パスキーとは？仕組みやパスワードとの違いをわかりやすく解説

パスキーが登場した背景

パスキーが登場した背景には、パスワード認証の限界があります。「複数のサービスで同じパスワードを使い回す」「推測されやすい簡単なパスワードを設定してしまう」といった人間の行動特性が、不正アクセスやアカウント乗っ取りの温床となってきました。加えて、サービス側のデータベースが不正侵入を受けてパスワードが大量流出するケースも後を絶ちません。

こうした状況を打開すべく、2022年5月にApple・Google・Microsoftの3社がFIDO2規格への対応拡大を共同で発表しました。この発表を機に主要プラットフォームやブラウザが一斉にパスキーへの対応を進め、業界全体での普及が加速しました。スマートフォンやPCで日常的にパスキーを使える環境が整いつつあるのは、こうした業界の連携があってのことです。

参考：FIDO「Apple, Google and Microsoft Commit to Expanded Support for FIDO Standard to Accelerate Availability of Passwordless Sign-Ins」

パスキーの仕組み

パスキーは「公開鍵暗号方式」という技術をベースにしています。少し専門的に聞こえますが、仕組みはシンプルです。パスキーを登録・利用する流れは以下の通りです。

1. 【登録時】サービスに初めてパスキーを登録すると、デバイス内に「秘密鍵」が、サービスのサーバーに「公開鍵」が保存される
2. 【ログイン時】サービスが認証要求（チャレンジ）をデバイスに送信する
3. 【認証】デバイス上で生体認証またはPINを使い、秘密鍵で署名を作成して返送する
4. 【照合】サービス側が公開鍵で署名を検証し、本人確認が完了する

最大のポイントは、秘密鍵がデバイスの外に出ることは一切ないという点です。サーバー側には公開鍵しかなく、それだけでは不正ログインに悪用できません。仮にサービスのデータベースが攻撃を受けても、認証情報が漏えいするリスクが極めて低い設計になっています。

参考：W3C「Web Authentication:An API for accessing Public Key Credentials Level 2」

パスワードとの違い

パスワード認証とパスキー認証の主な違いを以下の表で整理します。パスキーがいかにセキュリティ面・利便性面で優れているかがわかります。

パスワードは「知識情報」を入力する認証ですが、パスキーは「デバイスを持っていること＋生体認証」による認証です。操作の観点では「入力する」から「認証する」へと根本的に変わります。

1.使い回しによるリスク

「パスワードを複数のサービスで使い回している」という経験はないでしょうか。総務省の「国民のためのサイバーセキュリティサイト」によれば、パスワードの使い回しは不正アクセス被害の主要な原因のひとつとして挙げられています。一つのサービスから情報が漏えいすると、攻撃者が同じID・パスワードの組み合わせで他のサービスへの不正ログインを試みる「リスト型攻撃」が発生します。

たとえば、ネットショッピングサービスで使い回していたパスワードが漏えいした場合、同じパスワードを設定していたオンラインバンキングにも不正アクセスされる危険があります。パスワードの使い回しは「1か所の被害が全体に波及する」という連鎖リスクをはらんでいます。パスキーであればパスワード自体が存在しないため、この連鎖リスクはゼロになります。

参考：総務省「 国民のためのサイバーセキュリティサイト」

2.フィッシング詐欺や不正アクセスの被害

フィッシング詐欺とは、実在する企業やサービスのメールやSMSを装い、偽サイトへ誘導してIDやパスワード・クレジットカード情報を盗み取る攻撃手法です。フィッシング対策協議会の報告によると、2024年のフィッシング報告件数は2024年1〜11月の累計だけで148万件超と、過去最多を更新しています。

手口は年々巧妙化しており、実在するサービスのメールアドレス（ドメイン）をなりすまして送信する「なりすましフィッシング」が全体の約75%を占めています。メールの見た目だけでは本物と区別がつかないケースも増えており、パスワードを入力させる認証方式そのものを廃止することが根本的な対策になります。

