はじめに
最近、GoogleやApple、メルカリ、楽天、PlayStationなどで「パスキー」という言葉を見かけることが増えました。「パスワードの代わりになる新しいログイン方法らしい」くらいは知っていても、「結局それって何なの?」「なぜパスワードより安全なの?」と聞かれると、説明に困る方も多いのではないでしょうか。
この記事では、パスキーの仕組みをゼロから整理します。エンジニアでない方でも読めるよう、専門用語には例え話を添えています。
執筆時点:2026年5月。パスキーは普及が急加速している領域で、対応サービスや規制動向は日々アップデートされます。
対象読者
- パスキーを使い始めた、または使うように促されているが仕組みが分からない方
- 「なぜパスワードが時代遅れになりつつあるのか」を背景から理解したい方
- 開発者ではないが、認証技術の流れを把握しておきたい方
この記事で得られるもの
- パスキーがパスワードと比べて何が違うのか
- 「公開鍵暗号方式」を南京錠の比喩で理解できる
- 登録時とログイン時に裏側で何が起きているのか(シーケンス図あり)
- なぜ世界中の大手企業が一斉に対応を進めているのか
参考リンク
そもそもパスワード、何が問題なの?
パスキーの良さを理解するには、まず「パスワードがどれだけ厄介な仕組みなのか」を整理するのが近道です。
問題1:使い回しによる連鎖漏洩
人間は何十個ものパスワードを覚えられません。そこで多くの人は同じパスワードを複数サービスで使い回します。すると、どこか1つのサービスから漏洩しただけで、他のすべてのサービスに侵入される可能性があります。これを「パスワードリスト攻撃」と呼びます。
問題2:フィッシング詐欺に弱い
「Amazonからのお知らせです」というメールのリンクを踏み、本物そっくりの偽サイトでパスワードを入力してしまう──これがフィッシング詐欺です。パスワードは「文字列さえ正しければ通る」仕組みなので、ユーザー本人が偽サイトに入力してしまうと、攻撃者にそのまま渡ってしまいます。
問題3:サーバー側にも秘密がある
パスワードは「ユーザーとサーバーの共通の秘密」です。サーバー側はパスワードをハッシュ化して保存していますが、それでも何らかの形でパスワード由来の情報を保持する必要があり、漏洩リスクはゼロにできません。
問題4:「強いパスワード」と「覚えられる」は両立しない
「12文字以上、大文字小文字記号を混ぜて、サービスごとに違うものを、定期的に変える」──これは理論上の理想ですが、人間の記憶力では現実的に不可能です。結果として、誕生日や辞書に載っている単語、似たパターンの繰り返しなど、推測されやすいものが使われがちです。
これらの問題は、運用ルールでカバーするのではなく仕組みそのものを変えないと解決しない、というのがパスキー誕生の出発点です。
パスキーとは、ひとことで言うと
端末の指紋・顔・PINでログインできて、しかも仕組みとして「秘密」をネット越しに送らない認証方式
これがパスキーです。鍵を「覚える」から「持つ」に変えるパラダイムシフト、と表現する人もいます。
ポイントは2つあります。
- ユーザー体験:指紋・顔・端末ロック解除のPINだけでログインできる
- 裏側の仕組み:パスワードのような「文字列の秘密」をサーバーに送らない
「指紋認証のことでしょ?」と誤解されがちですが、指紋はあくまで「あなた本人ですよ」を端末に伝えるための手段です。本当の主役は、後で説明する公開鍵暗号方式にあります。
仕組みを支える3つのキーワード
キーワード1:公開鍵暗号方式
これがパスキーの心臓部です。
パスキーでは、サービスに登録するときに2つの鍵がペアで作られます。
- 公開鍵(こうかいかぎ):誰でも見ていい鍵。サービス側のサーバーに預ける
- 秘密鍵(ひみつかぎ):自分の端末から絶対に外に出ない鍵
イメージとしてはこんな感じです。
あなたが「自分専用の南京錠」をたくさん作って、世界中のサービスに配ります(=公開鍵)。
その南京錠を開けられる鍵は、あなたのスマホやPCの中にだけ存在します(=秘密鍵)。
ログインのときは、サーバーから「この南京錠、開けてみて」と挑戦されて、あなたの端末がパチンと開けて見せます。
ここで重要なのは、秘密鍵がネットを通って外に出ることが一切ないという点です。
パスワードは「合言葉」なので、毎回サーバーに送らないと確認できません。途中で盗聴されるリスクがあります。一方パスキーは「鍵を持っていることの証明」をサーバーに送るだけで、鍵そのものは渡しません。
