初期登録フローの設計
パスキー導入で重要なのは、登録ボタンよりも初期登録フローです。既存ID・パスワード、メール認証、SMS認証、OTP認証などを組み合わせた本人確認フローも別途ご相談いただけます。
Why Push!Passkey
パスキー認証は、単に「顔認証ボタン」や「指紋認証ボタン」を設置するだけではありません。 自社サイトに直接実装する場合、ログイン周辺の幅広い設計が必要になります。
Solution
Push!Passkeyは、既存の会員サイトや業務システムに、パスキー認証を追加するためのAPIサービスです お客様の既存サイトからPush!Passkeyの認証画面へ連携し、パスキー登録・認証を行います。
認証結果はAPIを通じて既存サイトへ返されるため、既存のログインDBや会員管理の仕組みを大きく作り替えずに導入できます。
Push!Passkeyでは、パスキー認証のRPは当社ドメインとなります。 自社ドメイン内にFIDO2/WebAuthnを直接実装する方式ではなく、当社の認証ドメインでパスキー認証を行い、その結果を既存サイトへ連携する方式です。
Comparison
Features
パスキー導入で重要なのは、登録ボタンよりも初期登録フローです。既存ID・パスワード、メール認証、SMS認証、OTP認証などを組み合わせた本人確認フローも別途ご相談いただけます。
メールアドレス変更、口座情報変更、管理者権限変更、退会処理など、重要操作時の追加本人確認にも利用できます。全面導入の前に、重要操作から始めることも可能です。
API接続ログ、認証成功・失敗ログ、利用者別の登録状況、最終認証日時などを管理サイトで確認できます。導入して終わりではなく、運用状況を見ながら管理できます。
Passkey Basics
パスキーは、公開鍵暗号を使った認証の仕組みです。顔認証、指紋認証、PINは、端末内に保存された秘密鍵を利用するための本人確認手段です。
つまり、パスキーは「顔でログインする仕組み」ではなく、端末に保存された秘密鍵を、本人確認のうえで安全に利用する認証方式です。
カメラや指紋センサーがないPCでも、OSやブラウザが対応していれば、PINによる本人確認でパスキーを利用できる場合があります。
Device
Push!Passkeyでは、FIDO2/WebAuthnに基づくパスキー認証を利用します。 利用者の環境によっては、iCloudキーチェーン、Googleパスワードマネージャー、Microsoftアカウントなどを通じて、複数端末で同期されるパスキーを利用できます。
対応カメラや指紋デバイス非搭載PCでもOSが対応していればPINによる本人確認で利用できます。
顔認証・指紋認証・PINなど、端末の本人確認を利用します。
PC画面からスマートフォン側のパスキーを使う認証にも対応できます。
同期パスキーを利用している場合、別端末からログインできる場合があります。
※利用可否はOS、ブラウザ、アカウント設定、同期状態により異なります。導入時に利用者環境を確認することをおすすめします。
Use Case
既存ログインをすぐに置き換えるのではなく、まずは重要操作時の追加確認から導入することも可能です。
Security Trend
近年、金融機関、証券会社、オンラインバンクなどでは、フィッシング被害への対策として、より強い本人確認の導入が進んでいます。 金融庁、警察庁、金融業界においても、フィッシング耐性のある多要素認証の重要性が周知されています。 すべてのサイトで一律に必須という話ではありませんが、重要情報を扱う会員サイトでは、早めに対応を検討する価値があります。
Sample Code
既存サイトへ接続しやすいように、各種開発環境向けのサンプルコードを提供予定です。契約時に発行されるAPIキーなどの接続情報を反映することで、接続テストを始められます。
※提供範囲は順次拡充予定です。詳細はリリース時点の提供状況をご確認ください。
Flow
既存ログイン方式、会員DB、本人確認方法、導入目的を確認します。
ログインに使うのか、重要操作時の再確認に使うのか、初期登録フローを整理します。
お客様の開発環境に合わせて、接続サンプルコードを提供します。
契約時に発行されるAPIキーなどの接続情報を反映します。
登録、認証、認証結果の受け取り、エラー時の戻り先を確認します。
専用管理サイトで、登録状況や認証ログを確認しながら運用できます。
Management
Push!Passkeyでは、認証の接続状況や利用状況を専用管理サイトで確認できます。導入して終わりではなく、運用後も状態を見ながら管理できます。
FAQ
はい、可能です。ただし、FIDO2/WebAuthnの仕様理解、フロントエンド実装、バックエンド実装、公開鍵管理、DB設計、初期登録フロー、端末紛失時の復旧設計など、幅広い対応が必要になります。Push!Passkeyは、その実装負担を軽減するためのAPIサービスです。
必ずしも大きく作り替える必要はありません。既存のID・パスワード認証や会員DBを残したまま、Push!Passkeyの認証結果をAPIで受け取り、ログインや重要操作時の本人確認に利用できます。
Push!Passkeyでは、RPは当社ドメインとなります。自社ドメインに直接FIDO2/WebAuthnを実装する方式ではなく、当社認証ドメインでパスキー登録・認証を行い、その結果を既存サイトへ連携する方式です。
利用者のOS、ブラウザ、端末環境によりますが、PINによる本人確認で利用できる場合があります。パスキーは顔認証や指紋認証そのものではなく、端末内の秘密鍵を本人確認のうえで利用する認証方式です。
同期パスキーを利用している場合、別の端末からログインできる場合があります。ただし、利用可否はOS、ブラウザ、アカウント設定、同期状態により異なります。導入時には、端末紛失時や機種変更時の復旧フローも含めて設計することをおすすめします。
はい。メールアドレス変更、口座情報変更、管理者権限変更、退会処理、高額決済前の確認など、ログイン後の重要操作時の再認証にも利用できます。
既存ログイン後に、メール認証、SMS認証、OTP認証などを組み合わせて本人確認を行い、その後にパスキー登録へ進む流れが考えられます。Push!Passkeyでは、登録前の本人確認フローについても別途ご相談いただけます。
はい。既存ログイン方式、会員DB、本人確認方法、導入目的を確認したうえで、導入方法をご提案します。まずはお問い合わせフォームまたはお電話でご相談ください。
Contact
パスキーは、自社でも実装できます。
しかし、仕様理解、登録フロー、端末対応、復旧設計、運用管理まで含めると、想像以上に広い範囲の設計が必要です。
Inquiry Form
Push!Passkeyの導入相談、資料請求、既存サイトへの接続可否について、お気軽にご相談ください。