公開日: 2024 年 9 月 9 日
2024 年 6 月、Google は FIDO Alliance と提携して、東京でパスキー ハッカソンを開催しました。参加者は、Google と FIDO Alliance のスタッフがガイダンスを提供しながら、パスキーの開発と実際のプロダクト向けパスキーのプロトタイピングを体験しました。
このハッカソンでは、9 チームがパスキーに取り組みました。審査員は、最も革新的で影響力のある 4 つのプロジェクトを選びました。
グランド ウィナー: 慶應義塾大学 SFC-RG pkLock チーム(慶應義塾大学)
慶應義塾大学の SFC-RG pkLock チームは、IoT デバイスとパスキーを組み合わせるという課題に取り組んだ唯一のチームで、3D プリンタまで持参しました。
pkLock(「pic-lock」と発音)は、パスキーのクロスデバイス認証を使用して、Airbnb などの民泊で鍵の受け渡しが煩雑になるという一般的な問題を解決することを目的としています。
作成したデバイスは、ドアの外側に取り付けられた QR コード表示デバイスと、内側に取り付けられた解錠デバイスで構成されています。デバイスに加えて、ユーザーが予約とロック解除に使用するウェブ アプリケーションがあります。ゲストは、ドアの前にある QR コード表示デバイスの下に手をかざし、表示された QR コードをスマートフォンで読み取って、パスキー認証(クロスデバイス認証)を行うことで、ドアのロックを解除できます。
また、ホストが宿泊施設に設置したいと思える洗練されたデバイスの設計にも特に注意を払いました。これらのデバイスの普及の可能性も考慮した包括的なアプローチが、審査員の共感を強く呼びました。
プレゼンテーションでは、ハッカソンで作ったミニチュア ドアのロックを実際に解除し、観客を大いに盛り上げました。このデモでは、デバイスに、ユーザーを認証ページに誘導する 1 回限りのトークンを含む URL を含む QR コードが表示されました。今後、デバイスにハイブリッド トランスポートを実装し、直接ロック解除を可能にすることを計画しています。チームは、IoT デバイスでパスキーを使用する可能性を探求する先駆的な取り組みにより、ハッカソンで優勝しました。
FIDO 賞 1: SKKN(早稲田大学)
SKKN は、プライバシー研究を専門とする早稲田大学の研究グループです。チームは、パスキーを新しいテクノロジー(検証可能な認証情報(VC)とゼロ知識証明)と組み合わせた、非常に高度なユースケースを提示しました。検証可能な認証情報とゼロ知識証明は、自己主権型 ID と分散 ID(SSI/DID)の注目を集めているため、これらのプレゼンテーションは、ハッカソンの審査員と他の参加者の両方から大きな注目を集めました。
検証可能な認証情報(VC)は、名前、所属、住所などのユーザー情報を証明するデジタル証明書です。VC を保存して管理するホルダー(ウォレット)が脆弱な場合、VC が盗まれたり、VC を提示してユーザーになりすまされたりする可能性があります。FIDO 認証情報を持つユーザーのみが VC を提示できるようにするだけでなく、信頼できるウォレット サービスだけが VC を処理できるようにする方法も開発されています。
この実装には次のようなメリットがあります。
- VC と FIDO 認証情報をリンクして発行することで、VC を使用できるのは FIDO の所有者のみになります。
- カード発行会社と検証ツールが信頼できるウォレットのみを使用できます。
- パスキーを使用すると、VC とウォレットをバックアップして復元できます。デバイスを紛失した場合でも、ユーザーは復元できます。
FIDO アワード 2: TOKYU ID(東急)
東急株式会社の URBAN HACKS チーム(TOKYU ID チーム)は、TOKYU ID への革新的なパスキーの導入により、FIDO アワードを受賞しました。東急グループは、交通と都市開発を中心に幅広い事業を展開する日本の大手コングロマリットです。
TOKYU ID は、電車の乗車など、日常のやり取りを効率化するように設計されています。ユーザー エクスペリエンスの重要性を認識したチームは、2024 年 2 月にパスキーによるログインを実装しました。これは、ウェブ アプリケーションが提供するデジタル チケット販売サービスで 2 段階認証プロセスの遅延により電車に乗り遅れるなどの問題に対処するためのものです。
