パスキーとは?パスワードレス認証の仕組みと導入方法

最終更新: 2026-02-25

この記事は約 8 分で読めます

パスキーとは何か

パスキー (Passkeys) は、パスワードに代わる次世代の認証技術です。FIDO Alliance と W3C が策定した FIDO2/WebAuthn 標準に基づき、公開鍵暗号方式を利用してユーザーを認証します。パスワードのように「知識」に依存するのではなく、デバイスに保存された秘密鍵と生体認証 (指紋・顔認証) やデバイス PIN を組み合わせることで、安全かつ簡便なログインを実現します。

2022 年に Apple、Google、Microsoft の 3 社がパスキーの共同サポートを発表して以降、対応サービスは急速に拡大しています。2025 年時点で、主要な Web サービスの多くがパスキーによるログインをサポートしており、パスワード管理の煩雑さから解放される時代が到来しつつあります。

パスキーの仕組み

公開鍵暗号方式による認証

パスキーの核心は、公開鍵暗号方式にあります。アカウント登録時に、デバイス上で公開鍵と秘密鍵のペアが生成されます。公開鍵はサービス側のサーバーに送信・保存され、秘密鍵はデバイス内のセキュアな領域 (TPM、Secure Enclave など) に保管されます。この秘密鍵の保護には、デバイス暗号化で用いられるセキュアエンクレーブと同様のハードウェアレベルのセキュリティ機構が活用されています。

  1. ユーザーがログインを要求すると、サーバーがランダムなチャレンジ (認証要求) を送信する
  2. デバイスが生体認証または PIN でユーザーを確認する
  3. 確認後、秘密鍵でチャレンジに署名し、署名をサーバーに返送する
  4. サーバーが保存済みの公開鍵で署名を検証し、認証が完了する

WebAuthn と CTAP

パスキーは 2 つの主要な技術仕様で構成されています。

  • WebAuthn (Web Authentication API):ブラウザと Web サービス間の認証プロトコル。JavaScript API を通じて、Web サイトがパスキーの作成・使用を要求できる
  • CTAP (Client to Authenticator Protocol):ブラウザとデバイス (認証器) 間の通信プロトコル。USB、NFC、Bluetooth を介した外部認証器との連携を可能にする

パスワードとの根本的な違い

パスワードはサーバーとユーザーの双方が同じ「秘密」を共有する仕組みです。この共有秘密モデルには、サーバー側のデータ漏洩、クレデンシャルスタッフィング攻撃フィッシングなど、多くの脆弱性が存在します。パスキーでは秘密鍵がデバイスから外に出ることがないため、これらの攻撃が原理的に成立しません。

パスキーのセキュリティ上の利点

フィッシング耐性

パスキーは、登録時のドメイン (オリジン) に紐づけられます。偽サイトのドメインでは秘密鍵が使用されないため、フィッシング攻撃に対して原理的に耐性があります。ユーザーが偽サイトにアクセスしても、パスキーの認証プロセスは自動的に失敗します。

サーバー侵害への耐性

サーバーに保存されるのは公開鍵のみです。仮にサーバーがハッキングされ、公開鍵が流出しても、秘密鍵なしではログインできません。デジタル ID の窃取リスクが大幅に低減されます。

リプレイ攻撃への耐性

認証のたびに一意のチャレンジが生成されるため、過去の認証データを再利用するリプレイ攻撃は成立しません。

パスワード関連の脅威の排除

  • ブルートフォース攻撃:推測すべきパスワードが存在しない
  • 辞書攻撃:辞書に載る「弱いパスワード」という概念自体がない
  • クレデンシャルスタッフィング:流出したパスワードの使い回しが不可能
  • キーロガー:入力するパスワードが存在しないため、キーストロークの記録は無意味

主要プラットフォームでのパスキー設定

Apple (iPhone / iPad / Mac)

Apple は iCloud キーチェーンを通じてパスキーを同期します。iOS 16 以降、macOS Ventura 以降で利用可能です。

  1. 対応サイトでアカウント設定画面を開く
  2. 「パスキーを追加」または「セキュリティキーを設定」を選択する
  3. Face ID または Touch ID で認証する
  4. パスキーが iCloud キーチェーンに保存され、同じ Apple ID のすべてのデバイスで利用可能になる

Google (Android / Chrome)

Google は Google パスワードマネージャーを通じてパスキーを管理します。Android 9 以降、Chrome 118 以降で対応しています。

  1. 対応サイトでパスキーの設定を開始する
  2. 指紋認証、顔認証、または画面ロック PIN で認証する
  3. パスキーが Google アカウントに同期され、同じアカウントの Android デバイスと Chrome で利用可能になる

Microsoft (Windows)

Windows 11 では Windows Hello を通じてパスキーを利用できます。2025 年のアップデートで、Microsoft アカウントへのパスキー同期もサポートされました。

  1. 対応サイトでパスキーの作成を選択する
  2. Windows Hello (顔認証、指紋、PIN) で認証する
  3. パスキーが Windows の資格情報マネージャーに保存される

