パスキー提供者とは：種類・AAGUID・導入状況

Looking for a developer-focused passkey reference? Download our Passkeys Cheat Sheet (incl. WebAuthn ceremonies, objects & Conditional UI). Trusted by dev teams at Ally, Stanford CS & more.

Get Cheat Sheet

パスキーを使用したり、実装に携わったりする中で、あるコンポーネントが非常に重要になってきます。それが パスキープロバイダ（Passkey Provider） です。パスキーのエコシステムにおいて極めて重要な役割を果たしているにもかかわらず、多くの人がパスキープロバイダについて何となくしか理解していなかったり、ファーストパーティ・パスキープロバイダ、サードパーティ・パスキープロバイダ、そして パスキー認証プロバイダ の違いを知らなかったりするのが現状です。

Get a free passkey assessment in 15 minutes.

Book free consultation

このブログ記事では、その違いに光を当てていきます。ソフトウェア開発者の方も、プロダクトマネージャーの方も、あるいは単にWebセキュリティの最新動向に興味がある方も、パスキープロバイダの役割と種類を理解することは不可欠です。このトピックを紐解くことで、皆さんが自信を持ってパスキーを理解できるようになることを目指しています。

パスキープロバイダは、パスキーによる認証エコシステムにおいて基礎となる役割を果たしており、ユーザーのデバイスと、リライングパーティ（オンラインサービス）への安全でシームレスなアクセスとの間の架け橋として機能します。しかし、公式な定義が存在せず、ネット上でもさまざまな解釈が見られる中で、パスキープロバイダとは具体的に何を指すのでしょうか？

以下の定義は私たちの理解を反映したものであり、唯一の正解であると主張するものではありません。

パスキープロバイダとは、本質的に「パスキーの作成、管理、および使用を可能にするあらゆるエンティティ（主体）」のことです。調査を通じて、私たちはパスキープロバイダを大きく2つのカテゴリーに分類しました。ファースト／サードパーティ・パスキープロバイダ と、パスキー認証プロバイダ です。

Become part of our Passkeys Community for updates & support.

Join

このカテゴリーには、クライアントサイド（ユーザーのデバイス上）でパスキーを生成できるエンティティが含まれます。これらのプラットフォームを通じてパスキーが作成されると、それは安全に管理・保存されます。保存先は、OSメーカーのクラウド（例：iCloud キーチェーン、Google パスワードマネージャー）や、サードパーティのパスワードマネージャー（例：KeePassXC、1Password、Dashlaneなど。詳細は後述）であることが多いです。

パスキーの作成と管理をOS標準機能として可能にするオペレーティングシステムは、ファーストパーティ・パスキープロバイダ と見なされます。対照的に、APIを通じてプラットフォームと統合されるサードパーティのパスワードマネージャーは、サードパーティ・パスキープロバイダ と呼ばれます。

ファーストパーティまたはサードパーティのパスキープロバイダは、それぞれ固有の AAGUID（Authenticator Attestation Globally Unique Identifiers） を持っています。これはユーザー体験を向上させるのに役立ちます（例：アカウント設定画面で、どのプロバイダのパスキーかを区別しやすくするなど）。場合によっては、同一のファーストパーティまたはサードパーティ・パスキープロバイダが複数の AAGUID を持っていることもあります。

iOS 17.4 デバイス上のパスキープロバイダ

Android 14 デバイス上のパスキープロバイダ

Android の Credential Manager API

2つ目のカテゴリーは、開発者がアプリケーションに統合することで、パスキー管理のあらゆる側面を処理できる「認証プロバイダ」です。つまり、これらは（前述のクライアントサイドに対して）よりサーバーサイドで機能するプロバイダと言えます。この定義には、Webサイトやアプリ向けにパスキーを中心とした認証ソリューションを提供する Corbado のようなソリューションも含まれます。したがって、これらのプロバイダは、前述のファーストおよび サードパーティ・パスキープロバイダ と区別するために、パスキー認証プロバイダ と表現するのがより正確でしょう。

この記事の以降のセクションでは、私たちの定義に基づき、「パスキープロバイダ」という用語はファーストおよび サードパーティ・パスキープロバイダ を指すものとして使用します。

ユーザーがさまざまな リライングパーティ でパスキーを採用し始めると、それらを効果的に管理することが重要な課題として浮上してきます。これは、1つのアカウントで複数のパスキーを使用しているユーザーにとっても同様です。リライングパーティ 側で編集や削除のためにこれらのパスキーを区別するのは複雑になりがちだからです。パスキーは利便性と安全性を提供しますが、ユーザーがパスキーの1つを紛失した場合に潜在的な問題が生じます。幸い、その場合でも別のパスキーを使って リライングパーティ のアカウントにアクセスすることは可能です。特定のパスキーを識別しやすくするために、アカウント設定画面で作成日や最終使用日などのメタデータを表示することを推奨するリソースもあります。さらに、ユーザーエージェントや クライアントヒント を活用して、作成時に自動的にパスキーに名前を付けたり分類したりすることも推奨されています。しかし、ネイティブのAndroidやiOSアプリ、およびサードパーティ・パスキープロバイダによっては、ユーザーエージェントを使用しなかったり、サードパーティ製プロバイダによって生成されたことを示す情報を付与しなかったりする場合があります。この制限は、プラットフォームやプロバイダに関わらず、ユーザーがパスキーを効率的に管理できるような改善された手法が必要であることを浮き彫りにしています。

