ヤフーが「パスワード」と“決別”する本当の狙い

　ヤフーは4月20日、Yahoo! JAPANが提供する各サービスでパスワードを使わないログイン方法の導入を開始した。この第1弾として、iOS版「Yahoo!パートナー」アプリにおいて、スマートフォンなどのSMS（ショートメッセージサービス）を使って本人確認する方法を採用した。今後は生体認証によるログインなども検討していくという。

　国内最大のポータルサイトを運営するヤフーがしたこの決断は、少なからず他社の動きにも影響をおよぼすだろう。なぜ同社は、長年にわたり採用してきたパスワードでのログインと“決別”するのか。プロジェクト担当者であるヤフー IDサービス統括本部IDソリューション本部の森健氏、渡邉康平氏、酒井公希氏の3人にその真意を聞いた。

ヤフー IDサービス統括本部IDソリューション本部 本部長の森健氏（右）、同開発部開発3 リーダーの渡邉康平氏（中央）、同企画部企画2の酒井公希氏（左）

「パスワードは忘れてしまう」問題を解決

　「Yahoo!メール」や「Yahoo!ショッピング」「ヤフオク!」などのサービスを利用するには、Yahoo! JAPAN IDとパスワードによるログインが必要になる。これはユーザーとアカウント情報を紐づけて各サービスを最適化し、より便利に利用してもらうためのものだが、ヤフーによれば、ユーザーのパスワード忘れによって、なんと1日に約1万5000件ものパスワード再設定が行われているという。

　同社では、一般的なメールアドレスや携帯電話番号に加えて、クレジットカード番号やTポイントなど、幅広い本人確認手段を用意することで、パスワードを忘れた人を“救う”方法を増やしてきたが、「そもそもパスワードを忘れてしまう人が多いという課題への対応ではなかった」と酒井氏は話す。また、他サイトなどから入手したIDとパスワードを組み合わせた、第三者による不正ログインのリスクもあることから、数年前からパスワード以外のログイン方法を模索していたという。

Yahoo! JAPANの各サービスを利用するにはIDとパスワードが必要になる

　そこで新たに導入したのが、スマートフォンなどのSMSを使った本人確認。この方法では、従来と異なりそもそもパスワードを発行せず、携帯電話番号とつど送信される6桁の確認コードを入力することでログインする。また、Yahoo! JAPAN IDを新規作成する際は、携帯電話番号を入力後、SMSで送信される確認コードを入力し、メールアドレスなどを登録するだけで作成できるという。

　酒井氏は、GoogleやFacebookなど他社のログイン方法も参考にした上で、最終的にSMSを選んだと話す。「いまは（ID・パスワードと組み合わせた）2段階認証でSMSを使うのが主流だが、それで安全になったとしても、結局使ってもらえなかったら意味がない。使いやすいギリギリのラインを検討した結果、今回の方法に振り切った」（酒井氏）。

　また、セキュリティの側面について渡邉氏は、「その人自身の端末を使用する所有認証にすることで本人確認の精度を上げられるほか、パスワードが漏れるといったリスクもない」と説明する。中古のスマートフォンなどを利用する際には、SMS認証のタイミングで契約者が変わったかどうかの確認をシステム上でしているため誤認証の心配もないとした。

　「記憶に頼ると覚えていられるパスワードは1～2種類。そのため使い回している人も多く、第三者が知り得る情報のためリスクがある。（他の認証方法によって）その人が本人だとヤフー側が理解でき、最適な“おもてなし”ができるのであれば、パスワードはなくてもいいと思っている」（森氏）。

　対応サービスの第1弾として、iOS版「Yahoo!パートナー」アプリでこのログイン方法を利用した新規Yahoo! JAPAN IDの登録を可能にした。6月までに「Yahoo!乗換案内」アプリ、「Yahoo!天気」アプリでも導入する予定で、2017年内に「ヤフオク!」アプリや「Yahoo!ショッピング」アプリなどの主要iOSアプリにも順次導入する。また、Android版アプリや、PC版などにも対応する予定だという。

「Yahoo!パートナー」

　ところで今回のログイン方法は、スマートフォンユーザーを前提としたものだが、ヤフーにはPCユーザーも多い。この点については、「これを機にパスワード利用者を減らしていきたいが、当面は選択肢の一つとしてIDとパスワードによるログイン方法も残す」（酒井氏）という。

IoT時代を見据えた「生体認証」

　今回のSMSによるログインは、パスワード忘れや不正アクセスの防止を目的とした施策だが、本当の狙いは別のところにある。キーワードは「IoT」だと森氏は話す。「PCやスマホからIoTの時代に移っても、ものに対していちいちIDとパスワードを入れるのか。家に帰ったり、車に乗ったりした瞬間に、自分仕様にカスタマイズされているほうが、お客様に必ずいい体験を提供できる」（森氏）。

　そこで次に活用しようとしているが「生体認証」だ。指紋や虹彩、声紋など、複数の認証キーを使って、IDやパスワードを入力することなくログインできる仕組みを作ろうとしているという。「まずはスマホのタッチIDで認証した結果を公開鍵暗号方式で暗号化して、生体認証プラス所有認証でログインさせる仕組みの導入を検討している」（酒井氏）。ただし、実装時期については生体認証端末の普及状況によって変わるとした。

　「10年もしないうちに、1人でIoTデバイスを5～6個持つようになる。その時代がくる前に、1人でも多くのお客様のデータを預かり、守り、新しい時代がきた時にすぐにお客様にお渡しできる準備を今のうちからしておく必要がある」（森氏）。

　PC時代には“王者”だったヤフーだが、スマホ時代にはLINEやFacebookなどの強力なライバルが現れ、その地位を脅かした。今回のパスワードログインとの決別は、来たるべきIoT時代に先手を取るための大きな一歩と言えそうだ。