FIDO Alliance と W3C が推進するパスワードレス認証方式。公開鍵暗号ベースでフィッシング耐性が高く、指紋や顔認証でデバイス間同期される次世代の認証技術。
現代のインターネット利用において、最大のストレスの一つが「パスワード管理」です。複雑な文字列を記憶し、サービスごとに異なるパスワードを設定し、定期的に変更を求められる。しかし、こうした運用はユーザーに負担を強いるだけでなく、フィッシング詐欺やリスト攻撃といったセキュリティ上の脆弱性を生む原因となっていました。
これらの課題を根本的に解決するために登場したのが「パスキー(Passkeys)」です。パスキーは、FIDO Alliance(ファイド・アライアンス)とW3C(World Wide Web Consortium)が共同で推進するパスワードレス認証方式です。
簡単に言えば、パスキーとは「デバイス(スマートフォンやPC)自体を鍵にする」技術です。ユーザーがパスワードを入力する代わりに、指紋認証、顔認証、またはデバイスの画面ロック解除(PIN)を利用して本人確認を行い、サーバー側で保持している公開鍵と、デバイス内の安全な領域に保存された秘密鍵を照合することで認証を完了させます。
これにより、ユーザーは複雑な文字列を覚える必要がなくなり、同時に「サーバーからパスワードが漏洩する」というリスクを完全に排除することが可能になります。
パスキーの根幹にあるのは「公開鍵暗号(Public Key Cryptography)」という数学的な仕組みです。従来のパスワード認証では、ユーザーとサーバーの両方が同じ「パスワード(共有秘密情報)」を保持していましたが、パスキーでは「秘密鍵」と「公開鍵」というペアとなる2つの鍵を使用します。
ユーザーが特定のサービス(例:GoogleアカウントやAmazon)でパスキーを有効にすると、デバイス内部のセキュアな領域で「秘密鍵(Private Key)」と「公開鍵(Public Key)」のペアが生成されます。
ログイン時には、以下のプロセスが高速に実行されます。
このプロセスにおいて、ネットワーク上を流れるのは「署名」であり、「秘密鍵」そのものは一切送信されません。そのため、通信経路でデータを盗聴されても、次回のログインに悪用することは不可能な構造になっています。
パスキーを安全に運用するためには、秘密鍵をOSやアプリケーションから隔離して保存する「ハードウェア的な保護領域」が不可欠です。PC自作ユーザーやガジェット愛好家にとって重要なのは、どのチップがこの役割を担っているかという点です。
現代のデバイスには、メインCPUとは独立したセキュリティ専用プロセッサが搭載されています。
デバイス内蔵の認証だけでなく、物理的なUSBキーを利用する方法もあります。
パスキー認証は、従来の2要素認証(SMS認証など)に比べて圧倒的に高速です。
従来の認証方式とパスキーの違いを整理すると、利便性とセキュリティの両立がいかに進化したかが分かります。
| 比較項目 | 従来のパスワード | 2要素認証 (2FA/SMS) | パスキー (Passkeys) |
|---|---|---|---|
| 認証の手間 | 文字入力(記憶が必要) | パスワード + コード入力 | 生体認証のみ(1タップ) |
| フィッシング耐性 | 非常に低い(盗まれる) | 中(コードを盗まれる可能性) | 非常に高い(不可) |
| サーバー漏洩リスク | 高い(ハッシュ化されていても危険) | 中(パスワード漏洩リスクあり) | 極めて低い(公開鍵のみ保存) |
| デバイス依存性 | なし(どこでもログイン可) | 中(電話番号/アプリが必要) | あり(登録デバイスが必要) |
| 管理コスト | 高い(パスワードマネージャー必須) | 中(管理アプリの運用) | 低い(OS/クラウドで同期) |
従来のパスワード認証では、ユーザーが偽のログインサイト(フィッシングサイト)にパスワードを入力してしまうと、攻撃者に情報を盗まれます。しかし、パスキー(WebAuthn規格)では、ブラウザが「接続先のドメイン」を厳格にチェックします。 もし偽サイトにアクセスした場合、ブラウザは「このドメイン(例:g00gle.com)に紐づく秘密鍵は存在しない」と判断し、認証リクエスト自体を拒否します。ユーザーが騙されてボタンを押したとしても、技術的に認証が成立しないため、アカウントを乗っ取られることはありません。
パスキーは現在、導入期から普及期へと移行しています。2025年から2026年にかけて、認証のあり方は以下のように進化すると予想されます。
初期のFIDO2デバイスは「1つの鍵は1つのデバイス」に固定されていましたが、現在は iCloud キーチェーン、Google パスワードマネージャー、Microsoft アカウントなどを通じて、暗号化された状態でクラウド同期される「同期可能なパスキー」が主流となっています。これにより、新しいスマートフォンに買い替えた際も、スムーズに認証情報を引き継げます。
多くのWebサービスが「パスワードをオプション(予備)」とし、「パスキーをデフォルト」とする UI/UX へ移行しています。2026年までには、多くの主要プラットフォームにおいて、パスワードを設定することなくアカウントを作成するフローが一般的になるでしょう。
PCパーツの面では、次世代のCPUやマザーボードにおいて、TPMの処理能力向上や、よりセキュアなメモリ分離技術(Confidential Computing)の統合が進みます。これにより、パスキーに限らず、OSレベルでの機密情報管理がさらに強固になります。
パスキーを導入する際は、以下の点に注意してください。
Q1: スマートフォンを紛失したり、壊したりした場合、アカウントにログインできなくなりますか? A1: クラウド同期(Google、Apple、Microsoftアカウント)を利用している場合は、新しいデバイスで同じアカウントにログインすればパスキーが復元されるため、問題ありません。ただし、同期をオフにしている場合や、ハードウェアキー(USBキー)のみを利用している場合は、あらかじめ設定した「リカバリ方法(バックアップコードなど)」を使用して復旧させる必要があります。
Q2: パスキーを導入すると、サイト運営者に自分の指紋や顔データが送信されるのでしょうか? A2: いいえ、絶対に送信されません。指紋や顔のデータは、デバイス内部のセキュアな領域(Secure Enclave等)でのみ照合に使用されます。サーバーに送られるのは、照合が成功した結果として生成された「デジタル署名」のみであり、生体情報そのものがデバイスの外に出ることはありません。
Q3: PC自作でTPMを無効にしている場合、パスキーは使えませんか? A3: Windows Helloなどを利用してパスキーを保存する場合、TPM 2.0が必要です。BIOS/UEFI設定でTPM(またはfTPM/PTT)を無効にしていると、OS側でパスキーの保存・管理ができず、エラーになります。最新のWindows 11環境であれば、原則として有効に設定しておく必要があります。また、外部のUSBセキュリティキーを使用する場合は、TPMがなくても認証可能です。