出典：W3C WebAuthn 仕様

このパスキー管理を容易にするために、開発者は AAGUID（Authenticator Attestation Globally Unique Identifier） を活用できます。AAGUID は、認証器（Authenticator） の特定の個体ではなく、モデルに割り当てられる一意の識別子です。これは公開鍵クレデンシャルの 認証器 データ内に埋め込まれており、リライングパーティがパスキープロバイダを識別する手段を提供します。この機能は、ユーザーとリライングパーティがパスキー環境をうまく活用し、各パスキーを作成元と正確に関連付ける上で極めて重要です。

たとえば、Android デバイス上の Google パスワードマネージャー を使用してパスキーが作成された場合、リライングパーティ は Google パスワードマネージャー に固有の AAGUID を受け取ることができます。この AAGUID を参照することで、リライングパーティ はそのパスキーを適切にマークでき、ユーザーにとって管理や識別が簡単になります。さらに、リライングパーティは WebAuthn のサーバーオプションである excludeCredentials を使用することで、同じパスキープロバイダに対して複数のパスキーを作成してしまうのを防ぐことができます。これにより、各パスキープロバイダにつき1つのパスキーのみが存在する状態を保てるため、ユーザーの混乱を避け、パスキーのUXがさらに向上します。

{
    "attestation": "none",
    "authenticatorSelection": {
        "residentKey": "preferred",
        "userVerification": "preferred"
    },
    "challenge": "6V61d0VM5bNTPxWSsrv7YKz0o4awe0ryoDh1V44RPRn6-mBQwv98BTRws6nMrBhEggGn7-tk1bl3YNSwc0oZpA",
    "excludeCredentials": [
        {
            "id": "1kBn2dmhv5JhuFxqeco1khCBCUBLlWYqZmFtdDujH5pM",
            "transports": ["internal"],
            "type": "public-key"
        }
    ],
    "extensions": {
        "credProps": true
    },
    "pubKeyCredParams": [
        {
            "alg": -7,
            "type": "public-key"
        },
        {
            "alg": -257,
            "type": "public-key"
        }
    ],
    "rp": {
        "id": "Passkey Demo",
        "name": "passkeys.eu"
    },
    "user": {
        "displayName": "Test Name",
        "id": "ZG1sdVkyVnxe3SFJsYzNR",
        "name": "Test Name"
    }
}

AAGUID を使用してパスキープロバイダを特定するために、リライングパーティは コミュニティ主導の AAGUID リポジトリ を参照できます。このリポジトリは、パスキープロバイダを名前（場合によってはアイコン）で識別するために必要なマッピング情報を提供しており、より直感的なパスキー管理インターフェースの構築に役立ちます。ただし、一部のパスキープロバイダは意図的に汎用的な AAGUID （"00000000-0000-0000-0000-0000000000000"）を使用しており、これは不明または汎用的なプロバイダを表していることに注意が必要です。

AAGUIDの取得は、多くの WebAuthn ライブラリ で簡単に行えます。たとえば、サーバーサイドで SimpleWebAuthn を使用する場合、開発者は登録情報からAAGUIDを抽出し、既知のプロバイダと照合することができます。これにより、ユーザーが自分のパスキーをより簡単に管理できるようになります（Googleの 「AAGUIDでパスキープロバイダを特定する」 より引用）。

// Import a list of AAGUIDs from a JSON file
import aaguids from "./aaguids.json" with { type: "json" };
// ...
// Use SimpleWebAuthn handy function to verify the registration request.
const { verified, registrationInfo } = await verifyRegistrationResponse({
    response: credential,
    expectedChallenge,
    expectedOrigin,
    expectedRPID,
    requireUserVerification: false,
});
// ...
const { aaguid } = registrationInfo;
const provider_name = aaguids[aaguid]?.name || "Unknown";

AAGUID はパスキー管理のための強力なツールですが、その使用には注意が必要です。AAGUIDの完全性は、パスキープロバイダの真正性を検証する Attestation（構成証明） プロセスに依存しています。有効な Attestation 署名がない場合、AAGUID が操作される可能性があります。2024年3月時点で、一部のプラットフォーム上のパスキーは Attestation をサポートしていないため、その使用には慎重な検討が必要です。

以下に、一般的なOSバージョンとブラウザを使用した Android アプリ、iOS アプリ、Web アプリ向けのファーストパーティおよびサードパーティ・パスキープロバイダのリスト（一部）を紹介します。

以下は、パスキーを作成・保存するための サードパーティ・パスキープロバイダ のポップアップ画面の一部です。

1Password の詳細な分析は こちら をご覧ください。

Dashlane の詳細な分析は こちら をご覧ください。

KeePassXC の詳細な分析は こちら をご覧ください。

パスキーの導入と管理において中心的な役割を担うのがパスキープロバイダです。彼らはパスキーの作成や管理を容易にするだけでなく、さまざまなプラットフォームやデバイス間でのシームレスな統合も保証します。

このブログ記事では、パスキープロバイダとは何か、ファーストパーティとサードパーティの違い、そして 認証器（Authenticator） Attestation Globally Unique Identifier（AAGUID）の重要な役割について理解を深めることを目的としました。議論したように、AAGUIDの使用は有望なソリューションであり、パスキーの識別と管理をより簡素化することを可能にします。

さらに、Android、iOS、Windows 向けに現在どのようなファーストパーティおよびサードパーティ・パスキープロバイダが存在するかを分析しました。これは、ユーザーが自分に適したサードパーティ・パスキープロバイダや好みのデバイスを見つけるのにも役立ちます。

開発者やプロダクトマネージャーにとって、パスキープロバイダとその管理に関する洞察は、パスキー認証の技術的な実装を導くだけでなく、ユーザー体験とセキュリティを向上させるというより大きな目標とも一致するものです。