導入したことで実現できることを紹介します。Toyokumoアカウントにおけるパスキーの設定方法も紹介するので、参考にしてみてください。

「パスキー」は高い安全性を有する最新のパスワードレス認証

「パスキー」とは、世界標準規格である「FIDO2規格」に基づく次世代の認証方式です。高いセキュリティと利便性をあわせ持ち、ログイン時の認証に使われる「IDとパスワード」に代わる新たな認証方式として普及が進んでいます。

【パスキーの種類】

同期パスキー セキュリティキー
(デバイス固定パスキー)
  • ・スマホやPCのパスワードマネージャーを利用する認証
  • ・Webサービスや企業の全社員向けの認証として普及している
  • ・クラウドで同期やバックアップができる
  • ・端末紛失時の復旧や機種変更時の移行ができる
  • ・1回の操作で2要素認証が可能で利便性と強いセキュリティを兼ね備える
  • ・セキュリティキー(物理キー)に生体やPINなどの第2要素を組み合わせた認証
  • ・限定的な利用
  • ・認証時に物理キーの所有が必須で同期パスキーより利便性に欠ける
  • ・同期パスキーより強固なセキュリティを有する
  • ・セキュリティキーの購入が必要

参考:一般社団法人OpenIDファウンデーション・ジャパン「民間事業者向け デジタル本人確認ガイドライン 第1.2版 本人確認手法編」をもとにトヨクモ株式会社が作成

パスキーには「同期パスキー」と「セキュリティキー(デバイス固定パスキー)」を使った2種類の認証方式があります。「パスキー」というと、一般的には同期パスキーをさし、コンシューマー向けのWebページや企業における認証に導入されています。

Toyokumoアカウントのこれまでの認証方式は、マジックリンクまたはOIDC※を採用していました。そのため、OIDCで2要素認証の設定にしたい場合は、GoogleアカウントやMicrosoftアカウント側で2要素認証の設定が必須でした。

今回、新たに同期パスキーによる認証を追加したことで、生体情報やPIN情報の1回の入力操作で、2要素認証が可能となります。

また、パスキーは「公開鍵暗号方式かつ多要素認証」を採用しているため、偽サイトへ誘導して個人情報を盗む「フィッシング耐性」を有し、強固なセキュリティを実現しています。

※OIDC:OpenID Connectは認証プロトコル(認証における通信ルールや手段)のこと。OAuth 2.0という認可プロトコルをベースに構築されている。

(参考:デジタル庁公式サイト「行政手続等での本人確認におけるデジタルアイデンティティの取扱いに関するガイドライン」「本人確認実務の課題・事例・手法とそのガイドラインに関する有識者会議(第1回)|当人認証手法の具体例について」)

パスキー認証の仕組みとログイン認証の流れ

パスキーの仕組みと認証の流れの解説

▲パスキーの仕組みとログイン認証の流れの画像

上図は、パスキー認証における公開鍵暗号方式の仕組みと、ログイン時の認証の流れを示したものです。

公開鍵暗号方式とは、自分のデバイスに保存される「秘密鍵」とデバイスで生成されてサーバーに保存される「公開鍵」を使って本人を確認する認証の仕組みです。

パスキーを登録する際、「秘密鍵」と「公開鍵」の2つの鍵がデバイス内で「2つで1つのペア」として作られます。秘密鍵は、デバイス内の耐タンパ性(※1)のあるICチップへ保存され、公開鍵のみサーバー側に保存されます。

パスキーによるログイン認証の際は、 サーバー(公開鍵を保管する側)から認証の度に異なるチャレンジ(ランダムデータ)が送られます。仮に公開鍵から送られるデータを見られても、ランダムデータ自体は意味のない文字列であるため問題ありません。

端末側は、秘密鍵だけが認証を突破できる署名を作成し、サーバーへ返送します。秘密鍵で作成した「署名」を盗まれたとしても、次回ログイン時には異なるチャレンジで認証を行うことから、古い認証情報は利用できないため悪用のリスクはありません。

そのため、なりすましや認証情報の漏洩防止を実現できます。ログイン時に求められる生体情報も秘密鍵と同じ耐タンパ性(※1)のあるICチップに保存されるため、情報の不正な読み出しや改ざんを防げます。

【同期パスキーによるログイン認証の流れ】

ユーザー側

(秘密鍵)

サーバー側

(公開鍵)

①ログインしようとする
②ランダムなデータを送信(チャレンジ)

