要旨
2004年、Microsoftの創業者ビル・ゲイツが「The password is dead」と宣言してから20年以上が経ちました[1]。しかし私たちはいまなお、フィッシング詐欺に脆弱なパスワードに依存し続けています。——そのパラダイムが、今まさに変わろうとしています。
パスキー(Passkeys)は、FIDO2標準に基づく公開鍵暗号方式の認証情報です。指紋や顔認証、PINによってデバイス上でのみ秘密鍵を使用するため、プロトコルレベルでフィッシングを排除できます[2]。2022年にApple・Google・Microsoftの3社がサポートを表明し[3]、2026年現在、日本の金融規制当局がSMS-OTPを「フィッシング耐性なし」と明確に位置づけ[4]、証券各社でパスキー義務化が進んでいます[5]。
本記事では、セキュリティエンジニアの視点から、パスキーの技術的な仕組み・国内外の普及実態・残存課題・そしてパスワードが「完全消滅」しない理由を多角的に論じます。
記事本文
1. なぜ今もパスワードが使われるのか——20年間の停滞
ビル・ゲイツの宣言から20年。にもかかわらず、トレンドマイクロの「パスワード・パスキーの利用実態調査2026」によれば、依然8割以上の利用者がパスワードを使い回していることが明らかになっています[6]。
パスワードがなくならない理由は技術的なものだけではありません。FIDO認証の最初の規格「FIDO1.0」は2012年にすでに公開されていましたが、当時はICカードやUSBセキュリティデバイスが必須であり、配布コストと読取機器の整備が普及の足枷になっていました[1]。また、専用のネイティブアプリが前提とされており、システム側の対応難易度も高かったのです[1]。
その状況を変えた3つの転換点があります。
- スマートフォンの普及:生体認証センサーを内蔵したデバイスを、ほぼすべての消費者が手にするようになった
- WebAuthn標準化(2018年):W3CがWebAuthn(Web Authentication API)を標準化し、主要ブラウザが2020年頃までに対応。システム側の実装難易度が劇的に低下した[1]
- 同期パスキー(Synced Passkeys)の登場:iCloudキーチェーンやGoogle パスワードマネージャーによるクラウド同期で、機種変更時のパスキー引き継ぎが可能になった[1]
この3条件が揃ったことで、2022年以降のパスキー普及加速が実現しています。
2. パスキーの技術的仕組み——なぜフィッシングに強いのか
2-1. FIDO2・WebAuthn・CTAPの関係
パスキーを正確に理解するには、FIDO2エコシステムの構造把握が必要です。
FIDO2
├── WebAuthn(W3C標準) ← ブラウザ↔サーバ間の通信仕様
└── CTAP2 ← デバイス↔ブラウザ間の通信仕様
| 用語 | 正式名称 | 役割 |
|---|---|---|
| FIDO2 | Fast Identity Online 2 | WebAuthn + CTAP2 の総称。公開鍵暗号に基づく認証標準 |
| WebAuthn | Web Authentication API | W3C標準。ブラウザがRelying Party(RP)と通信するためのAPI |
| CTAP2 | Client-to-Authenticator Protocol 2 | 認証器(デバイス)とブラウザ間の通信プロトコル |
| パスキー | Passkeys | WebAuthn認証情報のユーザー向けマーケティング用語。同期型と固定型がある |
"FIDO2 is an open authentication standard combining WebAuthn (browser API) and CTAP2 (authenticator protocol) to enable phishing-resistant authentication using public key cryptography."
