ITピックアップ・ITトレンド

HOME
ITピックアップ・ITトレンド
Passkey（パスキー）とは？パスワードレス時代の到来か？

2025年5月7日 / 最終更新日 : 2025年5月7日 APPSWINGBY ITピックアップ・ITトレンド

Passkey（パスキー）とは？パスワードレス時代の到来か？

米Microsoftは5月1日の「ワールドパスキーデー」において、アカウントサインインにおけるパスワード依存からの脱却を加速させる新たな取り組みを発表しました。その技術の根幹となっているのが「Passkey（パスキー）」です。ということで、今回は、パスワードレスを実現する「Passkey（パスキー）」について、ご紹介していきます。

では、さっそくはじめていきましょう！

1. Passkey（パスキー）とは
1.1. パスキーの主な特徴
2. パスキーの仕組み
2.1.1. 従来のパスワード方式との主な違い
2.1.2. パスキーが高いフィッシング耐性を持つ理由
3. パスキーのメリット
4. パスキーの課題
5. パスキーの普及状況

Passkey（パスキー）とは

Passkey（パスキー）は、FIDO Alliance（Fast IDentity Online）とW3Cが共同開発した認証規格に基づく認証方法です。従来のパスワードに代わる、より安全で利便性の高い認証方式です。パスワードレス認証を実現し、フィッシング攻撃に対する強力な耐性を持ちます。

パスキーの主な特徴

以下は、パスキーの特徴を簡単にまとめたものです。

パスワードレス認証: ユーザーはパスワードを記憶・入力する必要がなくなります
生体認証の活用: 指紋認証、顔認証などの生体情報を利用します
デバイスベース: 認証情報はユーザーのデバイスに保存されます
フィッシング耐性: サイト固有の認証情報を使用するため、フィッシング攻撃に強いです
クロスプラットフォーム: 異なるデバイス間で認証情報を共有できます

パスキーの仕組み

パスキーは、公開鍵暗号方式を採用しています。ユーザーがウェブサイトやアプリでパスキーを登録する際、デバイス上で一意の公開鍵と秘密鍵のペアが生成されます。

公開鍵：ウェブサイトやアプリのサーバーに登録されます。公開鍵は秘密ではないため、漏洩しても問題ありません。
秘密鍵：ユーザーのデバイス（スマートフォン、PC、セキュリティキーなど）に安全に保存され、サーバーに送信されることはありません。

パスキー認証の際には、以下の手順でユーザー認証が行われます。

ユーザーがウェブサイトやアプリにログインを試みます。
サーバーは、登録された公開鍵に対応するチャレンジ（ランダムなデータ）をユーザーのデバイスに送信します。
ユーザーのデバイスは、保存されている秘密鍵を使用してチャレンジに署名します。この署名には、秘密鍵がなければ生成できないため、ユーザー本人であることの証明となります。
署名されたチャレンジがサーバーに送信されます。
サーバーは、保管しているユーザーの公開鍵を使用して署名の検証を行います。署名が正しければ、ユーザーは認証され、ログインが成功します。

この認証プロセスにおいて、パスワードのような秘密の情報がネットワーク上を流れることはありません。

従来のパスワード方式との主な違い

パスキー	従来のパスワード
覚える必要なし	記憶が必要
デバイスに保存	サーバー側に保存
サイト固有の認証情報	同じパスワードの使い回しが可能
フィッシング耐性あり	フィッシング攻撃に弱い
生体認証と連携	入力が必要