  • ・ログインのたびに毎回異なるランダムな文字列が生成     
③生体情報 or PINコードを求められる

  • ・生体情報 or PINコード入力により秘密鍵の使用許可を出す
④秘密鍵で署名をする

  • ・耐タンパ性(※1)のあるICチップに保管されている秘密鍵で計算(※2)をする
⑤署名(チャレンジ)をサーバー側に返送
⑥署名を検証

  • ・公開鍵で署名を検証(チャレンジと照合)
  • ・サーバー側が送ったチャレンジコードと比較
⑦本人確認完了

  • ・チャレンジコードが一致すればログインできる

参考:FIDO Alliance公式サイト「Introduction to Passkeys|How Passkeys Work」をもとにトヨクモ株式会社が作成

※1 耐タンパ性:不正な読み出しや改ざんなどの攻撃への耐性
※2 パスキー認証は暗号化や復号を使わない暗号アルゴリズム(ECDSA)を使用

認証における要素と2段階認証の違い

多要素認証とは、全部で3種類ある認証における要素を「2種類以上組み合わせて行う認証」をさします。一方、2段階認証は一つの要素を使って2回認証するため、一つの要素の情報が漏洩した際、認証を突破されてしまうリスクがあります。

【多要素認証と2段階認証の違い】

多要素認証 2段階認証(単要素認証)
「知識」「所持」「生体」いずれかの要素を2つ以上組み合わせる認証方法

[例]

同期パスキー

  • ・所持(デバイス)+生体(指紋)
  • ・所持(デバイス)+知識(PIN)

セキュリティキー

  • ・所持(物理キー)+生体(指紋)
  • ・所持(物理キー)+知識(PIN)
「パスワード」と「秘密の質問」など2回にわけて行う認証方法

[例]

パスワード入力

  • ・知識(パスワード)+知識(暗証番号)
  • ・知識(パスワード)+知識(秘密の質問)

参考:一般社団法人OpenIDファウンデーション・ジャパン「民間事業者向け デジタル本人確認ガイドライン 第1.2版 本人確認手法編」をもとにトヨクモ株式会社が作成

多要素認証の一つに、SMSやメールでのOTP(ワンタイムパスワード)の取得があります。しかし、OTPは、SIMを不正に再発行して電話番号を乗っ取る「SIMスワップ」や「リアルタイム中継型のフィッシング攻撃」に弱いことから、パスキーの導入が推奨されています。

警察庁の公式サイトにある「令和7年におけるサイバー空間をめぐる脅威の情勢等について|(2) 犯罪インフラへの対処」では、パスキーの普及を促していることが読み取れます。

フィッシングによる被害も増加傾向であることから、早急にセキュリティの強化が求められます。パスキーによる認証は、パスワード管理の負担の軽減や、フィッシング対策に有効であることから、普及していくと考えられるでしょう。

各認証方式や技術の違い

企業では、用途やセキュリティ要件に応じて認証方式や技術が使い分けられています。各認証方式や技術は、本人確認の手段である「認証方式」やシステム間の連携ルールである「通信プロトコル」などによって「企業向け or コンシューマー向け」に分類できます。

以下の表では、企業で使われることの多い認証方式や技術をまとめています。

【企業で使われる認証方式や技術の比較】

認証方式や技術 用途 要素と数 セキュリティ※2 詳細
パスワード認証
  • ・汎用
  • ・一般的なログイン手法
  • 単要素(知識/記憶)
  • ・一般的な認証手法
  • ・リスト型攻撃やフィッシングに弱い
  • ・推測や使い回しによる情報漏洩のリスクが高い
パスワード+OTP※1
  • ・多要素認証
  • ・BtoCサービスや金融機関などでの追加認証
  • 2要素(知識+所持)
  • ・パスワード+アプリ、SMSから使い捨てコードを取得する手法
  • ・手軽に導入できる
  • ・リアルタイム中継型のフィッシング攻撃に弱い
マジックリンク
  • ・パスワードレス(メール認証)
  • ・コンシューマー向け(SaaSへのログイン)
  • 単要素(所持)
  • ・メールアドレスでリンクやコードを取得する手法
  • ・導入は容易
  • ・メールアカウント自体が乗っ取られると認証も突破されるリスクあり
同期パスキー
  • ・パスワードレス(FIDO2)
  • ・汎用
  • ・今後の主流
  • 2要素(所持+生体/知識)
中〜高
  • ・公開鍵暗号方式
  • ・デバイスの生体認証(指紋や顔)やPINと連携
  • ・パスワード自体を廃止できる
  • ・フィッシング耐性あり
セキュリティキー
(デバイス固定パスキー)
  • ・パスワードレス(FIDO2)
  • ・最高保証レベルによる認証※2
  • 2要素(所持+生体/知識)
  • ・フィッシング耐性あり
  • ・企業のシステム管理者などの高いセキュリティ要件が求められる環境
OIDC(OAuth)
  • ・おもにコンシューマー向けに適したSSO
  • ・ソーシャルログイン
  • ・モバイルアプリやウェブアプリでの認証
  • IdP(認証プロバイダ)の設定に依存