— Alf Løkken, Understanding FIDO2, WebAuthn, and Passkeys [7]
https://alflokken.github.io/posts/understanding-fido2-passkeys/
2-2. 公開鍵暗号方式による認証フロー
パスキー認証の核心は、秘密鍵がデバイス外に出ないという設計思想にあります。
登録フロー(Registration)
1. ユーザーがサービスに登録要求
2. サーバー(Relying Party)がチャレンジ(nonce)を送信
3. デバイス上で公開鍵・秘密鍵ペアを生成
4. 秘密鍵 → デバイス内の保護領域(TPM/Secure Enclave/StrongBox等)に格納
5. 公開鍵 → サーバーに送信・保存
認証フロー(Authentication)
1. ユーザーがサービスへのログインを要求
2. サーバーがチャレンジ(nonce)を送信
3. ユーザーが生体認証またはPINで秘密鍵のロックを解除
4. 秘密鍵でチャレンジに署名 → サーバーに返送
5. サーバーが保存済みの公開鍵で署名を検証 → 認証成功
"A private key is stored on your device and public key is stored with the app or the website that you sign into. Both unique keys are needed to sign in."
— Microsoft Learn, Passkeys (FIDO2) authentication method in Microsoft Entra ID [8]
https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-passkeys-fido2
2-3. なぜフィッシングが「プロトコルレベル」で防げるのか
ここが最も重要な点です。パスキーは登録時にドメイン(Origin)と紐づけられます。
正規サイト:example.com → パスキー登録済み
偽サイト: examp1e.com → ドメインが異なるため認証不可
ユーザーが偽サイトにアクセスし、認証を試みてもブラウザまたはOSがドメインの不一致を検出して処理を中断します[9]。SMSワンタイムパスワードのように「ユーザーが気づいて入力しない」という人間の判断に依存せず、仕組みとして騙せない構造になっています[4]。
"Credentials are bound to specific domain origins and cannot function on fraudulent websites. Even if users attempt to authenticate on phishing sites, the browser prevents them from submitting credentials."
— OLOID, What Is FIDO2 WebAuthn and How It Works? [10]
https://www.oloid.com/blog/fido-2-webauthn
2-4. 同期型パスキーとデバイス固定型パスキーの比較
パスキーには大きく2種類あり、エンタープライズ導入では用途に応じた選択が重要です。
| 項目 | 同期型パスキー(Synced) | デバイス固定型パスキー(Device-Bound) |
|---|---|---|
| 秘密鍵の保存場所 | クラウド(iCloud / Google / Microsoft) | デバイス内の保護領域のみ |
| マルチデバイス利用 | ○ 同一アカウント間で自動同期 | × デバイスごとに個別登録が必要 |
| デバイス紛失時 | △ クラウドから復元可能 | △ 新デバイスで再プロビジョニングが必要 |
| セキュリティ強度 | 高(プラットフォームの実装依存) | 最高(秘密鍵の外部流出が原理的に不可) |
| 代表的な認証器 | Apple/Google/Microsoftアカウント | YubiKey等のFIDO2セキュリティキー |
"デバイス固定パスキーは、特定のデバイス内に秘密鍵が保持されるタイプで、同期やクラウド共有を行いません。YubiKeyなどのFIDO2対応デバイスで利用されることが多く、デバイスから秘密鍵が流出しないため、より堅牢なセキュリティを実現できます。"
— サイバートラスト, BtoCで利用拡大し始めた"パスキー"は企業や組織の認証にも活用できるのか? [11]
https://www.cybertrust.co.jp/blog/certificate-authority/client-authentication/passkey.html
3. 国内外の普及実態——数字が示す「転換点」
3-1. グローバルの認知・採用状況
FIDOアライアンスの調査によれば、パスキーの世界的な認知度は2022年の39%から2024年には57%へと約50%上昇しました。パスキーを知っている人の62%が実際に利用しています[12]。
