パスキーとは ― パスワードに代わる新しい認証方式を情シス視点で解説
「パスワードをなくす」。長年セキュリティ業界で語られてきたこの目標が、パスキー(Passkey)の普及によっていよいよ現実になりつつあります。
Apple、Google、Microsoftの3社がパスキーに対応し、2026年にはMicrosoft 365やGoogle Workspaceでもパスキーによるサインインが標準的に利用できるようになりました。
この記事では、中小企業の情シス担当者がパスキーについて知っておくべきことを、技術的な背景から導入手順まで解説します。
パスキーとは
パスキーは、パスワードの代わりに使える認証方式です。FIDO2/WebAuthn標準に基づいており、生体認証(指紋・顔認証)やPINを使って、安全かつ簡単にサインインできます。
パスワードとパスキーの違い
| 項目 | パスワード | パスキー |
|---|---|---|
| 認証方法 | 文字列を入力 | 生体認証 / PIN |
| フィッシング耐性 | なし(偽サイトに入力してしまう) | あり(ドメインに紐づく) |
| 漏洩リスク | 高い(サーバーに保存) | 低い(秘密鍵はデバイスに保存) |
| 使い回し | ユーザーが同じパスワードを使い回す | サービスごとに固有の鍵ペア |
| ユーザー体験 | 複雑なパスワードを覚える必要がある | 指紋や顔認証でワンタッチ |
パスキーの仕組み
パスキーは公開鍵暗号方式を使用します。
- 登録時: デバイス上で公開鍵と秘密鍵のペアを生成する。公開鍵はサーバーに、秘密鍵はデバイスに保存される
- 認証時: サーバーがチャレンジ(ランダムなデータ)を送信し、デバイスが秘密鍵で署名して返す。サーバーは公開鍵で署名を検証する
- 秘密鍵の保護: 秘密鍵はデバイスのセキュリティチップ(TPM、Secure Enclave)に保存され、生体認証やPINで保護される
ポイント: 秘密鍵はデバイスの外に出ないため、サーバー側のデータベースが侵害されても認証情報は漏洩しません。
なぜパスキーが必要なのか
パスワードの限界
- 漏洩: データブリーチにより流出したパスワードの数は2025年時点で120億件以上
- 使い回し: ユーザーの65%以上が複数サービスで同じパスワードを使用
- フィッシング: クイッシングや同意フィッシングなど、手口が高度化
- 管理コスト: パスワードリセット対応はヘルプデスクの問い合わせの20〜30%を占める
MFAの限界
MFA(多要素認証)はパスワードの弱点を補いますが、完全ではありません。
- SMS認証はSIMスワップ攻撃で突破される
- 認証アプリのコードはリアルタイムフィッシングで中継される
- MFA疲労攻撃(プッシュ通知を大量送信して承認させる)が増加
パスキーはこれらの攻撃をすべて技術的に防ぎます。
パスキーの種類
デバイスバウンドパスキー
特定のデバイス(PCやスマートフォン)に紐づくパスキーです。
- メリット: 秘密鍵がデバイスの外に出ないため最も安全
- デメリット: デバイスを紛失すると認証できなくなる
- 用途: セキュリティ要件が高い企業環境
同期パスキー
iCloud Keychain、Google Password Manager、Windows Helloなどを通じて、同じアカウントの複数デバイス間で同期されるパスキーです。
- メリット: デバイス紛失時も別デバイスで認証可能、ユーザーの利便性が高い
- デメリット: クラウドアカウントが侵害されるとパスキーも漏洩するリスク
- 用途: コンシューマー向け、利便性重視の企業環境
セキュリティキー(ハードウェア)
YubiKeyなどの物理デバイスに格納されるパスキーです。
- メリット: 最高レベルのセキュリティ、紛失管理が容易
- デメリット: 追加コスト(1本3,000〜8,000円)、物理的な管理が必要
- 用途: 管理者アカウント、特権アカウントの保護
Microsoft 365でのパスキー導入
前提条件
- Microsoft Entra ID(旧Azure AD)のテナント
- Windows 10以降 / macOS / iOS / Android
- FIDO2対応のブラウザ(Edge, Chrome, Safari, Firefox)
設定手順
ステップ1:FIDO2セキュリティキー認証を有効化
- Microsoft Entra管理センター → 保護 → 認証方法 → ポリシー
