はじめに
2025年に証券会社への不正ログインが多発したことによって、パスキーがとても注目されたという印象があります。そんな中でTwilioでもTwilio Verify passkeyのBeta版の開始や、TwilioがStytchという認証系の会社を買収したので、俄然にパスキーに興味が出てきました。
普段から個人のログインセキュリティについては意識している方なんです。なぜなら2015年頃に一度自分のGmailの乗っ取り被害に遭ったことがあります。それ以来、パスワードの使い回しをやめたり、2要素認証を必須にしたりと対策をしてきました。なのでパスキーも使えるサイトであれば使う設定をしています。
ただパスキーを使っていてサイトによって挙動が違ったりするので、もしかしてパスキーって幾つかのパターンがあるのではないかと思い、しっかりと調べてみることにしました。
ここではパスキーの種類について書いていきます。
パスキーの種類について
パスキーには下記の4種類があります。
- デバイス固定パスキー(Device-bound / Platform-bound passkey)
- OSプラットフォーム同期パスキー(Synced platform passkey)
- サードパーティ同期パスキー(External Credential Manager Passkey)
- ハードウェアセキュリティキー(FIDO2 Security Key)
これはどれもWebAuthn / FIDO2 に準拠しているのですが、どこに保存するか・どう同期するかによって分類と扱いが変わってきます。
簡単に表でまとめますね。
| 分類 | どこに保存? | FIDO2 / WebAuthn 準拠? | 同期? | 例 |
|---|---|---|---|---|
| ① デバイス固定 | デバイス内(TPM/SE)※1 | 完全準拠 | 不可 | Windows Hello(ローカル), YubiKey |
| ② OS同期パスキー | iCloud / Google / Microsoft | 完全準拠 | 可 | iCloud, Google PW Manager |
| ③ サードパーティ同期 | 1Password / Bitwarden | WebAuthn/FIDO2準拠 | 可 | 1Password |
| ④ ハードウェアキー | 物理デバイス | 完全準拠 | 不可 | YubiKey |
※1 TPM (Trusted Platform Module) / SE (Secure Enclave)
これら全て「FIDOの仕様に沿っている認証方法」
- WebAuthn を使って秘密鍵ペアを作る
- サーバーには公開鍵だけを登録
- 秘密鍵は漏れない
という基本仕様はすべて同じです。
だから “パスキー”という名前は全部正しい。
でも違いが出るポイント:どこで保存し、どこが信頼を担保するか
#### ① / ② = プラットフォーム(Apple / Google / Microsoft)が保証
- TPM / Secure Enclave / Android StrongBox
- OSが“正しいハードウェア鍵”であることを証明してくれる
- 金融・行政が信頼しやすい
#### ③ = プラットフォーム外(1Passwordなど)
- 暗号的にはFIDO準拠
- ただし OSのハードウェアセキュア領域に縛られない
- 金融業界の中には「プラットフォーム外を禁止」する場合がある
①〜③すべて「秘密鍵はOSまたはアプリのセキュア領域に暗号化されて保存される」という点は共通
OS系(Apple/Google/Microsoft)の場合は、Secure Enclave / TPM / StrongBox など
“ハードウェア支援セキュリティ”を利用するケースが多いですが、
クラウド同期時は「鍵束は暗号化され、マスターキーのみローカルのセキュア領域で保護」という構造が一般的です。
サードパーティ(1Passwordなど)もWebAuthn準拠で暗号化しており、生体認証APIを使って復号する仕組みを採用しているため、実効的なセキュリティ差は昔ほど大きくありません。
④ = ハードウェアキー
- FIDOが最も強く推奨するルートモデル
- 企業・政府・開発者が利用
それぞれのパスキーの使い勝手について
| 区分 | 同期 | 代表例 | 利点 | 欠点 |
|---|---|---|---|---|
| ① デバイス固定パスキー(Device-bound / Platform-bound) | ❌ 同期不可 | ・Windows Hello(ローカル)・Android デバイス固定・iPhoneローカルのみ・YubiKey(FIDO2) | ・セキュリティ最強・物理的に鍵が外に出ない | ・デバイス紛失時の復旧困難・別デバイスで使えない |
