「パスキー」「パスワードレス」「指紋だけでログインできた」… ここ数年で急に聞くようになった、新しい認証方式。

二段階認証・パスワードマネージャー・フィッシング詐欺 で「守る側」の知識を整えてきました。今回はその 次の世代——「そもそもパスワードを無くしてしまえばいい」という発想の話。ふんわり見ていきます。
パスキーってなに?
ざっくり言うと、パスワードの代わりに、端末の指紋・顔・PIN だけでログインできる仕組み です。

体験はとてもシンプル:
- サービスにアクセス → ログインボタンを押す
- 端末(iPhone・Android・PC)が 指紋/顔認証/PIN を聞いてくる
- 認証通過 → ログイン完了
パスワード入力欄もない。コードを待つ必要もない。 これでログインが完了します。
土台になっている技術規格は FIDO2(ファイドツー)。この複雑な技術仕様を、ユーザーから見ても分かりやすい「パスキー」という愛称で各社が普及させている、という位置づけです。
なぜパスワードはもう古いの?
パスワード認証は 数十年前 から使われてきましたが、現代では限界が見えています。

- 覚えられない問題:人が使うサービスは平均30〜100個。全部別の強パスワードは無理
- 漏れる問題:大手サービスでも頻繁に流出。一度漏れたら他サービスでも試される(リスト型攻撃)
- 騙される問題:偽サイトに入力すれば、強いパスワードでも一瞬で盗まれる(フィッシング詐欺)
→ パスワードは 「人間の記憶」と「文字の入力」 に依存している以上、この3つから完全に逃れられない。
そこで考えられたのが、「入力を端末側に任せて、人は生体認証だけする」という発想——それがパスキーです。
仕組み:公開鍵と秘密鍵の二人三脚
パスキーの裏側で動いているのは、公開鍵暗号方式 という仕組み。難しそうな名前ですが、考え方は 「鍵と錠前のペア」 です。

仕組みはこう:
- 登録時:端末がペアの鍵を生成。錠前(公開鍵)はサーバーへ預ける、鍵(秘密鍵)は端末の中に閉じ込める
- ログイン時:サーバーから「これ開けてみて」と挑戦状(ランダムなデータ)が届く
- 端末はあなたの 生体認証 で「本人ですね」を確認したら、秘密鍵で挑戦状に署名 して返す
- サーバーは登録済みの錠前で署名を検証 → 一致したらログイン成功
→ 重要なポイント:秘密鍵はサービス側(サーバー)には一切渡らない。iCloudキーチェーンやGoogleパスワードマネージャーで同期する場合も、暗号化されたまま 自分の端末の間だけ で共有されます。サーバーが持つのは公開鍵だけなので、サーバーが攻撃されても秘密鍵は盗まれない。これがパスキーの強さの根本です。
パスキーが優れている3つの点
パスワードと比べて、パスキーには大きな利点が3つあります。

1. 覚えなくていい
人が記憶する必要があるのは、端末のロック解除(指紋・顔・PIN)だけ。サービスごとのパスワードは存在しません。
2. 盗まれない
秘密鍵が サーバー側に渡らない ので、サーバー側の漏洩で大量に盗まれるリスクがゼロ。「何億件流出」みたいなニュースが、パスキーには起きません。
3. フィッシング詐欺が無効
パスキーは ドメインに紐付けられて 生成される。偽サイト(例:amaz0n.co.jp)では、本物(amazon.co.jp)用のパスキーが 物理的に動かない。
米CISA(サイバー機関)も「広く使えるフィッシング耐性のある認証」として推奨 しています。
→ パスワード時代の三大問題(覚える・漏れる・騙される)を、仕組みそのもの で解決してくる。
どこで使える?
ここ数年で、対応サービスが一気に広がりました。

代表的な対応サービス:
- 大手プラットフォーム:Google・Apple・Microsoft・Amazon
- 主要SNS:X・LINE・TikTok など
- 大手EC・通販:メルカリ・PayPal・eBay など
- 金融機関の一部:ネット証券・ネット銀行・カード会社(SBI証券・三井住友銀行 など)
→ あなたが普段使ってる主要サービスの 大半が対応 している状況。まずは Google アカウントから始める のが定番。
→ 設定は各サービスの「セキュリティ設定」→「パスキーを追加」から数分で完了。最初のうちは フォールバックとしてパスワードと2FAも残しておく のが現実的。
まとめ

ふんわり理解チェック
- パスキー=パスワードの代わりに、指紋・顔・PIN だけでログインできる仕組み(土台の規格は FIDO2)
- 裏側は公開鍵暗号方式:サーバーが錠前、端末が鍵を持つ二人三脚
- 3つの強み:覚えない/漏れて困らない/フィッシングに無効
- Google・Apple・Amazon・SNS など主要サービスの大半が対応
- 端末紛失時の復旧手段を必ず確認、パスワードも併用が現実的
パスキーは、「パスワードを管理する苦労」そのものを過去にする仕組み。
完全に置き換わるのはまだ少し先ですが、対応サービスから順に切り替えていくと、ネットの安全性も使い心地も一段上がります🔑
二段階認証・パスワードマネージャー・フィッシング詐欺 で守りを固めた上で、最終形態としてパスキーを取り入れる——それが 今、個人ができる最強の防御 です🌱