サードパーティパスワードマネージャー

1Password、Bitwarden、Dashlane などの主要パスワードマネージャーもパスキーの保存・同期に対応しています。プラットフォームを跨いだパスキーの利用には、これらのサードパーティ製品が便利です。パスキーの技術的背景をより深く理解したい方には、パスワードレス認証の入門書が参考になります。

パスキー対応サービスの現状 (2025-2026 年)

パスキーに対応するサービスは急速に増加しています。以下は主要な対応サービスの一覧です。

大手テクノロジー企業

  • Google:Google アカウント全体でパスキーをデフォルトの認証方法として推奨
  • Apple:Apple ID、iCloud、App Store でパスキーをサポート
  • Microsoft:Microsoft アカウント、Microsoft 365 でパスキーに対応
  • Amazon:ショッピングおよび AWS コンソールでパスキーをサポート

SNS・コミュニケーション

  • GitHub、X (旧 Twitter)、LinkedIn、WhatsApp、PayPal

金融・決済

  • PayPal、Stripe、一部の銀行・証券会社
  • 日本国内では、Yahoo! JAPAN が先駆的にパスキーを導入し、2025 年時点で 5,000 万以上のアカウントがパスキーを利用

従来の 2 要素認証との比較

2 要素認証 (2FA) は、パスワードに加えて追加の認証要素を要求することでセキュリティを強化します。しかし、SMS ベースの 2FA は SIM スワップ攻撃に脆弱であり、TOTP (時間ベースのワンタイムパスワード) もフィッシングサイトに入力してしまうリスクがあります。パスキーはこれらの問題を根本的に解決し、単一の操作で多要素認証と同等以上のセキュリティを提供します。

パスキーの課題と注意点

デバイス紛失時のリカバリ

パスキーはデバイスに紐づくため、すべてのデバイスを紛失した場合のアカウント復旧が課題となります。クラウド同期 (iCloud キーチェーン、Google パスワードマネージャー) を利用していれば、新しいデバイスでの復旧は容易ですが、同期を利用していない場合は別途リカバリ手段を確保しておく必要があります。クラウド同期を利用する場合は、クラウドストレージのセキュリティにも注意を払い、同期先アカウント自体の保護を徹底することが重要です。

クロスプラットフォームの課題

Apple、Google、Microsoft のエコシステム間でのパスキー共有は、2025 年時点でもまだ完全ではありません。異なるプラットフォーム間でパスキーを利用するには、QR コードを使った近接認証や、サードパーティのパスワードマネージャーを利用する必要があります。

対応サービスの限定

パスキーの普及は進んでいますが、すべての Web サービスが対応しているわけではありません。当面はパスキーと従来のパスワード + 2FA を併用する過渡期が続きます。

共有アカウントの扱い

家族やチームで共有するアカウントでは、パスキーの利用が複雑になる場合があります。各メンバーが個別のパスキーを登録するか、パスワードマネージャーの共有機能を利用する必要があります。

2025-2026 年の最新動向

パスキーの普及加速

FIDO Alliance の報告によると、2026 年 3 月時点でパスキーに対応する Web サイトは 200 万を超え、月間のパスキー認証回数は 150 億回を突破しています。特に EC サイトや金融サービスでの導入が加速しており、パスワードレス認証が主流になりつつあります。Google は 2025 年後半に新規アカウント作成時のデフォルト認証方式をパスキーに切り替え、Apple も iCloud アカウントのパスキー優先化を進めています。

同期プロトコルの標準化 (CXP/CXF)

FIDO Alliance は 2025 年に Credential Exchange Protocol (CXP) および Credential Exchange Format (CXF) の仕様を策定し、2026 年初頭に正式公開しました。CXP/CXF は、異なるパスワードマネージャーやプラットフォーム間でパスキーを安全に移行するための標準プロトコルです。これにより、Apple のエコシステムから Google のエコシステムへ、あるいは 1Password から Bitwarden へといったパスキーの移行が、暗号化された安全な経路を通じて実現可能になりました。

パスキーのエクスポート・インポート機能

CXP/CXF の標準化を受けて、主要なパスワードマネージャーとプラットフォームがパスキーのエクスポート・インポート機能を実装し始めています。2026 年 3 月時点で、1Password、Bitwarden、Dashlane が CXF 形式でのパスキーエクスポートに対応し、Google パスワードマネージャーと Apple iCloud キーチェーンも対応を進めています。この機能により、ユーザーはベンダーロックインを回避し、自由にパスキー管理ツールを選択・変更できるようになりました。