公開鍵で「暗号化」したものは、ペアとなる秘密鍵でしか「復号」できません。逆に秘密鍵で「署名」したものは、ペアとなる公開鍵でしか「検証」できません。パスキーは後者の「署名と検証」の仕組みを使っています。
キーワード2:生体認証/PIN - 秘密鍵を使うための「あなた本人」確認
「秘密鍵が端末に入っているなら、スマホを盗まれたら終わりじゃないの?」
これを防ぐのが生体認証(指紋・顔)や端末のPINです。秘密鍵は端末の中で厳重に保管されていて、使うときには必ず「持ち主本人ですよね?」というチェックが入ります。指紋や顔のデータは端末から外に出ません。サーバー側は「本人確認済みの端末が署名した」という事実だけを受け取ります。
生体情報そのものがサーバーに送られると誤解されがちですが、これは間違いです。指紋・顔データは端末内のセキュアな領域に閉じ込められたまま、「本人ですよ」というOKサインを出すためだけに使われます。
キーワード3:ドメインバインディング - フィッシング詐欺が通じない理由
パスキーの最大の特徴の一つが、「登録したサイト(ドメイン)でしか使えない」という性質です。
たとえば amazon.co.jp でパスキーを作ったとします。攻撃者が amaz0n.co.jp(0がゼロ)という偽サイトを作って誘導してきても、ブラウザと認証器(Authenticator)が「これは登録したドメインじゃない」と気づいて、パスキーを動かしません。
これはユーザーの注意力に頼った仕組みではなく、プロトコルレベルで強制される仕組みです。だからパスキーはフィッシング耐性が高い、と言われます。
登録のフロー(初めてパスキーを作るとき)
ここまでのキーワードを踏まえて、実際に登録時に何が起きているかをシーケンス図で見てみましょう。
ポイントは、サーバーには公開鍵しか渡らないことです。秘密鍵は端末から一歩も出ません。これが「サーバーが漏洩しても被害が小さい」理由になります。
「チャレンジ」とは、サーバーが毎回生成するランダムな値のことです。少なくとも16バイト以上のランダム値で、毎回違う値が使われ、有効期限も短く設定されます。これにより、過去のやりとりを盗み見して使い回す「リプレイ攻撃」を防いでいます。
ログインのフロー(2回目以降)
登録さえ終われば、次回からのログインはもっとシンプルです。
これはチャレンジ&レスポンスと呼ばれる、認証の世界では古くからある考え方です。
- サーバー:「このランダムな値に署名してみて」(チャレンジ)
- 端末:「はい、これが署名です」(レスポンス)
- サーバー:「公開鍵で検証したら正しい署名だった。あなたは秘密鍵を持っている本人だ」
パスワードのように「秘密の文字列を送って一致するか確認」ではなく、「鍵を持っていることを毎回証明する」仕組みなので、通信を盗聴されても次回以降のログインには使えません。
パスワード vs パスキー - 比較表
| 観点 | パスワード | パスキー |
|---|---|---|
| 覚える必要 | あり | なし(指紋・顔・PINだけ) |
| サーバーが持つ情報 | パスワードのハッシュ | 公開鍵のみ |
| 漏洩時の影響 | そのまま不正ログインに使われる | 公開鍵単体では何もできない |
| フィッシング耐性 | 低い(人がだまされる) | 高い(ドメインで自動判別) |
| 使い回し | 起こりがち | 仕組み上不可能(サービスごとに別の鍵) |
| サービス間連鎖漏洩 | あり | なし |
| 端末紛失時 | 影響なし(覚えていれば) | 別端末で復旧が必要 |
「複数の端末で使いたい」はどうする?同期パスキーの登場
ここまで読んで、「秘密鍵が端末に閉じ込められるなら、機種変更したらどうなるの?」と疑問に思った方は鋭いです。
これに対応するのが同期パスキーです。Apple のiCloud キーチェーン、Google パスワードマネージャー、Microsoft アカウントなどが、秘密鍵をエンドツーエンドで暗号化したままクラウド経由で同じユーザーの別端末に同期します。
つまり、
- iPhoneで作ったパスキーが、同じApple IDのMacからも使える
- Androidで作ったパスキーが、同じGoogleアカウントの別のAndroidからも使える
という仕組みです。秘密鍵が「平文のまま」クラウドに置かれるわけではなく、復号できるのは同じユーザーの端末だけ、という設計になっています。
