CyberFix Note
防御・ハードニング

パスキーとは。パスワードのない世界へ、仕組みと使い方・移行を解説

対象の目安: 初学者・一般利用者 / 入門レベル

アオイ防御・運用担当
・ 約14分で読めます
パスキーとは。パスワードのない世界へ、仕組みと使い方・移行を解説

ログインのたびにパスワードを思い出し、入力し、ときに偽サイトにだまされて盗まれる。この長年の悩みを根本から変えようとしているのがパスキー(passkey)です。指紋や顔、端末のPINでロックを解除するだけでサインインでき、覚えるべき文字列はありません。利用者の手元の操作は「いつものロック解除」とほぼ同じなのに、裏側では公開鍵暗号という強固な仕組みが働き、フィッシングに原理的に強い認証が成立します。

普及はすでに本格段階に入っています。FIDO Allianceは2026年5月7日のWorld Passkey Dayに合わせ、世界で使われているパスキーが推計約50億個に達したと発表しました。同団体の調査では、パスキーを認知している人が90%、少なくとも1つのアカウントで有効化した人が75%に上ります(執筆時点の公表値)。AppleやGoogle、Microsoftといった主要プラットフォームが標準で対応し、私たちが意識しないうちにパスキーが身近なものになりつつあります。

この記事では、パスキーとは何か、なぜパスワードより安全なのかを原理から噛み砕き、同期型と端末固定型の違い、実際の設定方法、紛失や機種変更時の扱い、そして当面はパスワードとの併用が必要な現実までを、入門者向けに整理します。

パスキーとは何か

パスキーは、FIDO Alliance(FIDO標準を推進し、WebAuthnはW3Cと共同で策定した業界団体)が定義する認証情報で、公式には「FIDO標準に基づく認証情報で、デバイスのロック解除と同じ操作でアプリやWebサイトにサインインできるもの」と説明されています。要は、パスワードという「覚えて入力する秘密」を、端末が安全に保管する「鍵」に置き換える仕組みです。

技術的な土台はFIDO2と呼ばれる標準で、これはブラウザ向けのWebAuthn(Web Authentication API、W3CとFIDO Allianceが共同で標準化)と、端末と認証器をつなぐCTAP2というプロトコルの組み合わせから成ります。難しい名前が並びますが、利用者が覚える必要はありません。重要なのは、これらが「パスワードを送らずに本人を証明する」ための共通規格として、各社の製品をまたいで動くという点です。

FIDO Allianceは、パスキーをFIDO標準に基づく認証情報と定義し、公開鍵暗号によってフィッシング耐性のある認証を提供すると説明しています。

なぜパスワードより安全なのか

パスキーの安全性の核心は、公開鍵暗号(非対称暗号)にあります。パスキーを作るとき、端末の中で「秘密鍵」と「公開鍵」のペアが生成されます。このうち公開鍵だけがサービス側に登録され、秘密鍵はサービスやネットワークに渡ることがありません。端末固定パスキーでは秘密鍵が端末(多くは専用のセキュリティチップ)から一切出ず、同期パスキーでも端末上で暗号化されたうえでクラウド経由で端末間に行き渡るため、平文の秘密鍵がサービス側や通信路に流れることはありません。

ログイン時、サービスは「これに署名してください」というチャレンジ(毎回異なるランダムなデータ)を送ります。端末は生体認証やPINで本人を確認したうえで、秘密鍵を使って署名を返します。サービスは登録済みの公開鍵で署名を検証し、正しければログインを許可します。やり取りされるのは署名であって、秘密そのもの(パスワード)は一度も送られません。

この設計が、パスワードの3つの弱点を同時に解消します。

パスワードの弱点パスキーでの解消
サーバから漏えいすると悪用されるサーバには公開鍵しか無く、漏れても秘密鍵を復元できない
偽サイトに入力させられて盗まれる登録したドメインにのみ署名するため偽サイトで成立しない
使い回しや弱い文字列で破られるそもそも覚える文字列が存在しない

ドメインに紐づくからフィッシングに強い

パスキーで特に重要なのが、鍵が「登録したサイトのドメイン(WebAuthnではRP IDと呼ばれる識別子)」に技術的に結び付いている点です。たとえばexample.comで作ったパスキーは、見た目がそっくりなexamp1e.comのような偽サイトに対しては署名しません。ブラウザと端末が「今アクセスしているドメインは、鍵を登録したドメインと一致するか」を機械的に照合し、一致しなければ認証が始まらないからです。

人間の注意力に頼るのではなく、仕組みとして偽サイトをはじく。これがパスキーが「フィッシングに原理的に強い」と言われる理由です。ワンタイムコードは偽サイトに入力させられると盗まれますが、パスキーにはその抜け道がありません。フィッシングの手口と基本対策は

あわせて読みたい

フィッシングの手口と対策の基本。個人と組織でできることを徹底解説

で詳しく解説しています。

同期パスキーと端末固定パスキーの違い

パスキーには大きく2種類あり、利便性と安全性のバランスが異なります。この違いを理解しておくと、用途に応じた使い分けができます。

種類鍵の置き場所使えるデバイス向いている用途
同期パスキー(synced)暗号化してクラウドに同期同じアカウントの複数端末日常の一般的なログイン
端末固定パスキー(device-bound)1台の端末や物理キーから出ない登録した端末・キーのみ高権限アカウントなど高セキュリティ用途