日本の銀行・金融機関でのパスキー導入

日本国内の金融機関におけるパスキー導入は 2025 年後半から急速に進展しました。三菱 UFJ 銀行、三井住友銀行、みずほ銀行のメガバンク 3 行がオンラインバンキングでのパスキー認証を導入し、SBI 証券や楽天証券などのネット証券もパスキー対応を完了しています。全国銀行協会は 2025 年 12 月にパスキー導入ガイドラインを公表し、地方銀行や信用金庫への普及を推進しています。2026 年 3 月時点で、国内の主要金融機関の約 7 割がパスキー認証を提供しており、フィッシング被害の大幅な減少が報告されています。

パスキーとマイナンバーカードの連携

デジタル庁が推進するマイナンバーカードとパスキーの連携は、2026 年に具体的な成果を見せています。2025 年 10 月に「マイナンバーカード電子証明書搭載スマートフォン」の対応機種が大幅に拡大し、Android および iPhone の主要モデルでマイナンバーカードの電子証明書をスマートフォンに搭載できるようになりました。これにより、マイナンバーカードの本人確認機能とパスキーを組み合わせた高信頼性の認証フローが実現し、行政手続きのオンライン化が加速しています。マイナポータルではパスキーによるログインが標準化され、確定申告や各種届出のオンライン完結率が大幅に向上しました。

FIDO2 Level 3 認定の動向

FIDO Alliance は 2025 年に FIDO2 Level 3 認定プログラムを正式に開始しました。Level 3 認定は、ハードウェアレベルでの鍵保護、サイドチャネル攻撃への耐性、物理的な改ざん検知など、より高度なセキュリティ要件を満たす認証器に付与されます。2026 年 3 月時点で、YubiKey 6 シリーズや Google Titan Security Key の最新モデルが Level 3 認定を取得しています。金融機関や政府機関など、高いセキュリティレベルが求められる環境では、Level 3 認定デバイスの利用が推奨されるようになっています。

Credential Manager API の標準化

W3C は Credential Management API の拡張を進めており、パスキーの作成・管理をより直感的に行えるようになっています。2025 年から 2026 年にかけて、ブラウザのオートフィル機能とパスキーの統合がさらに進み、ユーザーはパスワード入力欄でパスキーを選択するだけでログインできるようになりました。条件付き UI (Conditional UI) の普及により、パスキー対応サイトではログインフォームにアクセスした時点で利用可能なパスキーが自動的に提示される体験が標準化されています。

企業向けパスキー管理

企業の IT 管理者向けに、パスキーの一括管理・ポリシー設定機能が充実してきています。Microsoft Entra ID、Google Workspace、Okta などの ID プロバイダがパスキーの管理機能を強化し、企業全体でのパスワードレス移行を支援しています。2026 年には、デバイスバウンドパスキーと同期パスキーの使い分けポリシーや、部門ごとの認証強度要件の設定など、きめ細かな管理機能が提供されるようになりました。企業の認証基盤設計については、ID 管理と認証基盤の参考書も参照してください。

パスキー移行の実践チェックリスト

パスワードからパスキーへの移行を段階的に進めるために、以下の手順を実施してください。

  1. 現在使用しているアカウントのうち、パスキーに対応しているサービスを確認する (passkeys.directory で検索可能)
  2. 最も重要なアカウント (メール、銀行、SNS) から優先的にパスキーを設定する
  3. パスキー未対応のサービスでは、強力なパスワード2 要素認証を設定する
  4. パスキーのクラウド同期を有効にし、デバイス紛失時のリカバリ手段を確保する
  5. サードパーティのパスワードマネージャーを導入し、クロスプラットフォームでのパスキー利用を可能にする
  6. デジタル ID の保護状況を定期的に確認し、不審なログイン履歴がないかチェックする
  7. 家族や同僚にもパスキーの利用を推奨し、組織全体のセキュリティレベルを向上させる

まとめ

パスキーは、パスワードが抱える根本的な脆弱性を解消する次世代の認証技術です。フィッシング耐性、サーバー侵害への耐性、使いやすさの 3 点で従来のパスワード + 2FA を大きく上回ります。対応サービスは急速に拡大しており、今こそパスキーへの移行を始める最適なタイミングです。まずは最も重要なアカウントからパスキーを設定し、段階的にパスワードレスな環境を構築していきましょう。パスキーへの移行と併せて、IP 確認さんのセキュリティチェックで現在のブラウザやネットワークのセキュリティ状態を確認しておくこともおすすめです。

この記事で登場した専門用語の意味を確認したい場合は、用語集もご活用ください。

共有する
B!

関連記事

パスワードセキュリティ:強いパスワードの作り方と管理方法

安全なパスワードの条件、パスワードマネージャーの活用法、パスワード漏洩の確認方法、よくある間違いを解説します。

二要素認証 (2FA) とは?アカウントを守る最強の防御策

二要素認証の仕組み、種類 (SMS ・ TOTP ・ FIDO2)、設定方法、そしてなぜパスワードだけでは不十分なのかを解説します。

クレデンシャルスタッフィング攻撃:パスワード使い回しが招く危険

流出した認証情報を悪用するクレデンシャルスタッフィング攻撃の仕組みと、被害を防ぐための具体的な対策を解説します。