"パスキーが初めて発表されてから2年間で、世界の認知度は50%も跳ね上がり、2022年の39%から2024年には57%に増加しました。"
— FIDO Alliance, 新しいデータによると、パスキーが主流の勢いを増すにつれて、ブランドはパスワードの問題のために若い顧客を失っています [12]
https://fidoalliance.org/new-data-finds-brands-are-losing-younger-customers-due-to-password-pain-as-passkeys-gain-mainstream-momentum/?lang=ja
エンタープライズ面でも普及が加速しています。2025年初頭のFIDOアライアンス報告では、米国・英国で調査した組織の87%がパスキーを導入済みまたは導入プロセス中と回答。うち47%はすでに一部の従業員への展開を完了しています[13]。
3-2. 日本の普及状況
トレンドマイクロの「パスワード・パスキーの利用実態調査2026」(2026年3月)では、日本国内でのパスキー認知率は91.1%に達しています。
- 「仕組みまで理解している」:41.9%
- 「名前を聞いたことがある」:49.2%
- パスキー提供サービス利用者のうち実際に利用中:87.7%[6]
利用開始理由は「二段階認証より楽」(41.8%)、「パスワード入力が面倒」(40.1%)が上位を占め、セキュリティよりも利便性が主な動機となっている点は、UX設計の観点で重要な示唆を含んでいます[6]。
3-3. 主要サービスの導入事例
| 企業・サービス | 導入内容・実績 |
|---|---|
| メルカリ | 2025年5月に登録者1,000万人突破。700万アカウント時点で不正ログイン被害ゼロ。ログイン速度がSMS認証比3.9倍(17秒→4.4秒)に高速化[14] |
| Amazon | 導入1年で1億7,500万人以上がパスキー有効化(市場シェア約40%)。パスキーによるサインインは従来比6倍高速[14] |
| Gemini(暗号資産) | 2025年5月に主要プラットフォームとして初のパスキー義務化。SMS等の脆弱な2FAを廃止。ビジネス成長269%の分析も[14] |
| マネーフォワードID | 2025年1月時点で約145万個のパスキーが登録済み。新規登録の60%以上がPasskey Auto Upgrade経由[15] |
| 楽天証券・SBI証券 | FIDO2パスキー認証を導入済み[16] |
| 野村證券 | 2025年11月29日よりパスキー認証を原則必須化[5] |
4. 日本の規制動向——「義務化」が加速する背景
2025年は、日本のパスキー普及における規制の転換点となった年です。金融セクターで不正アクセス事件が相次いだことを受け、規制当局が動きました。
2025年10月、金融庁は「金融商品取引業者等向けの総合的な監督指針」を改定。フィッシング耐性のある認証方式を採用した多要素認証を義務化し、その例としてパスキーを明示しました[11]。
同時に、NIST SP 800-63B revision 4(2025年8月改訂)においても、SMSやメールのワンタイムパスワードは「フィッシング耐性がある認証方式」に該当しないと明確に位置づけられています[4]。
"SMSやメールで届くワンタイムパスワードを手動入力させる多要素認証方式は、フィッシング耐性があるとはみなされません。"
— デロイト トーマツ, 金融機関向け パスキー導入時の論点と必要となる検討事項 [4]
https://www.deloitte.com/jp/ja/services/consulting/blogs/passkey-financial-industry.html
2025年7月には日本証券業協会(JSDA)がガイドライン改正案を公表し、ログイン・出金・口座変更フローにおけるフィッシング耐性MFAの実装を要求。義務化の期限は2026年夏とされています[5]。
この規制ラッシュにより、2025年末時点でFIDOアライアンスのJapan Working Groupは64組織に拡大し、国内50以上のパスキープロバイダーが稼働または計画中となりました[5]。
5. 残存課題——「完全普及」の前に立ちはだかる壁
パスキーは多くの問題を解決しますが、万能ではありません。セキュリティエンジニアとして、以下の課題を冷静に把握しておく必要があります。
5-1. エンタープライズでの実装複雑性
エンタープライズ環境でのパスキー導入は、消費者向けサービスよりも複雑です。主な理由は:
- レガシーシステムの存在:多くの業務システムやベンダーポータルがパスキー未対応
- Active Directory連携:既存のID管理システムとのインテグレーション設計が必要[17]
- ハイブリッド認証期間の管理:パスワードとパスキーが並存する移行期のリスク管理