| ② OS同期パスキー(Synced Platform Passkey) | ⭕ 同期可能(同一プラットフォーム間) | ・iCloud Keychain・Google Password Manager・Microsoft Entra / Windows Hello(同期版) | ・使いやすい・スマホ・PCで共通利用可能・標準仕様で最も普及 | ・異なるプラットフォーム間は同期不可(例:iCloud→Google) |
| ③ サードパーティ同期パスキー(External Credential Manager) | ⭕ 同期可能(OSまたぎOK) | ・1Password パスキー・Bitwarden パスキー・Dashlane パスキー | ・OSを跨いで同期できて便利・パスワード管理と統合できる | ・ |
| ④ ハードウェアセキュリティキー(FIDO2 Security Key) | ❌ 同期不可(物理鍵のみ) | ・YubiKey 5 シリーズ・Google Titan Key | ・セキュリティ最強クラス・物理デバイス管理しやすい | ・紛失リスク・一般ユーザーには煩雑 |
セキュリティ強度
セキュリティについて確認していきます。FIDO準拠でパスキーの利用なので、すでにこの時点で完全にパスワード認証よりも強度が高いのですが、4種類のパターンそれぞれのセキュリティについて確認しました。
①デバイス固定、②OS同期、③サードパーティ同期の3つは、いずれも「秘密鍵抽出が極めて困難」で、User Verification(生体/PIN)が必須のため、パスワード方式と比べると圧倒的に強固です。
強度差が生まれる部分は、
・クラウド同期の攻撃面積
・マスターキーの保管方式(TPM / SE / アプリ内暗号化)
・生体/PINの実装強度
に依存します。
| 種類 | 可能な攻撃 | 不可能な攻撃 | セキュリティレベル |
|---|---|---|---|
| ④ ハードウェアキー | ・物理盗難後、PIN (Personal Identification Number) 突破(困難)・側信道攻撃(極めて難) | ・秘密鍵の抽出・クラウド経由の奪取・フィッシング(不可能) | ⭐⭐⭐⭐⭐ |
| ① デバイス固定パスキー | ・端末のローカル脆弱性攻撃(SE/TPM突破はほぼ不可能)・生体認証バイパス(難しい) | ・秘密鍵抽出・フィッシング(不可)・同期経路攻撃(同期しないため不存在) | ⭐⭐⭐⭐☆ |
| ② OS同期パスキー | ・クラウド同期アカウント乗っ取り(iCloud/Googleアカウント)・端末盗難後の生体認証突破 | ・秘密鍵の漏洩(TPM (Trusted Platform Module) / SE (Secure Enclave) 保護)・フィッシング(不可) | ⭐⭐⭐⭐☆ |
| ③ サードパーティ同期 | ・1Passwordクラウドアカウント奪取(マスターパス+2FA突破)・アプリの実装バグ・端末のマルウェアによる攻撃 | ・WebAuthn秘密鍵の抽出(アプリ内管理でも暗号化されている)・クラシックなフィッシング | ⭐⭐⭐☆☆ |
あくまでもこの4つで比べると、やはり物理キーを使ったパターンが最強のようです。サードパーティ同期が最下位ですがパスキーの中で比べるとというレベルに止まります。
セキュリティ強度と利便性の両方で考えたときにOS同期パスキーあたりの採用が多いのが納得できますね。
ハードウェアキーとそれ以外の手法について
ここまでみて分かったのは、ハードウェアキーを使ったパスキーとそれ以外の手法では根本的に異なる点がありました。それは、ハードウェアキーは完全にOSの認証と独立しているZero Trustを基本にしています。①〜③は、秘密鍵の利用時に User Verification(生体認証/PIN)が必須となるため、
「OSログインそのものに依存」というより、“OSまたはアプリが提供するローカル検証プロセス” に依存しています。
ユーザー検証が突破されない限り、秘密鍵はアクセスできないため、OSログインが弱い=即パスキーが弱い、という構造ではありません。
まとめ
- パスキーには ①デバイス固定、②OS同期、③1Password同期、④YubiKey の4種類がある
- セキュリティ強度は ④ハードウェアキー > ①デバイス固定 > ②OS同期 > ③1Password系
- ①〜③はいずれも User Verification(生体/PIN)を必須とし、秘密鍵は抽出困難
- ④ハードウェアキーだけは OSに依存せず単独で完結する最強の認証方式