DoiT acquires SELECT to optimize Snowflake and BigQuery
Cloud Intelligence™Cloud Intelligence™

Cloud Intelligence™

Google Workspaceでパスワードレスログインを実現する

By Dustin ChristliebSep 29, 20234 min read

このページはEnglishDeutschEspañolFrançaisItalianoPortuguêsでもご覧いただけます。

Googleのパスキーログインとは

Googleは先日、Google Workspaceアカウント向けにパスキー認証をオープンベータで公開しました。フィッシング攻撃などの脅威への耐性を強化しつつ、ログインの利便性も高める機能です。利用を有効にしたユーザーは、Googleアカウントのメールアドレスを入力すると、パスキーとして登録済みのデバイス上で認証を完了するよう促されます。

パスワードレス認証によるサインイン画面。

パスワードに対する優位性と、必要に応じたパスワード認証の併用

パスキー認証は、Google Workspaceアカウントにおけるパスワードレス認証への第一歩です。有効化すると、ユーザーは顔認証、指紋、PIN、またはパスキーデバイスの画面ロックでアカウントにサインインできるようになります。なお、パスワードレス認証を有効にしても、従来のパスワード認証が無効になるわけではありません。パスキー認証の大きなメリットは、特定の状況を除き、アカウントのパスワードを覚えたりパスワードマネージャーからコピー&ペーストしたりする必要がない点です。サインインしたい場面でパスキーデバイスを紛失したり利用できない場合は、「別の方法を試す」をクリックすれば、パスワードと2段階認証プロセスにフォールバックできます。仮想マシンやリモートデバイス上でGoogleアカウントにサインインするケースなどで便利です。

管理者の視点で整理すると、ユーザーがGoogleアカウントにパスキーを登録した後は、Google Workspaceでの認証が必要になるたびに、登録済みデバイスへ通知が送られる仕組みです。登録デバイスはパスキーの前提条件としてパスワードや画面ロックで保護されているため、ユーザーがそのデバイスを所持し、設定済みの画面ロックを解除できれば、アカウントにアクセスできます。第二要素となるデバイスがパスキーとして機能し、そのデバイス自体が画面ロックで保護されているため、Googleアカウントのパスワード入力が不要になるというわけです。

本記事執筆時点では、モバイルデバイスにGoogleアカウントを追加する際にパスキー認証は選択できません。また、プライベートブラウジング(シークレットモードや同等のモード)を使用する場合は、OSやブラウザによってはパスキーが利用できないことがあります。

パスワードと2段階認証プロセスでサインインするための「別の方法を試す」画面。

利用要件

  1. 管理者は、管理コンソールでサインイン時のパスワードスキップを許可する必要があります。
  2. Google WorkspaceアカウントはGoogleをIDプロバイダとして利用している必要があります。サードパーティのIDプロバイダ経由でサインインする場合、Googleパスキー認証は適用されません。
  3. ユーザーのPCおよびモバイルデバイスでは、以下のいずれかのブラウザが必要です。
  • Chrome 109以上
  • Safari 16以上
  • Edge 109以上

4. パスキーを作成できるデバイスは以下のとおりです。

  • Windows 10、macOS Ventura、ChromeOS 109以降が動作するノートPCまたはデスクトップPC
  • iOS 16またはAndroid 9以降が動作するモバイルデバイス
  • FIDO2プロトコルに対応したハードウェアセキュリティキー

5. パスキーの作成と利用には、デバイスで画面ロックが有効になっている必要があります。さらに、モバイルデバイスのパスキーを使って別のPCでサインインする場合は、Bluetoothも必要です。

機能の有効化とパスキー登録の手順

Google Workspaceの管理者は、管理コンソールから組織部門(OU)単位またはグループ単位でパスワードレス認証機能を有効化します。この認証方式を許可してから、ユーザー側にパスワードレスサインインを有効化する選択肢が表示されるまでには、若干の反映時間がかかります。

管理コンソールのパスワードレス(ベータ)設定画面。

管理コンソールでパスワードレス認証を有効化すると、ユーザーはhttps://g.co/passkeysからアカウントのパスキーを確認・作成・削除できます。一般的なセキュリティ上の注意として、パスキーは共有デバイス以外でのみ作成してください。パスキーデバイスのロックを解除できる人は、そのデバイスに紐づくGoogleアカウントにログインできてしまうためです。現時点ではパスキーログインを強制することはできませんが、Googleアカウントへのアクセス手段の一つとしてユーザーに提供することは可能です。

Googleアカウントでのパスキーの確認・編集画面。

パスキーを登録したユーザーは、パスキー優先のパスワードレスサインイン体験にオプトインできます。https://myaccount.google.com/securityにユーザーレベルの設定があり、可能な場合はパスワード認証をスキップして、パスキーまたはデバイス通知のみでサインインするように切り替えられます。

可能な場合にパスワードをスキップするためのトグル。

まとめ

Googleアカウントの新しいパスワードレス認証は、個人アカウントと法人アカウントの両方でオープンベータとして利用できるようになりました。有効化することで、アカウントのセキュリティを強化しつつ、サインイン体験もスマートになります。Googleはこの種の認証を提供する多くのクラウドサービスプロバイダの一つに過ぎません。パスワードレスログインを実装しているその他のクラウドサービスプロバイダについては、https://passkeys.directory/(1Password.com運営)で詳しく紹介されています。