パスキー

パスキーとは

パスキー (Passkeys) とは、パスワードに代わる新しい認証方式で、FIDO2/WebAuthn 標準に基づいています。スマートフォンの指紋認証や顔認証、PC の Windows Hello などの生体認証を使って、Web サイトやアプリにログインできます。

パスキーの核心は公開鍵暗号方式です。サービスに登録すると、端末内に秘密鍵が、サーバー側に公開鍵が保存されます。ログイン時は端末が秘密鍵で署名を生成し、サーバーが公開鍵で検証します。パスワードのような「共有の秘密」がネットワーク上を流れないため、フィッシングや情報漏洩に対して根本的に強い設計です。

パスキーがパスワードより安全な理由

• フィッシング耐性: パスキーは認証時にドメインを検証します。正規サイトで作成したパスキーはフィッシングサイトでは動作しないため、偽サイトに認証情報を入力してしまう事故が原理的に起きません。
• 漏洩リスクの排除: サーバーに保存されるのは公開鍵のみです。サーバーが侵害されても、公開鍵からパスキーを再現することは暗号学的に不可能です。クレデンシャルスタッフィング攻撃も成立しません。
• 推測不可能: パスキーは暗号学的に生成された鍵ペアであり、ブルートフォース攻撃で推測することは事実上不可能です。
• 使い回しの問題がない: パスキーはサービスごとに固有の鍵ペアが生成されるため、1 つのサービスが侵害されても他のサービスには影響しません。

パスキーの同期と管理

パスキーには「デバイス固定型」と「同期型」の 2 種類があります。

デバイス固定型は、セキュリティキー (YubiKey 等) のように特定のハードウェアに紐づき、外部にコピーできません。最も安全ですが、デバイスを紛失するとアクセスできなくなります。

同期型パスキーは、Apple の iCloud キーチェーン、Google パスワードマネージャー、パスワードマネージャー (1Password、Bitwarden 等) を通じて複数のデバイス間で同期されます。利便性が高く、端末の紛失時にも別の端末からアクセスできます。

同期型パスキーのセキュリティは、同期先のアカウント (Apple ID、Google アカウント等) のセキュリティに依存します。同期先のアカウントには必ず強力な二要素認証を設定してください。

対応状況と移行のポイント

2026 年現在、パスキーは急速に普及しています。Google、Apple、Microsoft、Amazon、GitHub、PayPal など主要サービスが対応済みです。

パスキーへの移行は段階的に進めるのが現実的です。

1. まず、最も重要なアカウント (メール、金融、クラウドストレージ) にパスキーを設定する
2. パスキー設定後も、しばらくはパスワード + 2FA をバックアップ手段として残す
3. パスキーの運用に慣れたら、対応サービスを順次拡大する
4. パスワードマネージャーでパスキーを一元管理すると、複数デバイスでの利用がスムーズ

パスキー非対応のサービスでは、引き続きパスワードマネージャーで生成した強力なパスワードと 2FA の組み合わせが最善策です。

FIDO2/WebAuthn の技術的な仕組みとクロスデバイス認証

パスキーの基盤である FIDO2 は、WebAuthn (Web Authentication API) と CTAP (Client to Authenticator Protocol) の 2 つの仕様で構成されています。

登録フロー: ユーザーがパスキーを作成すると、ブラウザの WebAuthn API がオーセンティケーター (端末の生体認証モジュールやセキュリティキー) に鍵ペアの生成を要求します。オーセンティケーターは秘密鍵を安全な領域 (TPM、Secure Enclave) に保存し、公開鍵をサーバーに送信します。このとき、サービスのオリジン (ドメイン) が鍵に紐づけられます。

認証フロー: サーバーがランダムなチャレンジ (ナンス) を生成してブラウザに送信します。ブラウザは WebAuthn API 経由でオーセンティケーターにチャレンジを渡し、ユーザーが生体認証で本人確認を行うと、秘密鍵でチャレンジに署名します。サーバーは保存済みの公開鍵で署名を検証し、認証が完了します。パスワードのような秘密情報がネットワーク上を流れることは一切ありません。

クロスデバイス認証 (ハイブリッドトランスポート): PC でログインしたいがパスキーがスマートフォンにある場合、CTAP 2.2 のハイブリッドトランスポートが使えます。PC の画面に QR コードが表示され、スマートフォンで読み取ると Bluetooth Low Energy (BLE) 経由で近接確認が行われ、スマートフォン上の生体認証で PC のログインが完了します。

プラットフォーム別の対応状況: iOS 16 以降と macOS Ventura 以降は iCloud キーチェーンでパスキーを同期します。Android は Google パスワードマネージャーが対応し、Chrome と連携します。Windows は Windows Hello がデバイス固定型パスキーを提供し、同期型パスキーは 1Password や Bitwarden などのサードパーティ製パスワードマネージャーで対応します。Linux は現時点ではブラウザ経由のセキュリティキー対応が中心です。

組織での移行戦略: 企業がパスワードからパスキーに移行する場合、全社一斉切り替えではなく段階的なアプローチが有効です。まず IT 部門やセキュリティチームでパイロット導入し、運用上の課題を洗い出します。次に、パスキーとパスワードの併用期間を設け、ユーザーが自分のペースで移行できるようにします。最終的にパスキー必須化に移行しますが、セキュリティキーによるバックアップ手段は必ず残してください。

よくある誤解

パスキーは生体情報をサーバーに送信している

生体認証はデバイス内で完結し、指紋や顔のデータがサーバーに送信されることはありません。生体認証はデバイス内の秘密鍵へのアクセスを許可するためだけに使われます。

パスキーを設定したらスマートフォンを紛失するとログインできなくなる

同期型パスキーは iCloud キーチェーンや Google パスワードマネージャーを通じてクラウドにバックアップされます。新しい端末でアカウントにログインすれば、パスキーが復元されます。

パスキーとパスワード + 2FA の違い

関連用語

関連記事