同期パスキーは、iCloudキーチェーン(Appleパスワード)やGoogleパスワードマネージャー、1PasswordやBitwardenといったパスワードマネージャーが、暗号化した鍵をクラウド経由で端末間に行き渡らせる方式です。新しいスマホに機種変更しても、サインインすればパスキーがそのまま使えるため、紛失や買い替えに強く、日常利用での利便性が高いのが特長です。

一方の端末固定パスキーは、秘密鍵が物理的なセキュリティキーや特定の端末から一切出ません。クラウド同期の経路がない分、攻撃対象が物理的なデバイスに限られ、より高い保証が得られます。金融の管理者権限やサーバ基盤への管理アクセスなど、漏えい時の影響が極めて大きいアカウントでは、ハードウェアのセキュリティキーによる端末固定パスキーが依然として最も堅い選択肢です。セキュリティキーの選び方は

あわせて読みたい

ハードウェアセキュリティキー(FIDO2)の選び方とおすすめ。フィッシングに原理的に強い認証

にまとめています。

注意

同期パスキーは「フィッシング耐性のある認証情報」ですが、その安全性はクラウドアカウント(Apple ID やGoogle アカウント)の保護に依存します。同期元のアカウント自体を強固なMFAで守らないと、そこが弱点になりえます。MicrosoftもEntra ID のドキュメントで、同期パスキーは検証(attestation)を伴わない認証器と同等のセキュリティ姿勢で扱うよう注意を促しています。

主要プラットフォームの対応状況

パスキーは特定の1社の技術ではなく、業界共通の標準です。そのため、主要なOSとブラウザがそろって対応しています。

  • Apple: iOS 16以降、macOS 13以降でiCloudキーチェーン(Appleパスワード)を通じた同期パスキーに標準対応。Face ID やTouch ID でサインインできます。
  • Google: GoogleパスワードマネージャーによりChrome やAndroid で同期パスキーを利用可能。Android 9以降が目安です。
  • Microsoft: WindowsのほかMicrosoft Authenticator でパスキーを保管できます。企業向けのMicrosoft Entra ID では、2026年3月から「パスキープロファイル」と同期パスキーが一般提供(GA)に移行し、グループ単位で端末固定/同期の別や検証要件を細かく設定できるようになりました。

Microsoft Entra ID は同期パスキーと、FIDO2 セキュリティキーやMicrosoft Authenticator に保管する端末固定パスキーの双方をサポートし、パスキー(FIDO2)はEntra ID Free を含む全エディションで追加ライセンスなしに利用できると説明されています。

「Apple で作ったパスキーをWindows で使える?」とよく聞かれます。同じプラットフォーム内(Apple なら全Apple 端末)の同期はスムーズですが、異なる陣営をまたぐ場合は、QRコードを使ったクロスデバイス認証(手元のスマホで近くのPCのログインを承認する仕組み)や、複数のパスキーを各環境に登録する運用が現実的です。1つの鍵で全環境を完璧にカバーするより、環境ごとに登録しておくと詰まりにくいですよ。

aoi

実際の設定方法

設定の流れは多くのサービスで共通しています。難しい知識は不要で、画面の案内に従うだけです。

  1. 1

    サービスのセキュリティ設定を開く

    Google、Apple、Microsoft アカウントや、対応するSNS・金融サービスのアカウント設定から「パスキー」や「セキュリティ」の項目を探します。

  2. 2

    パスキーの作成を選ぶ

    「パスキーを作成」「パスキーを追加」といったボタンを選びます。端末が対応していれば、保存先(端末・パスワードマネージャー・セキュリティキー)の選択肢が表示されます。

  3. 3

    生体認証またはPINで承認する

    指紋・顔・端末のPINで本人確認を行うと、その場で鍵ペアが生成され、公開鍵がサービスに登録されます。覚えるべき文字列はありません。

  4. 4

    次回以降はパスキーでサインインする

    次回のログイン画面でパスキーを選び、ロック解除と同じ操作をするだけでサインインできます。パスワード入力は不要になります。

なお、企業のシステムでは管理者側の設定が前提になります。たとえばMicrosoft Entra ID では、利用者がパスキーを登録する前に、過去5分以内に多要素認証(MFA)を完了している必要があるなど、運用上の要件が定められています。組織導入の進め方は

あわせて読みたい

多要素認証(MFA)の選び方と導入の勘所。方式比較から運用まで徹底解説

もあわせてご覧ください。

紛失・機種変更時にどうなるか

パスキーで多くの人が不安に思うのが「端末をなくしたらログインできなくなるのでは」という点です。結論から言うと、種類によって扱いが異なります。

同期パスキーの場合、鍵はクラウドに暗号化保管されているため、新しい端末で同じアカウント(Apple ID やGoogle アカウント)にサインインすれば、パスキーはそのまま引き継がれます。機種変更でデータ移行をしても、改めて作り直す必要は基本的にありません。これが同期パスキーの大きな利点です。