従来のパスワード方式との主な違い

パスキーが高いフィッシング耐性を持つ理由

パスキーが従来のパスワードと比較して非常に高いフィッシング耐性を持つ主な理由は以下の通りです。

ドメインバインディング（RPIDとオリジンの検証）：パスキーは、作成された特定のウェブサイトやアプリのドメイン（RPID: Relying Party ID）とオリジン情報に紐付けられます。そのため、フィッシングサイトが本物のサイトに似せて作られても、ユーザーのデバイスはフィッシングサイトに対してパスキーを提供することはありません。システム（ブラウザ、OS、パスワードマネージャーなど）が、提示されたウェブサイトが正規の登録済みドメインと一致するかどうかを確認するため、悪意のあるサイトにパスキーが渡ることはありません。
秘密鍵がデバイスから漏洩しない：認証に必要な秘密鍵はユーザーのデバイス内に安全に保管され、サーバーに送信されることはありません。フィッシング詐欺の手口は、ユーザーに偽のログインページなどでパスワードを入力させることで秘密情報を盗むものですが、パスキー認証では入力する秘密情報そのものが存在しないため、この手口が通用しません。
常に強力な認証：パスキーは、ユーザーが作成するパスワードのように脆弱なものではなく、公開鍵暗号に基づいた強力な暗号化技術によって保護されています。総当たり攻撃や辞書攻撃といった、パスワードに対する一般的な攻撃手法は効果がありません。
多要素認証（MFA）の統合：パスキーの利用時には、通常、デバイスの生体認証（指紋認証、顔認証）や画面ロック（PIN、パターン）による本人確認が求められます。これは「何かを持っている（デバイス）」と「何かである（生体情報）」または「何かを知っている（PINなど）」という多要素による認証を1つのステップで実現しており、セキュリティをさらに高めます。

パスキーのメリット

セキュリティ面以外にも、パスキーには以下のような利点があります。

利便性の向上：パスワードを覚える必要がなくなり、生体認証や画面ロックで簡単にログインできます。
パスワード管理の負担軽減：複数のウェブサイトやアプリで異なる複雑なパスワードを管理する手間から解放されます。
アカウント乗っ取りのリスク軽減：フィッシング攻撃だけでなく、パスワードリスト攻撃やブルートフォース攻撃など、パスワードに関連する様々な脅威からアカウントを保護します。
パスワードリセットの減少：パスワード忘れによるアカウント復旧の手間やサポートコストを削減できます。

パスキーの課題

素晴らしく万能に見えるパスキーですが、いくつかの課題も残されています。

デバイス依存: 認証デバイスが必要。とくに認証デバイスを紛失した時の対応が重要になります。
互換性: 古いシステムではサポートされていない場合があります。
導入コスト: 企業側のシステム更新が必要
認知度: 一般ユーザーへの認知・教育が必要

パスキーの普及状況

2023年から2024年にかけて急速に採用が進んでいます。

Amazonや楽天などの大手ECサイト
SNSプラットフォーム（Twitter/X、Facebook、Instagramなど）
金融機関やクレジットカード会社
クラウドサービス各社

パスキーは、公開鍵暗号という堅牢な技術に基づき、従来のパスワード認証の弱点であったフィッシングに対する脆弱性を根本的に解消する、非常に有効な認証方式である為、今後数年でパスワードに代わる主要認証方法になると予測されています。

利便性も高く、ユーザーはより安全かつスムーズにオンラインサービスを利用できるようになります。今後、パスキーの対応サービスはますます増加していくと予想され、より安全なデジタル社会の実現に貢献することが期待されています。業界全体がパスワードレス認証に移行する流れの中で、パスキーは中心的な役割を果たすでしょう。

ビジネスや個人ユーザーは、今後のセキュリティ強化とユーザー体験向上のために、パスキー対応を検討することが推奨されます。

システム開発にお困りではありませんか？

もしも今現在、

どのように開発を依頼したらよいかわからない
どのように開発を依頼したらよいかわからない
企画や要件定義の段階から依頼できるのか知りたい
システム開発費用がどれくらいかかるのか知りたい
見積りがほしい

など、システム開発に関するご相談・ご依頼がございましたら、お気軽にご相談ください。APPSWINGBYでは、「アプリでお客様のビジネスを加速し、お客様とともにビジネスの成功と未来を形作ること」をミッションとしています。大手SIerやＲ＆Ｄ部門で培った経験やノウハウ、高度な技術力でお客様の「やりたい」を実現します。

今すぐ相談

まずはお気軽にご相談ください

この記事を書いた人

株式会社APPSWINGBY マーケティング

APPSWINGBY（アップスイングバイ）は、アプリケーション開発事業を通して、お客様のビジネスの加速に貢献することを目指すITソリューションを提供する会社です。

ご支援業種

情報・通信、医療、製造、金融（銀行・証券・保険・決済）、メディア、流通・EC・運輸など多数