参考：フィッシング対策協議会「 月次報告書（2024年12月）」

3.管理コストの負担

安全なパスワードの条件として「英数字記号を混在させた12文字以上」「サービスごとに異なるパスワードを設定」が推奨されますが、これを人間が記憶・管理するのは現実的ではありません。多くの人がパスワードマネージャーや手書きのメモに頼っているのが実情です。

企業側にも大きなコストが発生しています。ヘルプデスクへの問い合わせの中でパスワードリセットが占める割合は非常に高く、対応コストや業務停止時間の損失は無視できないと多くの企業が課題として挙げています。

パスキーの導入は、個人ユーザーの手間を省くだけでなく、企業の運用コスト削減にも直結する施策です。

参考：独立行政法人情報処理推進機構（IPA）「情報セキュリティ10大脅威」

フィッシング詐欺に強い

パスキーの最大のメリットは、フィッシング詐欺に対して構造的に強い点です。パスキーはサービスのドメイン（Webアドレス）と紐づいて発行されるため、本物のサービスの「正規ドメイン」以外では認証が成立しません。どれだけ本物そっくりに作られた偽サイトに誘導されても、パスキーの認証ダイアログは表示されず、情報を入力する機会自体がないのです。

また、パスワードというものが根本的に存在しないため、「盗まれるもの」がありません。フィッシングメールが届いても、リンクをうっかりクリックしてしまっても、パスワードを奪われるリスクはゼロです。これは個人のリテラシーや注意力に依存せず、技術的に保護できるという点で非常に重要な強みです。

参考：FIDO「Passkeys」

パスワード管理の手間がなくなる

パスキーを使えば、複雑なパスワードを記憶したり、定期的に変更したりする手間が一切なくなります。サービスごとに異なるパスワードを管理する必要もなく、パスワードマネージャーへの依存も不要になります。パスキーはデバイスとFIDO規格の仕組みが自動で管理するため、ユーザーが意識すべきことは生体認証やPINコードのみです。

企業にとっても大きなメリットがあります。パスワードリセット対応に割かれていたヘルプデスクの工数が減り、セキュリティポリシーの「定期的なパスワード変更義務」を廃止・簡素化できます。その分のリソースを、より本質的なセキュリティ対策に充てることができるでしょう。

ログインが快適になる

パスキーによるログインは、スマートフォンの画面ロック解除と同じ感覚で完了します。指をかざす、顔を向ける、あるいはPINを入力するだけで、ほんの数秒でログインが終わります。長い文字列を正確に入力する必要がなく、「パスワードを忘れた」「入力を間違えてアカウントがロックされた」というストレスから解放されます。

特に恩恵を受けやすいのは、高齢者やデジタルに不慣れなユーザーです。複雑なパスワードの記憶や入力が苦手な方でも、生体認証であれば直感的に操作できます。サービス提供者にとっても、ログイン離脱率の低下やユーザー体験の向上が期待できます。

デバイスを紛失すると認証できなくなる

パスキーの秘密鍵はデバイスに紐づいているため、スマートフォンを紛失・故障した場合、そのデバイスからのログインができなくなります。パスワードであれば別のデバイスから同じ文字列を入力できますが、パスキーはその性質上、デバイスが手元にないと認証できません。

ただし、この問題には有効な対処法があります。iPhoneユーザーは「iCloudキーチェーン」、Androidユーザーは「Googleパスワードマネージャー」を利用することで、パスキーをクラウドに同期できます。同じApple IDやGoogleアカウントに紐づいた別のデバイスから認証が可能になるため、デバイス紛失時のリスクを大きく減らせます。また、複数のデバイスに同じサービスのパスキーを登録しておくことも有効な備えです。