端末固定パスキーの場合は、その端末や物理キー自体が鍵の唯一の置き場所です。紛失すると、その鍵でのログインはできなくなります。だからこそ、端末固定パスキーを使うときは、予備のセキュリティキーを2本登録しておく、別の認証手段を併用しておくといった備えが重要になります。

注意

同期パスキーの復旧は、結局のところ同期元のクラウドアカウントを取り戻せるかにかかっています。たとえばApple のiCloudキーチェーンは端末を越えて読めないようエンドツーエンドで暗号化され、Apple アカウントのパスワードだけを奪われても、信頼済み端末の確認や端末パスコードがなければパスキーは保護される設計です。ただし同期元アカウントに加えて信頼済み端末やパスコード、リカバリー手段まで攻撃者に押さえられれば、紐づくパスキーも危険にさらされます。逆に、自分がアカウントから締め出されると、パスキーごと使えなくなる可能性があります。同期元アカウントの保護とリカバリー手段(バックアップコード、信頼できる連絡先など)を必ず整えておきましょう。

当面はパスワード併用が現実的

パスキーは強力ですが、「今日からパスワードを完全に捨てられる」わけではありません。理由はシンプルで、すべてのサービスがパスキーに対応しているわけではないからです。対応が進んでいるとはいえ、業務で使う社内システムや古いサービスでは、まだパスワードや従来のMFAが必要な場面が残ります。

また、対応サービスでも「パスキーのみ(完全パスワードレス)」にできるとは限らず、パスキーを追加のサインイン手段として使い、パスワードも残す段階のものが多くあります。FIDO Allianceの調査でも、完全なパスワードレスを最終目標に掲げる組織は多い一方、達成済みの組織はまだ一部にとどまっています(執筆時点)。

現実的な進め方は、対応している重要なアカウント(メール、クラウド、SNS、金融など)から順にパスキーを設定し、対応していないサービスについては、強固なパスワードと認証アプリ以上のMFAで守るという「併用」です。パスワードの作り方やマネージャー活用とあわせて、段階的に移行していくのが無理のない道です。

よくある質問

パスキーとパスワードは何が根本的に違うのですか?
パスワードは『覚えて入力する共通の秘密』で、サーバ側にも(適切な実装ではハッシュ化された検証値として)保管され、漏えい後のオフライン解析や偽サイトでの入力により盗まれえます。パスキーは公開鍵暗号を使い、秘密鍵は端末から出ず、サーバには公開鍵しか登録されません。やり取りされるのは署名で、秘密そのものは送られないため、漏えいやフィッシングに原理的に強いのが違いです。
パスキーは多要素認証(MFA)の一種ですか?
パスキーは、端末の所持(鍵を持つ端末)と、生体やPINによる本人確認を組み合わせており、1回の操作で複数の要素を満たす強力な認証です。フィッシング耐性の点で、SMS や認証アプリのワンタイムコードより優れた選択肢と位置づけられます。
スマホを買い替えたらパスキーは消えますか?
同期パスキーなら、同じクラウドアカウントにサインインすれば新しい端末に引き継がれ、作り直しは基本的に不要です。端末固定パスキー(物理キーなど)は、その端末・キー固有なので、買い替え時は新しい環境で改めて登録する必要があります。
iPhone で作ったパスキーをWindows パソコンで使えますか?
同じApple 環境内なら自動で同期されますが、異なる陣営をまたぐ場合は、スマホでPC のログインを承認するクロスデバイス認証を使うか、各環境にパスキーを個別登録する運用が現実的です。
今すぐパスワードを全部やめてよいですか?
まだ早いです。すべてのサービスがパスキーに対応しているわけではなく、完全パスワードレスにできないサービスも残ります。当面はパスキーと、強固なパスワードや認証アプリ以上のMFA を併用するのが安全です。

まとめ

パスキー導入チェックリスト

  • 重要なアカウント(メール・クラウド・SNS・金融)から順にパスキーを設定したか
  • 同期パスキーの同期元(Apple ID / Google アカウント)を強固なMFA で守っているか
  • 同期元アカウントのリカバリー手段(バックアップコード等)を用意したか
  • 高権限アカウントには端末固定パスキー(物理キー)と予備キーを検討したか
  • パスキー非対応のサービスは強固なパスワード+MFA で守っているか
  • 機種変更・紛失時の引き継ぎ/復旧の手順を理解しているか

パスキーは、パスワードが抱えてきた「漏えい」「フィッシング」「使い回し」という弱点を、公開鍵暗号という仕組みそのもので解消する、認証の大きな転換点です。利用者にとっては「ロック解除と同じ操作でログインできる」という手軽さと、フィッシングに原理的に強いという安全性が両立します。一方で、すべてが一夜で置き換わるわけではなく、同期元アカウントの保護や非対応サービスとの併用といった現実への目配りも欠かせません。まずは身近な重要アカウントから一つ、パスキーを設定してみることが、パスワードのない世界への確かな一歩になります。

出典・参考

この記事をシェア

関連する記事