"2026年における導入状況は「移行期」であると理解するのが最善です。パスキーは現実的で価値があり、ますます主流になりつつありますが、ほとんどの企業にとってハイブリッド認証が依然として運用の現実です。"
— Proton for Business, ビジネス向けパスキー:企業はパスワードを廃止できるでしょうか? [13]
https://proton.me/ja/business/blog/passkeys-for-business
5-2. 初期登録フローの脆弱性
これはあまり語られない盲点です。パスキーはフィッシングに強い認証ですが、登録プロセス自体が安全かどうかは別問題です。
アコムでは2025年半ば、盗まれたパスワードを保有する攻撃者が被害者のアカウントに自分のパスキーを不正登録する事象が発生し、新規生体認証登録を一時停止しました[5]。これは「パスキーを使っていれば安全」という思い込みへの警鐘です。
初期登録時の本人確認(Identity Proofing)が不十分であれば、攻撃者が正規ユーザーになりすましてパスキーを登録でき、その後の不正アクセスがフィッシング耐性によって検知不能になるというパラドックスが生じます。
5-3. ソーシャルエンジニアリングとの組み合わせリスク
パスキーはフィッシングを防ぎますが、すべてのソーシャルエンジニアリング攻撃に有効なわけではありません。
"パスキーを使えば突然、多要素認証(MFA)バイパスやソーシャルエンジニアリング攻撃に対して無敵になると考えるのは大きな誤りです。例えば、MGMリゾーツやシーザーズパレスへの攻撃では、ヘルプデスクを悪用して攻撃者自身がMFA認証機器を登録できるようにするというソーシャルエンジニアリングの要素が含まれていました。"
— RSA Blog, FIDOパスキーは企業での使用に適しているか? [18]
https://www.rsa.com/ja/resources/blog/passwordless/are-fido-passkeys-ready-for-enterprise-use/
5-4. プラットフォーム・デバイス間の互換性問題
日本市場特有の課題として、以下が顕在化しています[5]:
- Windows/Edgeの高い企業シェア:Windowsでのパスキー利用率が他プラットフォームと比較して依然低い(マネーフォワードIDの実測値でも確認)[15]
- Android OEMの断片化:デバイスメーカーごとの実装差異
- クロスデバイスフロー:iPhoneからWindowsへのQRコードベース認証などのエッジケース
5-5. ユーザーの不安心理
トレンドマイクロ調査では、パスキーに対する不安として「機種変更時の引き継ぎが不安」(35.6%)、「スマホ紛失・故障時にログインできなくなりそう」(35.3%)が上位を占めています[6]。これはアカウントリカバリーの設計・周知が普及のカギを握ることを示しています。
6. セキュリティエンジニアとして考えるべきこと
パスキーを「パスワードの単純な置き換え」として捉えることは誤りです。パスキーは認証のアーキテクチャ的な転換です。
Google Developersのドキュメントにある通り、パスキーは「標準化されているため、1回の実装で、ユーザーのすべてのデバイス、さまざまなブラウザやOSでパスワードなしのエクスペリエンスを実現できる」ものですが[9]、それはフロントエンドの実装が終わりではなく、スタート地点に過ぎません。
セキュリティエンジニアが考慮すべき実務的な論点を整理します:
(1)認証の「前後」を含めた設計
パスキーは認証時点のフィッシング耐性を担保しますが、登録前の本人確認プロセスとアカウントリカバリー後の再登録フローにリスクが集中します。ゼロトラスト的な観点で「認証成功=信頼」という前提を疑うことが必要です。
(2)同期型・固定型の用途分け
コンシューマー向けサービスには利便性の高い同期型、エンタープライズの高権限アカウントには固定型(YubiKey等)という使い分けが基本戦略になります。金融庁指針が「同期型パスキーの不正悪用リスク」にも言及している点は注目に値します[11]。
(3)段階的移行の設計
パスワードを「即廃止」するのではなく、パスキーを登録したユーザーにパスキーログインを優先させ、未登録ユーザーには登録を促すフローを設計する。メルカリが「金融サービス(メルコイン)から段階導入」した戦略は参考になります[14]。
(4)可観測性の確保
プラットフォーム・OS・ブラウザごとにパスキープロンプト表示から完了までの成功率をモニタリングし、サポートチケットが届く前に異常を検知する体制が重要です[5]。
認証技術は日々進化しています。しかし変わらないのは、攻撃者が常に「最も弱いリンク」を狙うということです。パスキーが強固であるほど、攻撃者は登録フロー・リカバリーフロー・ヘルプデスクへと矛先を向けます。「パスキーを入れたから安全」という油断こそが、次の脆弱性になりえます。
参考文献
[1] 野村総合研究所 Uni-ID. "パスワードがなくならない理由と解決策|パスキー導入とID統合で安全な認証を実現." April 17, 2026.