※多要素認証の場合

  • ・OAuthは「認可」のプロトコル
  • ・GoogleやMicrosoftなどのアカウントを利用
  • ・GoogleやMicrosoft側での2要素認証設定をしないとパスワード認証と同水準のセキュリティレベル
  • ・パスワードを直接渡さずにログインできる
SAML
  • ・大企業向けに適したSSO
  • ・複数のSaaSへ一括ログイン
  • IdP(認証プロバイダ)の設定に依存

※IdP側の認証設定による

  • ・XML形式で認証情報をシステム間でやり取りするプロトコル
  • ・大企業のセキュリティ要件を満たす設計
  • ・企業向けのシングルサインオン(SSO)の標準規格として広く採用
Active Directory/LDAP
  • ・インフラ寄り(ディレクトリサービス)
  • ・社内システムのユーザー認証、統合管理
  • ・主に単要素(知識)
  • ・拡張で多要素も可
低〜中
  • ・Active Directory(AD)は社内のユーザーやPCなどを統合管理するシステム
  • ・LDAPはディレクトリにアクセスして情報を検索、連携するための通信プロトコル
  • ・パスワードとID認証(もしくはKerberos認証など)を利用
  • ・多要素認証ツールを用いてセキュリティの強化が必要
クライアント証明書
  • ・インフラ寄り(デバイス認証)
  • ・高セキュリティ環境
  • ・単要素(所持)
  • ・多要素の一部として利用される

※多要素の一部として利用

  • ・会社が許可したデバイスにのみ証明書を発行
  • ・証明書を持たない端末からのアクセスを制限
  • ・ゼロトラスト認証(※3)において「デバイスの信頼性」を担保する要素

※1 OTP:ワンタイムパスワード
※2 デジタル庁「行政手続等での本人確認におけるデジタルアイデンティティの取扱いに関するガイドライン|4) 当人認証保証レベルと対策基準」を参考
※3 ゼロトラスト認証:アクセスの度に認証や認可を行い信用度の低いアクセスを認可しないという認証の考え方

「パスワード+OTP」は、同期パスキーと同様2要素認証にあたりますが、フィッシング耐性が低いことから、セキュリティの強さを「中」としています。

OIDCは、コンシューマー向けSSOで使われる認証方式で、多要素認証が可能です。しかし、IdP(認証プロバイダ)側で多要素認証の設定が必須となるため、注意が必要です。

SAMLは、OIDCと同様、SSO(シングルサインオン)が可能な認証方式です。しかし、OIDCとは異なり大企業のセキュリティ要件を満たす「エンタープライズ向けの設計」となっているため、セキュリティの強さを「高」としています。

下記の専門用語のまとめ表を確認しつつ、自社ではどの認証を用いているのか確認してみてください。

【専門用語のまとめ表】

分類 用語 役割・特徴
認証システムやサービス IdP(認証プロバイダ)
  • ・ユーザーの認証を提供するシステムやサービス

例:Microsoft Entra ID、Okta、HENNGE Oneなど

社内基盤(アカウント管理) Active Directory
  • ・社内のユーザーアカウントやデバイスなどを一元的に管理するシステム
LDAP
  • ・通信プロトコル
  • ・Active Directory等のディレクトリサービスに対して、アカウント情報の検索や参照、管理を行う
認証プロトコル(認証における通信ルール) SAML
  • ・おもにSSO(シングルサインオン)を実現するために設計された認証プロトコル
OIDC(OpenID Connect)
  • ・「OAuth(認可の仕組み)」をベースに、認証の仕組みを追加したプロトコル
Kerberos
  • ・Active Directoryでよく使用される認証プロトコル(企業ネットワークなど)
  • ・社内のSSOが可能
認証方式(自分を証明する手段) クライアント証明書
  • ・公開鍵暗号方式
  • ・証明書をインストールした特定の端末からしかシステムにアクセスできないように制限する
  • ・社外から社内環境へアクセスする際のセキュリティを強化
  • ・多要素認証の一つとして利用
パスキー
  • ・公開鍵暗号方式
  • ・多要素認証を採用
  • ・ユーザーが本人であることを証明する手段
  • ・同期パスキーとセキュリティキーの2種類あるが、一般的には同期パスキーを指すことが多い
認証のしくみ SSO
  • ・シングルサインオン
  • ・一度の認証(ログイン)で、連携している複数のシステムやクラウドサービスを利用できる仕組み

