pixiv は、世界最大級のアーティスト向けソーシャル メディア プラットフォームの 1 つであり、1 億人以上のユーザーと 1 億 6,000 万点以上のイラスト、マンガ、小説をホストしています。クリエイティブな知的財産を基盤とするプラットフォームでは、堅牢なセキュリティとスムーズなユーザー エクスペリエンスのバランスを取ることが最優先事項です。
パスワードレスの未来に向けて、pixiv はパスキーを統合しました。結果はすぐに現れました。パスキー ユーザーの認証成功率は 99% に達し、これは従来のパスワード ログイン方法よりも 29% 高い数値です。また、最もアクティブなユーザーのログイン時の摩擦が大幅に軽減されました。
戦略: パスワードレス認証への移行
pixiv では、次の 4 つの認証方法が用意されています。
- メールベースの「パスワードなし」ログイン: pixiv は、ユーザーの登録済みメールアドレスに確認コードを送信します。ユーザーにとっては複雑で、ユーザーのメールが不正使用された場合、特定のフィッシング攻撃やアカウントの乗っ取りに対して脆弱です。これは、pixiv アカウントに新規登録する際のデフォルトの方法です。
- メールアドレスとパスワード: ユーザーが登録済みのメールアドレスとパスワードを入力する従来の認証方法。この方法は、多数の複雑な認証情報を管理することによる認証情報のスタッフィングやパスワード疲労が発生しやすくなります。
- ソーシャル ログイン: Google アカウントなどのサードパーティの ID プロバイダの既存の認証情報を使用して、ユーザーがサービスを認証できる方法。
- パスキー: 公開鍵暗号に基づく、フィッシングに強い最新の認証情報。ユーザーはデバイスの画面ロック(生体認証または PIN)を使用してログインします。パスキーはデバイスに安全に保存され、プラットフォーム間で同期できます。
パスキーがパスワードレス ログインに優れている理由
パスワードやメールの確認コードは多くの人が知っていますが、パスキーはセキュリティが強化されています。
- メール アカウントのリスク: メールベースのシステムは、アカウントの不正使用に対して脆弱です。メールが侵害されると、攻撃者は認証コードをバイパスして不正にアクセスできるようになります。これらのシステムでは、堅牢なセキュリティを実現するために、多くの場合、別の第 2 要素(2FA)が必要になります。
- 本質的な信頼性: パスキーは特定のドメインに暗号的にバインドされているため、不正なプロキシ サイトで使用することはできません。パスキーは物理デバイスとジェスチャー(生体認証または PIN)の両方を必要とするため、組み込みの第 2 の要素として機能します。パスキーは、信頼性が高く、2 段階認証プロセスの追加手順を必要としない、よりシンプルなユーザー エクスペリエンスを提供します。
- スムーズなエクスペリエンス: パスキーは、従来の方式よりも堅牢でスムーズなエクスペリエンスをユーザーに提供します。
技術的な詳細については、パスキーの概要をご覧ください。
pixiv がパスキーを採用した主な目的は、ユーザーを従来のパスワード ベースのシステムから移行させることでした。
多くのユーザーはパスワードとメール確認コードに慣れていますが、パスキーはより優れたセキュリティを提供します。パフォーマンス データによると、ユーザー維持とセキュリティの面で優れた方法です。また、確認コードとは異なり、パスキーはソーシャル エンジニアリングによって傍受されたり盗まれたりすることはありません。
影響: 成功率とユーザー エクスペリエンス
パスキーの実装により、ログイン成功率が大幅に向上しました。パスワードや確認コードなどの従来の認証方法は、認証情報の忘れや確認コードのメール配信の問題により、失敗することがよくあります。
パスキーを使用するユーザーの認証成功率は 99% でした。これは、ユーザー名とパスワードよりも 29 ポイント高い値です。
| 指標 | ユーザー名とパスワードを指定する | パスキー |
|---|---|---|
| 認証成功率 | 最大 70% | 99% 以上 |
ユーザーの行動分析: 「U 字型」の導入曲線
pixiv は、アカウントの作成日とパスキーの導入との間にも相関関係があることを発見しました。pixiv は、アカウントの作成日が最も古いユーザーと最も新しいユーザーがパスキーを有効にする傾向が強いという「U 字型」の傾向を観察しました。
パワーユーザー(10 年以上)
10 年以上前に登録したユーザーは、6% を超える高い導入率を示しています。こうしたユーザーは、ポートフォリオが充実しており、ブックマークも厳選されていることがよくあります。pixiv は、これらのユーザーのアカウントが長年の創作活動を表しているため、セキュリティ意識が高く、デジタル アセットを保護するためにパスキーなどの最新のセキュリティ標準を導入する意欲が高いと仮説を立てています。
新規登録者数
pixiv は、セキュリティ設定の確認をユーザーに促し、パスワードや確認コードを必要としない高速かつ安全なログイン方法としてパスキーを推奨する、新しいセキュリティ確認画面を実装しました。
セキュリティ確認画面の導入後に参加したユーザーも、パスキーの導入率が高い(約 6%)ことがわかっています。
![モバイル デバイスの pixiv セキュリティ確認画面。パスキーを設定して、より迅速かつ安全にログインすることをおすすめするメッセージが表示され、青色の [パスキーを試す] ボタンが目立つように表示されます。](https://web.dev/static/case-studies/pixiv-passkeys/image/pixiv-passkey-recommendation-page.png?hl=ja)
pixiv は、ユーザーがログインに成功した直後にパスキーの設定を提案することで、ユーザーがパスキーを選択してログイン プロセスを簡素化する動機付けになると仮説を立てました。
「中間の」ギャップ
セキュリティ確認画面のリリース直前の年に登録したユーザーの導入率が最も低く(4% 未満)、このグループは通常、使い慣れたパスワードの習慣にデフォルト設定されます。このグループは以前のパスワード ログインに慣れているため、pixiv は、初回ログイン時にパスキーへの切り替えを推奨される新規ユーザーと比較して、パスキーへの切り替えのモチベーションが低いと仮定しました。
pixiv はセキュリティ設定ページでパスキーを推奨しており、パスキーの認知度が高まるにつれてパスキーの導入が増えることを期待しています。
今後の見通し
pixiv にとって、パスキーはセキュリティのアップグレードであると同時に、ユーザー エクスペリエンスの重要な要素でもあります。pixiv は、ログイン後の瞬間に戦略的に焦点を当てることで、効果的な導入方法を見つけました。
パスキー技術に対する世界的な認識が成熟するにつれて、pixiv はセキュリティ確認フローを改善していく予定です。これらの最適化は、パスワードに依存している残りの 60% のユーザーを、早期導入者の間で既に確認されている 99% の認証成功率と同様の、より安全でスムーズな未来へと移行させることを目的としています。