https://uni-id.nri.co.jp/blog/passkey-and-identity-integration
[2] Google for Developers. "パスキー | Passkeys." April 15, 2026.
https://developers.google.com/identity/passkeys?hl=ja
[3] CAPY Security. "海外&日本のパスキー導入事例39社まとめ|セキュリティ強化とUX改善の最前線." February 4, 2025.
https://corp.capy.me/blog/passkey/2025/02/海外&日本のパスキー導入事例38社まとめ|セキュリティ/
[4] デロイト トーマツ. "金融機関向け パスキー導入時の論点と必要となる検討事項." December 18, 2025.
https://www.deloitte.com/jp/ja/services/consulting/blogs/passkey-financial-industry.html
[5] Corbado. "パスキー日本2026:規制・導入状況と実装課題." March 27, 2026.
https://www.corbado.com/ja/blog/パスキー-日本-概要
[6] トレンドマイクロ. "パスワード・パスキーの利用実態調査2026." March 24, 2026.
https://www.trendmicro.com/ja_jp/about/newsroom/press-releases/2026/pr-20260324-01.html
[7] Alf Løkken. "Understanding FIDO2, WebAuthn, and Passkeys." January 28, 2026.
https://alflokken.github.io/posts/understanding-fido2-passkeys/
[8] Microsoft Learn. "Passkeys (FIDO2) authentication method in Microsoft Entra ID." April 6, 2026.
https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-passkeys-fido2
[9] Google for Developers. "パスキー | Passkeys." April 15, 2026.
https://developers.google.com/identity/passkeys?hl=ja
[10] OLOID. "What Is FIDO2 WebAuthn and How It Works?" May 15, 2026.
https://www.oloid.com/blog/fido-2-webauthn
[11] サイバートラスト. "BtoCで利用拡大し始めた"パスキー"は企業や組織の認証にも活用できるのか?" January 15, 2026.
https://www.cybertrust.co.jp/blog/certificate-authority/client-authentication/passkey.html
[12] FIDO Alliance. "新しいデータによると、パスキーが主流の勢いを増すにつれて、ブランドはパスワードの問題のために若い顧客を失っています." November 12, 2024.
https://fidoalliance.org/new-data-finds-brands-are-losing-younger-customers-due-to-password-pain-as-passkeys-gain-mainstream-momentum/?lang=ja
[13] Proton for Business. "ビジネス向けパスキー:企業はパスワードを廃止できるでしょうか?" May 21, 2026.
https://proton.me/ja/business/blog/passkeys-for-business
[14] Login Plus. "パスキー vs ソーシャルログイン、結局どっちがいいの?" March 4, 2026.
https://login-plus.jp/posts/passkey
[15] Money Forward Developers Blog. "パスキー利用状況レポート @ マネーフォワード ID (vol.7, Jan 2025)." January 10, 2025.
https://moneyforward-dev.jp/entry/2025/01/10/passkey-report-vol7
[16] Qiita(carol0226). "パスキー認証の現在地-Microsoft Ignite 2025 解説." January 22, 2026.
https://qiita.com/carol0226/items/bbd4db426d1145684550
[17] かもめエンジニアリング. "パスキーとは?企業がMFAから乗り換えるメリットと導入ステップ." January 30, 2026.
https://solution.kamome-e.com/blog/archive/20251112-2/
[18] RSA Blog. "FIDOパスキーは企業での使用に適しているか?" February 8, 2026.
https://www.rsa.com/ja/resources/blog/passwordless/are-fido-passkeys-ready-for-enterprise-use/