同期パスキー(Synced Passkey)と、USBセキュリティキーのように1つの物理デバイスに閉じ込められるデバイスバウンドパスキー(Device-bound Passkey)は別物です。前者は利便性重視、後者はセキュリティ重視。一般的な消費者向けサービスではほぼ前者が使われます。
なぜ今、世の中はパスキーに移行しているのか
技術自体は新しくありません。FIDO(ファイド)という標準規格は2012年から存在し、Webブラウザ向けのWebAuthn規格は2018年に公開されました。それがなぜ今急速に普及しているのか。理由は大きく3つあります。
理由1:三大プラットフォームがそろって対応した
2022年、Apple・Google・Microsoftの3社が同時にパスキー対応を表明しました。これにより、iPhone・Android・Windowsのどれを使っていても同じ仕組みで使えるようになりました。それまでFIDOは専用のUSBキーが必要で、一般ユーザーには手が届きづらい技術でしたが、全員が持っているスマホがそのまま認証器になったことで、普及の障壁が一気に下がりました。
理由2:日本では金融分野で「事実上の義務化」が進行中
2025年7月、日本証券業協会(JSDA)がインターネット取引における不正アクセス防止ガイドラインの改正案を公表し、ログインや出金フローでフィッシング耐性のあるMFA(多要素認証)の必須化を求めました。そこで例示されたのがパスキーです。
楽天証券・野村證券・SBI証券・マネックス証券などの主要証券会社は2025年内に対応を進め、フィッシング被害の深刻化を背景に、義務化の期限は2026年夏と予想されています。
理由3:パスワードによる被害が限界に達している
フィッシング、パスワードリスト攻撃、SMS認証を突破する中間者攻撃など、パスワードに依存した認証は限界が露呈しています。SMSワンタイムパスワードはSMS送信コストもかかり、サービス事業者にとってもパスキーへの移行はメリットが大きい状況です。
導入企業も、Adobe、Amazon、PayPal、NTTドコモ、ヤフー、メルカリ、トヨタ自動車、PlayStationなど多岐に渡ります。
まだ残る課題
パスキーは万能ではなく、現実的な課題もあります。
課題1:デバイス紛失時のリカバリ
同期パスキーであれば別端末から復旧できますが、リカバリ手段の設計はサービスごとに違います。ユーザー目線では「パスキーを2つ以上の端末に登録しておく」のが安全策です。
課題2:パスワードとの併用がまだ多い
多くのサービスは「パスキーも使えるけどパスワードも残っている」状態です。パスワードが残っている限り、そこを狙ったフィッシング被害は起こり得ます。理想は「パスキーのみ」ですが、移行期間が続く見込みです。
課題3:機種変更時の引き継ぎ
同期パスキーはエコシステム内(Apple同士、Google同士)では機種変更にも強いですが、iPhoneからAndroidへのような異なるエコシステム間での移行はまだスムーズではありません。クロスプラットフォームの引き継ぎ仕様(Credential Exchange Protocol)も標準化が進んでいますが、一般化にはもう少し時間がかかります。
課題4:ユーザー教育
「指紋でログインできる」という体験には慣れても、「パスワードを完全に捨てていい」という決断にはユーザー側の心理的ハードルがあります。これは技術というより啓発の課題です。
まとめ
- パスワードは「使い回し」「フィッシング」「覚えられない」「サーバー側にも秘密がある」という構造的な問題を抱えている
- パスキーは公開鍵暗号方式を使い、秘密鍵を端末から出さないことで、これらの問題を仕組みから解決する
- 生体認証やPINは、あくまで秘密鍵を使うときの「本人確認」であり、生体情報はサーバーには送られない
- 登録時に作られる公開鍵がサーバーに渡り、ログイン時はチャレンジに署名を返すだけ
- 登録ドメインでしか使えないため、フィッシングサイトでは動作しない
- 三大プラットフォームの対応、金融規制、フィッシング被害の深刻化を背景に、普及は加速している
- まだ過渡期で、リカバリ・引き継ぎ・パスワード併用の課題は残っている
「なぜ世の中のパスワードがこれに置き換わっていくのか」が、技術的にも社会的にも納得できたのではないでしょうか。普段使っているサービスでパスキーの設定画面を見かけたら、ぜひ一度設定してみることをおすすめします。