- 「FIDO2セキュリティキー」を選択
- 「有効化」を「はい」に設定
- 対象ユーザー/グループを指定
ステップ2:パスキーの登録
ユーザーが以下の手順でパスキーを登録します。
- https://mysignins.microsoft.com にアクセス
- セキュリティ情報 → サインイン方法の追加
- 「パスキー」または「セキュリティキー」を選択
- デバイスの指示に従って生体認証を登録
ステップ3:条件付きアクセスでパスキーを必須化
管理者アカウントや機密データへのアクセスには、パスキーによる認証を必須にします。
- Microsoft Entra管理センター → 保護 → 条件付きアクセス
- 新しいポリシーを作成
- 付与 → 「認証強度を要求する」→ 「フィッシング耐性のあるMFA」を選択
Google Workspaceでのパスキー導入
設定手順
ステップ1:パスキー認証を有効化
- Google Workspace管理コンソール → セキュリティ → 認証 → パスキー
- 「ユーザーがパスキーを使用してパスワードをスキップできるようにする」を有効化
- 対象の組織部門を選択
ステップ2:パスキーの登録
- ユーザーがmyaccount.google.comにアクセス
- セキュリティ → パスキーとセキュリティキー → パスキーを作成
- デバイスの指示に従って登録
ステップ3:パスワードレスへの移行
段階的にパスワードなしの認証に移行します。
- まずパスキーとパスワードの併用期間を設ける
- 全ユーザーのパスキー登録を確認
- 管理コンソールで「パスワードレスログイン」を有効化
導入時の注意点
1. 復旧手段の確保
パスキーのみに頼ると、デバイス紛失時にアカウントにアクセスできなくなります。
- 復旧用のセキュリティキーを2本以上登録する(1本は金庫に保管)
- 管理者アカウントには必ず複数の認証手段を設定する
- 緊急アクセス用のブレークグラスアカウントを用意する
2. 共有端末の対応
工場の共有PC、受付端末など、複数人が使用する端末ではパスキーの運用が難しい場合があります。
- ハードウェアセキュリティキーの利用を検討する
- 共有端末用の別の認証ポリシーを設定する
3. 段階的な導入
一度に全社展開せず、段階的に導入します。
| フェーズ | 対象 | 期間 |
|---|---|---|
| Phase 1 | IT部門・管理者 | 2週間 |
| Phase 2 | パイロット部門(20〜30名) | 1か月 |
| Phase 3 | 全社展開 | 2〜3か月 |
4. ヘルプデスク対応の準備
導入初期はユーザーからの問い合わせが増えます。
- 「パスキーの登録方法」のマニュアルを用意する
- 「生体認証がうまくいかない場合」のFAQを準備する
- ヘルプデスク担当者への事前研修を実施する
よくある質問
Q. パスキーを使えばMFAは不要ですか?
パスキー自体が「所有要素(デバイス)+ 生体要素(指紋等)」の多要素認証です。パスキーを使用していれば、追加のMFA(SMSコード、認証アプリ)は不要です。
Q. スマートフォンを機種変更したらどうなりますか?
同期パスキーを使用していれば、新しいデバイスでクラウドアカウントにログインすれば自動的にパスキーが同期されます。デバイスバウンドパスキーの場合は再登録が必要です。
Q. パスキー対応していないサービスはどうしますか?
パスキーに対応していないサービスは、引き続きパスワード + MFAで運用します。パスワードマネージャーの併用を推奨します。
Q. 導入コストはどのくらいですか?
デバイスの生体認証(Windows Hello、Touch ID、顔認証)を使う場合、追加コストはゼロです。ハードウェアセキュリティキーを導入する場合は、1本3,000〜8,000円の費用がかかります。
まとめ
パスキーは、パスワードの持つ根本的な脆弱性(漏洩、フィッシング、使い回し)を技術的に解決する認証方式です。Microsoft 365、Google Workspaceの両方で利用可能になり、中小企業でも導入のハードルが大きく下がっています。
まずはIT管理者アカウントにパスキーを設定し、段階的に全社展開を進めることをお勧めします。パスワードリセット対応の削減という副次的なメリットも、情シスにとっては大きな魅力です。
パスキーの導入や認証基盤の見直しでお困りの方は、情シス365の無料相談をご活用ください。