パスキーは認証の未来か——パスワードレス認証の仕組みと普及状況を解説
パスキー(Passkey)の仕組みをFIDO2/WebAuthnから解説。パスワードとの違い・対応サービス一覧・移行のメリットと現時点での課題を紹介。
パスキーとは何か
パスキー(Passkey)はパスワードを必要としない新しい認証方式だよ。GoogleやApple、Microsoft、FIDO Allianceが共同で推進していて、WebAuthn(Web認証API)をベースにしている。
パスワードとパスキーの違い
| 項目 | パスワード | パスキー |
|---|---|---|
| 仕組み | 共有シークレット | 公開鍵暗号 |
| サーバーに保存されるもの | パスワードのハッシュ | 公開鍵のみ |
| フィッシング耐性 | 低い | 高い(URLバインド) |
| 入力のしやすさ | デバイスに依存 | 生体認証ですぐ |
| 漏洩した場合の影響 | パスワードが使える | 秘密鍵は端末から出ない |
パスキーの仕組みを理解する
パスキーは公開鍵暗号を使っているよ。
- アカウント登録時にデバイス上で公開鍵と秘密鍵のペアを生成する
- 公開鍵だけをサービスのサーバーに登録する
- ログイン時はサービスが「チャレンジ」を送り、デバイスが秘密鍵で署名して返す
- サービスが公開鍵で署名を検証する
秘密鍵はデバイスから出ないため、サーバーが侵害されても秘密鍵は漏れない。また認証はサイトのURL(origin)と紐づくため、偽サイトへのパスキーは使えない——これがフィッシング耐性の根拠だよ。
パスキー対応サービス(2025年時点)
- Google(gmail.com)
- Apple(appleid.apple.com)
- Microsoft(microsoft.com)
- PayPal
- Amazon(米国版)
- GitHub
- Yahoo! JAPAN
- NTT Docomo
パスキーのメリット
- フィッシング攻撃に対して根本的に耐性がある
- 生体認証(指紋・Face ID)でワンタッチ認証
- パスワードを記憶・管理する必要がない
- 漏洩するパスワードがそもそも存在しない
現時点での課題
- エコシステムの断絶:AppleとGoogleのパスキーは相互移植が複雑
- 法人環境:Active Directoryなど既存システムとの統合が難しい
- 対応サービスの少なさ:まだ対応していないサービスの方が多い
- リカバリーの複雑さ:全デバイスを失った場合の回復手順が分かりにくい
今後の見通し
パスキーは確実に普及が進んでいるよ。Googleは2023年にGoogleアカウントへのデフォルトサインイン方法にパスキーを採用した。完全にパスワードを置き換えるまでには5〜10年かかると思われるが、方向性は決まっているね。今できることとして、対応サービスからパスキーを設定し始めよう。
作ったパスワードは頭で覚えるのではなく、マネージャーに任せると安全です。 編集部がふだん使っているサービスをご紹介します。
洗練されたUI・Watchtower侵害通知・旅行モード搭載。Apple製品ユーザーに特に人気の老舗マネージャー。
オープンソースで透明性が高く、無料プランでも基本機能をフルに使える。セルフホストも可能。
SOC2 Type2認証取得済み。BreachWatch によるダークウェブ監視と法人向け管理コンソールが強力。
NordVPN 系列の老舗。XChaCha20 暗号化・データ漏洩スキャナ・パスワードヘルスを内蔵。日本語UI対応。
スイス拠点・Proton Mail 系列。E2E 暗号化・メールエイリアス・2FA を1つに統合。プライバシー重視派に。