パスキー認証のメリットとデメリット

パスキー認証は、同期パスキーとセキュリティキーのどちらも使い方に応じてメリットデメリットが生じます。

【パスキー認証のメリットとデメリット】

同期パスキー セキュリティキー

(デバイス固定パスキー)

メリット
  • ・強固な認証と利便性を兼ね備える
  • ・生体情報 or PINの入力のみで2要素認証が可能
  • ・端末紛失時の復旧や機種変更時の移行が容易
  • ・リスト型攻撃やフィッシングに耐性がある
  • ・物理的なキーと生体認証 or PINの併用で同期パスキーより強固な認証が可能
  • ・USBポートやNFCにかざすだけで容易にログインできる
  • ・リスト型攻撃やフィッシングに耐性がある
デメリット
  • ・事業者側で認証サーバーの準備が必要
  • ・比較的新しい認証手法でユーザー側の認知や理解不足の懸念がある
  • ・アカウントごと乗っ取られた場合にパスキーが奪われるリスクがある
  • ・ドメインを変更した場合は、原則パスキーの再作成が必要
  • ・事前にセキュリティキーの購入と設定が必要
  • ・認証の際に物理キーを持っておく必要がある
  • ・物理キーを紛失した際、アカウントリカバリーの対応が必要
  • ・事業者側で認証サーバーの準備が必要
  • ・ドメインを変更した場合は、原則セキュリティキーの再登録が必要

参考:一般社団法人OpenIDファウンデーション・ジャパン「民間事業者向け デジタル本人確認ガイドライン 第1.2版 本人確認手法編」をもとにトヨクモ株式会社が作成

たとえば、同期パスキーの場合、1回の操作で2要素認証が可能であることで強いセキュリティと利便性を兼ね備えているメリットがあります。しかし、アカウントを同期しているため、アカウント自体を乗っ取られたらパスキーを奪われるデメリットも発生します。

セキュリティキーの場合、物理キーを使うため、デバイスの盗難時でも不正ログインを防げる強固なセキュリティを有するメリットがある反面、「事前の購入や設定」「認証時に物理キーの所持が必要」などのユーザー側の負担が大きいというデメリットがあります。

トヨクモkintone連携サービスのパスキー認証で実現できること

Toyokumoアカウントにパスキーによる認証が導入されたことで、kintone連携サービス利用時の「パスワード管理の負担削減」や「セキュリティの強化」が実現可能となりました。

【パスキー認証で実現できること】

  • ワンタッチでログイン可能
  • パスワードの問い合わせを削減
  • フィッシングを技術的に無効化
  • パスワード漏洩リスクゼロを実現
  • パスワード管理の負担削減
  • FIDO2準拠のパスキー認証によりセキュリティ要件に適合

Toyokumoアカウントにおけるパスキー認証の設定方法

トヨクモのkintone連携サービスを活用する際は、パスキー認証を設定しましょう。今回は「Googleアカウントを未連携の人がパスキー認証を設定する方法」を紹介します。

