パスワードレス認証の始め方 ― FIDO2/Windows Hello/パスキーの導入

Posted at 2026-06-06

はじめに

「パスワードを覚えられない」「パスワードを使い回してしまう」「パスワードリセットの問い合わせが多い」。これらの問題を根本的に解決するのがパスワードレス認証です。

Apple、Google、Microsoftが共同で推進する「パスキー（Passkey）」の普及もあり、パスワードレスは今後の標準になりつつあります。本記事では、中小企業がパスワードレス認証を導入する方法を解説します。

パスワードはセキュリティの観点から多くの問題を抱えています。

使い回し：覚えきれないため、同じパスワードを複数のサービスで使い回す。1つのサービスで漏洩すると、他のサービスにも侵入される。

フィッシングに弱い：巧妙なフィッシングサイトにパスワードを入力してしまうと、そのまま窃取される。

管理コスト：情シスへの問い合わせの中で「パスワードリセット」が最も多いケースは珍しくありません。ガートナーの調査では、IT部門の問い合わせの20〜50%がパスワード関連とされています。

YubiKey等の物理デバイスをUSBに差し込むか、NFCでタッチするだけで認証が完了します。フィッシング耐性が最も高い認証方式です。

デバイスの価格は1個あたり5,000〜10,000円程度。管理者アカウントなど、特に高いセキュリティが求められるアカウントに導入するのが効果的です。

M365ではEntra IDの認証方法ポリシーでFIDO2を有効化。GWSでは管理コンソール→セキュリティ→2段階認証→セキュリティキーで設定できます。

Windows 10/11のPIN、指紋認証、顔認証を使ってWindowsにサインインする仕組みです。PINは一見パスワードと同じに見えますが、デバイスに紐づいているため他のデバイスでは使えません。

Entra ID参加またはHybrid参加のデバイスで利用可能。Intune経由で一括設定できます。追加費用はかかりません。

Apple、Google、Microsoftが共同推進するFIDO2ベースの認証方式です。スマートフォンの生体認証（指紋/顔）を使い、PCやWebサービスにサインインします。

パスキーの最大のメリットは、物理キーを購入する必要がないことです。すでに持っているスマートフォンが認証デバイスになります。2024年以降、M365やGWSでもパスキーのサポートが拡大しています。

Microsoftの認証アプリで、プッシュ通知による承認で認証します。パスワードレスモードを有効にすると、パスワードなしでM365にサインインできます。

MFAの延長線上にある方式で、MFAを導入済みの企業にとっては最も移行しやすい選択肢です。

パスワードレスはMFAの次のステップです。MFAがまだ導入されていない場合は、まずMFAの全社展開から始めましょう。

グローバル管理者やセキュリティ管理者など、最もリスクの高いアカウントからパスワードレスに移行します。FIDO2セキュリティキーまたはWindows Hello for Businessが推奨されます。

IT部門やセキュリティ意識の高い部門をパイロットグループとして、パスキーやWindows Helloの利用を開始します。問題がないことを確認してから全社展開します。

パイロットの結果を踏まえて全社に展開します。社員向けのセットアップガイドを用意し、ヘルプデスクの問い合わせ対応体制を整えてから展開しましょう。

全社員がパスワードレスで認証できるようになったら、パスワード自体を無効化します。これが最終目標ですが、すべてのサービスがパスワードレスに対応するまでには時間がかかるため、段階的に進めましょう。

パスワードレスはセキュリティとユーザー体験の両方を向上させる「win-win」の対策です。MFAを導入済みの企業であれば、次のステップとしてパスワードレスへの移行を検討しましょう。

まずは管理者アカウントにFIDO2セキュリティキーを導入し、一般社員にはパスキーやWindows Helloの利用を促進する、という段階的なアプローチがおすすめです。

筆者: 株式会社BTNコンサルティング亀田英佑
中小企業に特化した情シスアウトソーシング「情シス365」を運営。M365/GWS環境の設計・構築50件以上の実績。
https://www.josis365.com