対応していないサービスがまだ多い

2024年現在、パスキーへの対応は主要サービスを中心に広がっていますが、国内外を問わず未対応のサービスはまだ多く残っています。特に規模の小さいサービスや業務用システムでは対応が遅れているケースが多く、完全にパスワードをなくすことは現時点では難しい状況です。

パスキーが広く定着するまでは、パスキー非対応のサービスに対してはパスワードマネージャーを組み合わせて利用するのが現実的な対策です。対応サービスから順番に切り替えていく段階的なアプローチをおすすめします。

セキュリティソフトが不要になるわけではない

「パスキーを導入すれば、セキュリティ対策は完了」と思う方もいるかもしれません。しかし、パスキーはあくまで「認証手段の強化」であり、マルウェア感染や端末への不正アクセスは別の脅威として残ります。たとえば、デバイスがスパイウェアに感染していれば、パスキー利用時の操作が傍受される可能性もゼロではありません。

また、ソーシャルエンジニアリング（人間の心理を利用した攻撃）への耐性はパスキーでは補えません。「サポートを装った電話で遠隔操作ソフトをインストールさせる」などの手口は、認証技術とは関係なく被害を受ける可能性があります。パスキーを総合的なセキュリティ対策の一環として位置づけ、OSのアップデートやセキュリティソフトの活用も並行して継続することが重要です。

1.バックアップ手段を必ず用意する

パスキーを利用し始める前に、必ずバックアップ手段を設定しておくことが最重要事項です。デバイスの紛失・故障・盗難はいつ起こるかわかりません。バックアップなしでパスキーのみに依存すると、最悪の場合アカウントにアクセスできなくなります。

具体的には、以下の3つを事前に準備しておきましょう。

2.対応デバイス・OSのバージョンを確認する

パスキーを利用するにはデバイスのOSが一定以上のバージョンである必要があります。古いOSではパスキーが利用できない場合があるため、事前に確認しておきましょう。主な対応バージョンの目安は以下の通りです。

OSのバージョンが古い場合は、アップデートを行うことでパスキーを利用できるようになります。ただし、デバイス自体が古くてアップデート対象外の場合は、新しいデバイスへの移行を検討してください。

参考：Google「パスワードの代わりにパスキーでログインする」

3.パスキー非対応サービスにはパスワードマネージャーを活用する

現時点ではすべてのサービスがパスキーに対応しているわけではないため、移行期間中はパスワードとパスキーを併用する必要があります。パスキー未対応のサービスには、パスワードマネージャーを活用して安全に管理することをおすすめします。

パスワードマネージャーを選ぶ際には以下の基準を参考にしてください。

• エンドツーエンド暗号化に対応しているか（サービス提供者側でもパスワードを解読できない設計）
• 主要なブラウザ（Chrome・Safari・Edge・Firefox）やデバイスと連携できるか
• 二要素認証（2FA）の設定が可能か
• セキュリティ監査や第三者機関による脆弱性診断を受けているか

将来的にパスキー対応サービスが増えるにつれて、パスワードマネージャーへの依存は自然と減っていきます。今はパスキーと上手く組み合わせながら、段階的な移行を進めましょう。

4.段階的な移行とユーザーへの周知を行う

企業がパスキーを導入する際は、一度に全従業員・全顧客を切り替えようとしないことが成功のポイントです。パスキーに不慣れなユーザーが混乱しないよう、まずパスキーと従来のパスワード認証を並行して使える移行期間を設けることを強くおすすめします。

あわせて、「パスキーとは何か」「どのデバイスで使えるか」「紛失時の対処方法」を説明したガイドやFAQを社内外に整備することも重要です。技術的な準備と同じくらい、利用者への丁寧な周知・教育がパスキー導入の成否を左右します。外部の顧客向けサービスであれば、導入前にパイロットグループで試験運用を行い、問題点をあらかじめ洗い出しておくと安心です。

参考：IPA「中小企業の情報セキュリティ対策ガイドライン」