同社は、TOKYU ID のビジョンを検証するために、このハッカソンに参加しました。理想的なシナリオでは、すべてのユーザーがパスキーを使用して登録し、ログインし、シームレスなアカウント復元を実現します。これを実現するため、ハッカソンでは、最初のメンバーシップ登録プロセスでのパスキー登録の有効化と、アカウント復元のためのソーシャル ログインの導入という 2 つの重要な実装に重点を置きました。ソーシャル ログインによる復元後、ユーザーはパスキーのみを登録できます。これは、パスキー中心の設計に対するチームの取り組みを強調しています。また、FedCM を統合して、アカウント リンク プロセスのユーザー エクスペリエンスを改善しました。
TOKYU ID チームのパスキーを重視したアプローチは、ユーザーのニーズとプロダクトの要件を深く理解していることを示しています。ハッカソンで、彼らはソリューションを正常に実装し、興味深いプレゼンテーションを行い、FIDO 賞を受賞しました。特に、GIS SDK を使用せずに、FedCM を使用して標準の JavaScript のみで Google ログインを統合しました。
Google アワード: Team Nulab(Nulab)
Nulab は、Backlog、Cacoo、Nulab Pass などのサービスを提供するソフトウェア会社です。サービス全体で複数の 2 要素認証ソリューション(セキュリティ キー、SMS OTP、メール OTP、TOTP)と WebAuthn を使用しています。Nulab は WebAuthn を早期に採用し、2023 年 10 月からパスキーを完全にサポートしています。
8 つの新機能が実装されています。
- パスキーカード
- パスキーの概要コンテンツ
- パスキーの導入者向け特典
- アカウントの円滑な復元をサポート
- [パスキーでログイン] ボタン
- パスキーを導入する場合の 2 段階認証プロセスの必須化
- 認証情報漏洩時のパスワードの削除とパスキーの昇格
- パスワードの再設定時にパスキーを推奨する
ハッカソンでは、アカウントの復元をスムーズに行うためのアシスタントのデモを行いました。パスキーを追加する際に、追加のアクションを促すというアイデアです。追加したパスキーがデバイスに関連付けられている場合は、別のパスワード マネージャーから別のパスキーを追加することをお客様におすすめします。追加したパスキーが同期されている場合は、パスワードを削除することをおすすめします。
また、パスキーを採用したユーザーに特典を提供する機能も実装し、ユーザー アカウント アイコンをハイライト表示しています。ユーザーがデバイスにバインドされたパスキーを採用すると、アイコンが回転し始めます。ユーザーが同期されたパスキーを採用すると、アイコンが点滅し始めます。これはエンタープライズ ツールであるため、パスキーを採用することで社内で目立つようにユーザーを動機付けることができます。
審査員は、パスキーの実装を改善するための創造的なアイデア、特にユーザーがアカウントを復元する方法を高く評価しました。
その他の興味深いプロジェクト
ハッカソンに参加したすべてのチームが興味深いアイデアを出しました。以下に、各チームのプロジェクトをご紹介します。
- Nikkei ID(日経): OpenID Connect 上にパスキーを実装し、ユーザーの負担を軽減しました。
- Dentsu Soken(Dentsu Soken): パスキーと Google ログインを組み合わせて、ユーザーのオンボーディングをシームレスに行う。
- SST-Tech(Secure Sky Technology): セキュリティ評価のためのパスキー エミュレーションを調査しました。
- Ajitei Nekomaru(慶應義塾大学): オープンソースの LMS にパスキー認証を導入しました。
- MyLIXIL(LIXIL): MyLIXIL の認証方法としてパスキーを実装しました。
各プロジェクトの詳細については、東京のパスキー ハッカソン レポートをご覧ください。
まとめと今後
ハッカソン全体を通して、参加者はパスキーに対する熱意と改善点の両方を強調し、貴重なフィードバックや質問を共有しました。ハッカソンから得られた主な知見は次のとおりです。
- パスキーと検証可能な認証情報やゼロ知識証明などの他の技術を組み合わせることに関心が高まっています。
- ユーザー エクスペリエンスは引き続き最優先事項であり、チームはパスキーの使いやすさと導入のしやすさをさらに高めることに重点を置いています。
- このハッカソンでは、パスキーが従来のログインを超えて、IoT やデジタル ID などの分野に拡大する可能性について議論されました。
このイベントは大成功を収め、新しいアイデアやコラボレーションが生まれました。パスキーの普及が進むにつれ、このようなイベントはイノベーションを推進し、課題に対処するうえで重要になります。
パスキーは現在、大きな注目を集めています。東京のハッカソンは、デベロッパーが可能性の限界を押し広げようとしていることの証明です。