はじめに
2025年に証券会社への不正ログインが多発したことによって、パスキーがとても注目されたという印象があります。そんな中でTwilioでもTwilio Verify passkeyのBeta版の開始や、TwilioがStytchという認証系の会社を買収したので、俄然にパスキーに興味が出てきました。
普段から個人のログインセキュリティについては意識している方なんです。なぜなら2015年頃に一度自分のGmailの乗っ取り被害に遭ったことがあります。それ以来、パスワードの使い回しをやめたり、2要素認証を必須にしたりと対策をしてきました。なのでパスキーも使えるサイトであれば使う設定をしています。
ただパスキーを使っていてサイトによって挙動が違ったりするので、もしかしてパスキーって幾つかのパターンがあるのではないかと思い、しっかりと調べてみることにしました。
ここではパスキーの種類について書いていきます。
パスキーの種類について
パスキーには下記の4種類があります。
- デバイス固定パスキー(Device-bound / Platform-bound passkey)
- OSプラットフォーム同期パスキー(Synced platform passkey)
- サードパーティ同期パスキー(External Credential Manager Passkey)
- ハードウェアセキュリティキー(FIDO2 Security Key)
これはどれもWebAuthn / FIDO2 に準拠しているのですが、どこに保存するか・どう同期するかによって分類と扱いが変わってきます。
簡単に表でまとめますね。
| 分類 | どこに保存? | FIDO2 / WebAuthn 準拠? | 同期? | 例 |
|---|---|---|---|---|
| ① デバイス固定 | デバイス内(TPM/SE)※1 | 完全準拠 | 不可 | Windows Hello(ローカル), YubiKey |
| ② OS同期パスキー | iCloud / Google / Microsoft | 完全準拠 | 可 | iCloud, Google PW Manager |
| ③ サードパーティ同期 | 1Password / Bitwarden | WebAuthn/FIDO2準拠 | 可 | 1Password |
| ④ ハードウェアキー | 物理デバイス | 完全準拠 | 不可 | YubiKey |
※1 TPM (Trusted Platform Module) / SE (Secure Enclave)
これら全て「FIDOの仕様に沿っている認証方法」
- WebAuthn を使って秘密鍵ペアを作る
- サーバーには公開鍵だけを登録
- 秘密鍵は漏れない
という基本仕様はすべて同じです。
だから “パスキー”という名前は全部正しい。
でも違いが出るポイント:どこで保存し、どこが信頼を担保するか
① / ② = プラットフォーム(Apple / Google / Microsoft)が保証
- TPM / Secure Enclave / Android StrongBox
- OSが“正しいハードウェア鍵”であることを証明してくれる
- 金融・行政が信頼しやすい
③ = プラットフォーム外(1Passwordなど)
- 暗号的にはFIDO準拠
- ただし OSのハードウェアセキュア領域に縛られない
- 金融業界の中には「プラットフォーム外を禁止」する場合がある
→ あなたのケース(SBIが1Passwordを拒否)
④ = ハードウェアキー
- FIDOが最も強く推奨するルートモデル
- 企業・政府・開発者が利用
それぞれのパスキーの使い勝手について
| 区分 | 同期 | 代表例 | 利点 | 欠点 |
|---|---|---|---|---|
| ① デバイス固定パスキー(Device-bound / Platform-bound) | ❌ 同期不可 | ・Windows Hello(ローカル)・Android デバイス固定・iPhoneローカルのみ・YubiKey(FIDO2) | ・セキュリティ最強・物理的に鍵が外に出ない | ・デバイス紛失時の復旧困難・別デバイスで使えない |
| ② OS同期パスキー(Synced Platform Passkey) | ⭕ 同期可能(同一プラットフォーム間) | ・iCloud Keychain・Google Password Manager・Microsoft Entra / Windows Hello(同期版) | ・使いやすい・スマホ・PCで共通利用可能・標準仕様で最も普及 | ・異なるプラットフォーム間は同期不可(例:iCloud→Google) |
| ③ サードパーティ同期パスキー(External Credential Manager) | ⭕ 同期可能(OSまたぎOK) | ・1Password パスキー・Bitwarden パスキー・Dashlane パスキー | ・OSを跨いで同期できて便利・パスワード管理と統合できる | ・OSの信頼モデル外として扱われる・金融/行政で拒否されることが多い |
| ④ ハードウェアセキュリティキー(FIDO2 Security Key) | ❌ 同期不可(物理鍵のみ) | ・YubiKey 5 シリーズ・Google Titan Key | ・セキュリティ最強クラス・物理デバイス管理しやすい | ・紛失リスク・一般ユーザーには煩雑 |
セキュリティ強度
セキュリティについて確認していきます。FIDO準拠でパスキーの利用なので、すでにこの時点で完全にパスワード認証よりも強度が高いのですが、4種類のパターンそれぞれのセキュリティについて確認しました。
| 種類 | 可能な攻撃 | 不可能な攻撃 | セキュリティレベル |
|---|---|---|---|
| ④ ハードウェアキー(YubiKey) | ・物理盗難後、PIN (Personal Identification Number) 突破(困難)・側信道攻撃(極めて難) | ・秘密鍵の抽出・クラウド経由の奪取・フィッシング(不可能) | ⭐⭐⭐⭐⭐ |
| ① デバイス固定パスキー | ・端末のローカル脆弱性攻撃(SE/TPM突破はほぼ不可能)・生体認証バイパス(難しい) | ・秘密鍵抽出・フィッシング(不可)・同期経路攻撃(同期しないため不存在) | ⭐⭐⭐⭐☆ |
| ② OS同期パスキー | ・クラウド同期アカウント乗っ取り(iCloud/Googleアカウント)・端末盗難後の生体認証突破 | ・秘密鍵の漏洩(TPM (Trusted Platform Module) / SE (Secure Enclave) 保護)・フィッシング(不可) | ⭐⭐⭐☆☆ |
| ③ サードパーティ同期(1Password) | ・1Passwordクラウドアカウント奪取(マスターパス+2FA突破)・アプリの実装バグ・端末のマルウェアによる攻撃 | ・WebAuthn秘密鍵の抽出(アプリ内管理でも暗号化されている)・クラシックなフィッシング | ⭐⭐☆☆☆ |
あくまでもこの4つで比べると、やはり物理キーを使ったパターンが最強のようです。サードパーティ同期が最下位ですがパスキーの中で比べるとというレベルに止まります。
セキュリティ強度と利便性の両方で考えたときにOS同期パスキーあたりの採用が多いのが納得できますね。
ハードウェアキーとそれ以外の手法について
ここまでみて分かったのは、ハードウェアキーを使ったパスキーとそれ以外の手法では根本的に異なる点がありました。それは、ハードウェアキーは完全にOSの認証と独立しているZero Trustを基本にしています。一方それ以外の手法(①②③)では、OSの認証に依存しています。
パスキーを使う際に、OSのログインに生体認証やPIN (Personal Identification Number) などが必須になるのは、このためなんだなと理解できました。
逆にOSのログインで生体認証などの強固なセキュリティを有していない状態では、パスキーも危ないものであると思いました。
まとめ
- パスキーには ①デバイス固定、②OS同期、③1Password同期、④YubiKey の4種類がある
- セキュリティ強度は ④YubiKey > ①デバイス固定 > ②OS同期 > ③1Password系
- ①〜③のパスキーは OSログイン(生体/PIN (Personal Identification Number))を前提に動作する
- ④YubiKeyだけは OSに依存せず単独で完結する最強の認証方式
- OSログインがパスワードのみだと安全性が下がるため、生体/PINが必須