パスキー」「パスワードレス」「指紋だけでログインできた」… ここ数年で急に聞くようになった、新しい認証方式。

あちこちで聞く パスキー
図1:あちこちで聞く「パスキー」

二段階認証パスワードマネージャーフィッシング詐欺 で「守る側」の知識を整えてきました。今回はその 次の世代——「そもそもパスワードを無くしてしまえばいい」という発想の話。ふんわり見ていきます。

パスキーってなに?

ざっくり言うと、パスワードの代わりに、端末の指紋・顔・PIN だけでログインできる仕組み です。

パスキー=指紋・顔認証だけでログインできる
図2:パスキー=端末の生体認証だけでログイン完了

体験はとてもシンプル:

  1. サービスにアクセス → ログインボタンを押す
  2. 端末(iPhone・Android・PC)が 指紋/顔認証/PIN を聞いてくる
  3. 認証通過 → ログイン完了

パスワード入力欄もない。コードを待つ必要もない。 これでログインが完了します。

土台になっている技術規格は FIDO2(ファイドツー)。この複雑な技術仕様を、ユーザーから見ても分かりやすい「パスキー」という愛称で各社が普及させている、という位置づけです。

なぜパスワードはもう古いの?

パスワード認証は 数十年前 から使われてきましたが、現代では限界が見えています。

パスワードの3つの限界
図3:パスワードの3つの限界
  • 覚えられない問題:人が使うサービスは平均30〜100個。全部別の強パスワードは無理
  • 漏れる問題:大手サービスでも頻繁に流出。一度漏れたら他サービスでも試される(リスト型攻撃
  • 騙される問題:偽サイトに入力すれば、強いパスワードでも一瞬で盗まれる(フィッシング詐欺

→ パスワードは 「人間の記憶」と「文字の入力」 に依存している以上、この3つから完全に逃れられない。

そこで考えられたのが、「入力を端末側に任せて、人は生体認証だけする」という発想——それがパスキーです。

仕組み:公開鍵と秘密鍵の二人三脚

パスキーの裏側で動いているのは、公開鍵暗号方式 という仕組み。難しそうな名前ですが、考え方は 「鍵と錠前のペア」 です。

公開鍵と秘密鍵の二人三脚
図4:サーバーは錠前を持ち、あなたの端末は鍵を持つ

仕組みはこう:

  • 登録時:端末がペアの鍵を生成。錠前(公開鍵)はサーバーへ預ける鍵(秘密鍵)は端末の中に閉じ込める
  • ログイン時サーバーから「これ開けてみて」と挑戦状(ランダムなデータ)が届く
  • 端末はあなたの 生体認証 で「本人ですね」を確認したら、秘密鍵で挑戦状に署名 して返す
  • サーバーは登録済みの錠前で署名を検証 → 一致したらログイン成功

→ 重要なポイント:秘密鍵はサービス側(サーバー)には一切渡らない。iCloudキーチェーンやGoogleパスワードマネージャーで同期する場合も、暗号化されたまま 自分の端末の間だけ で共有されます。サーバーが持つのは公開鍵だけなので、サーバーが攻撃されても秘密鍵は盗まれない。これがパスキーの強さの根本です。

パスキーが優れている3つの点

パスワードと比べて、パスキーには大きな利点が3つあります。

パスキーが優れている3つの点
図5:覚えない・盗まれない・騙されない

1. 覚えなくていい

人が記憶する必要があるのは、端末のロック解除(指紋・顔・PIN)だけ。サービスごとのパスワードは存在しません。

2. 盗まれない

秘密鍵が サーバー側に渡らない ので、サーバー側の漏洩で大量に盗まれるリスクがゼロ。「何億件流出」みたいなニュースが、パスキーには起きません。

3. フィッシング詐欺が無効

パスキーは ドメインに紐付けられて 生成される。偽サイト(例:amaz0n.co.jp)では、本物(amazon.co.jp)用のパスキーが 物理的に動かない
米CISA(サイバー機関)も「広く使えるフィッシング耐性のある認証」として推奨 しています。

→ パスワード時代の三大問題(覚える・漏れる・騙される)を、仕組みそのもの で解決してくる。

どこで使える?

ここ数年で、対応サービスが一気に広がりました。

パスキー対応サービス一覧
図6:主要サービスの多くが対応済み

代表的な対応サービス:

  • 大手プラットフォーム:Google・Apple・Microsoft・Amazon
  • 主要SNS:X・LINE・TikTok など
  • 大手EC・通販:メルカリ・PayPal・eBay など
  • 金融機関の一部:ネット証券・ネット銀行・カード会社(SBI証券・三井住友銀行 など)

→ あなたが普段使ってる主要サービスの 大半が対応 している状況。まずは Google アカウントから始める のが定番。

→ 設定は各サービスの「セキュリティ設定」→「パスキーを追加」から数分で完了。最初のうちは フォールバックとしてパスワードと2FAも残しておく のが現実的。

まとめ

パスキーのすべて、これ1枚で
図7:パスキーのすべて、これ1枚で

ふんわり理解チェック

  • パスキー=パスワードの代わりに、指紋・顔・PIN だけでログインできる仕組み(土台の規格は FIDO2)
  • 裏側は公開鍵暗号方式:サーバーが錠前、端末が鍵を持つ二人三脚
  • 3つの強み:覚えない/漏れて困らない/フィッシングに無効
  • Google・Apple・Amazon・SNS など主要サービスの大半が対応
  • 端末紛失時の復旧手段を必ず確認、パスワードも併用が現実的

パスキーは、「パスワードを管理する苦労」そのものを過去にする仕組み
完全に置き換わるのはまだ少し先ですが、対応サービスから順に切り替えていくと、ネットの安全性も使い心地も一段上がります🔑

二段階認証パスワードマネージャーフィッシング詐欺 で守りを固めた上で、最終形態としてパスキーを取り入れる——それが 今、個人ができる最強の防御 です🌱