事前に、Toyokumoアカウントのホーム画面右上にある人型の「アイコン」をクリックして「ログイン方法」画面を開いておきましょう。

パスキー認証の設定方法

▲出典:kintone連携サービス操作ガイド「トヨクモ kintone連携サービス

1. Googleアカウントとの連携

①Googleアカウントの「連携」をクリック

①Googleアカウントの「連携」をクリック

▲出典:kintone連携サービス操作ガイド「トヨクモ kintone連携サービス|ログイン方法を管理する

②Googleの画面でメールアドレスまたは電話番号を入力

②Googleの画面でメールアドレスまたは電話番号を入力

▲出典:kintone連携サービス操作ガイド「トヨクモ kintone連携サービス|ログイン方法を管理する

③該当のアカウントをクリック

③該当のアカウントをクリック

▲出典:kintone連携サービス操作ガイド「トヨクモ kintone連携サービス|ログイン方法を管理する

④Googleの画面でパスワードを入力

④Googleの画面でパスワードを入力

▲出典:kintone連携サービス操作ガイド「トヨクモ kintone連携サービス|ログイン方法を管理する

⑤Toyokumoアカウントの画面で「設定済み」になっているか確認する

⑤「設定済み」の確認する

▲出典:kintone連携サービス操作ガイド「トヨクモ kintone連携サービス|ログイン方法を管理する

※パスキー認証以外のログイン方法は最低1つ設定が必要

2. パスキーの設定

①「パスキーを登録」をクリック

①「パスキーを登録」をクリック

▲出典:kintone連携サービス操作ガイド「トヨクモ kintone連携サービス|ログイン方法を管理する

②パスキーの保存先を選択し、登録および認証を行う

②パスキーの登録および認証

▲出典:kintone連携サービス操作ガイド「トヨクモ kintone連携サービス|ログイン方法を管理する

③「パスキーを登録しました。」と表示されたら完了

③完了

▲出典:kintone連携サービス操作ガイド「トヨクモ kintone連携サービス|ログイン方法を管理する

※パスキー認証を設定後、パスキー以外の方法でログインした場合はメールへ通知が飛ぶ

パスキー認証は最大3デバイスまで登録可能です。また、パスキーでログインしていない人が「パスキーの名前変更および削除」をしようとする場合、パスキーでの認証が求められる仕様となっています。

Toyokumoアカウントのログイン管理方法を詳しく見たい人は、kintone連携サービス操作ガイド「トヨクモ kintone連携サービス|ログイン方法を管理する」から確認してみてください。

ユーザー管理で必要な情報にだけアクセス

より安全にトヨクモのkintone連携サービスを活用したい人は、管理側のログイン認証だけでなく、ユーザー側の認証サービスの活用も検討しましょう。

トヨクモのkintone連携サービスでは、kintoneライセンスを持たない顧客や取引先に対して、安全にフォームやビューを公開できる「ユーザー管理(旧Toyokumo kintoneApp認証)」機能を利用できます。

ユーザー管理はトヨクモの認証機能で、登録したユーザーのメールアドレスに紐づいた特定のデータ(レコード)のみを対象者に見せられます。ユーザーごとにデータを出し分けられるため、個人情報のやり取りも安全に行えます。

たとえば、3人のユーザーだけに見せたい情報がある場合は、事前に3人のメールアドレスを登録しておくことで「kViewer(ケイビューワー)」のビューを使って、特定の3人に対して安全に情報共有ができます。

FormBridge(フォームブリッジ)」との連携で、データ入力や編集も可能です。

ユーザー管理を使うことで、URLの共有ミスによる情報漏洩や第三者によるなりすましを防げます。管理側だけでなく、ユーザー側の認証も強化したい人は、トヨクモのユーザー管理を活用してみてください。

まとめ

トヨクモのToyokumoアカウントに、世界標準規格「FIDO2」に基づく次世代の認証方式である「パスキー」が追加されました。パスキー認証は、公開鍵暗号方式と多要素認証を採用しており、従来のIDとパスワードに代わる高い安全性と利便性を兼ね備えています。

同期パスキーによる認証の導入により、ユーザーは生体情報やPINによる1回の入力操作で2要素認証でのログインが可能となります。パスキーを導入することで、企業はパスワード管理の負担を削減し、フィッシング攻撃に対するセキュリティを強化できます。

kintone連携サービスをすでに利用している人は、Toyokumoアカウントの画面からパスキーの設定を行いましょう。また、kintoneのアカウントを持たない外部の顧客や取引先と、安全に情報共有したい場合は「ユーザー管理」の導入もあわせて検討してみてください。

なお、トヨクモのkintone連携サービスは、すべてのサービスで「30日間無料お試し」が可能です。kintoneと一緒に使いたい便利なサービスをお探しの人は、ぜひご活用ください。

【トヨクモ株式会社のkintone連携サービス】

連携サービス名    できること
FormBridge kintoneへデータが自動で保存されていくWebフォームを作成できる
PrintCreator kintoneアプリのデータをPDFで出力できる/電子契約ができる
kViewer kintoneライセンスがない人に、kintoneアプリのデータを共有できる
kMailer kintoneアプリのデータを引用してメール送信できる
DataCollect 複数のkintoneアプリに登録されたデータを集計できる
kBackup kintoneアプリに登録されたデータを安全にバックアップする

参考:トヨクモ株式会社「kintone連携サービス公式サイト

トヨクモ編集部のサムネイルアイコン

監修者トヨクモ編集部


メンバー全員がkintone認定資格保有者。 累計15,000件以上のkintone連携サービス導入を支援した実績をもとに 、kintoneを活用した業務効率化や現場で役立つ最新情報を発信中。

その他のお役立ち情報 Other Useful Information

サービスカタログや過去のセミナー動画、FormBridgeを応用したもっと便利な活用方法などを紹介しています。


私たち、トヨクモのサービス Our Services

kintoneをより使いやすくするためのkintone連携サービスです。30日間の無料お試しへぜひお申し込みください。