開発中のTOTP認証プラグインとパスキー認証プラグインのご紹介

現在、PowerCMS X管理画面の認証を強化するために2つのプラグインをリリースに向けて鋭意準備中です。

TOTP認証プラグイン

1つ目はTOTP（Time-based One-Time Password）認証機能を提供する「TOTP Authenticator」プラグインです。お客様から対応してほしいとの声を頂き開発したものです。下記画面キャプチャのようにスマートフォンにインストールした認証アプリに6桁の数字が表示され、アプリケーションへのログイン時にその数字を入力すると認証完了となるものです。

PowerCMS Xでは各ユーザーのプロフィール設定画面から二要素認証（TOTP）の設定画面に遷移するとQRコードが表示されたセットアップ画面が表示されます。

二要素認証設定済みのユーザーがユーザー名とパスワードを利用してログインする際、認証コード入力画面が表示されることでより強力に本人確認ができるようになります。

動作確認済の認証アプリケーションは下記です。

• Google Authenticator
• Microsoft Authenticator
• Okta Verify
• Twilio Authy
• 1Password

二要素認証を設定していないユーザーには管理画面の操作を許可しない設定等も用意しております。

パスキー認証プラグイン

2つ目はパスキー（WebAuthn）での認証機能を提供する「Passkey Authentication」プラグインです。以前から私がパスワードレス認証に興味を持ち、ずっと実現してみたいと考えていたものです。今年、多数の証券会社で口座の乗っ取り事件が発生したことにより急速に導入が進んでいる認証方式です。

パスキー認証はパスワードを使わず、生体情報（指紋や顔認証）やデバイスのPINなどで本人確認を行います。秘密鍵は端末内に、そしてサーバーには公開鍵のみが登録されるため、パスワード漏洩やフィッシング攻撃のリスクを大幅に軽減できます。また、ユーザーは複雑なパスワードの作成・管理・入力が不要になり、利便性が向上します。

例えばMacだと下記のように「Touch IDを使用してサインインしますか？」というメッセージが出てきて、指紋認証を行うとログインが完了します。

生体認証が用意されていない端末では「YubiKey」のようなセキュリティキーを利用することも可能です。興味があり個人で購入してみました。

YubiKeyをWindows PCに挿してみると、PowerCMS Xログイン画面で認証ダイアログが表示され認証処理が行われました。

まとめにかえて

ご紹介した2つのプラグインで管理画面の認証が強化され、より安心してコンテンツの管理ができるようになればと願っております。

最後になりましたが、社外のみなさまにも「PowerCMS X Advent Calendar 2025」にご参加いただきましてありがとうございました。2026年もお客様の声に耳を傾けながらよりよいPowerCMS Xが提供できるよう努めてまいりますので、何卒よろしくお願いいたします。

カテゴリー：プラグイン

投稿者：安倍