パスキーとは?仕組み・危険性・二段階認証との違いをわかりやすく解説
スマホやPCでログインするとき、「パスキーを作成」「パスキーでログイン」という表示を見る機会が増えてきました。
結論から言うと、パスキーはパスワードを覚えたり入力したりせず、スマホやPCのロック解除で本人確認できる新しいログイン方式です。指紋認証や顔認証を使うことが多いため「生体認証そのもの」と思われがちですが、本質はそこではありません。
重要なのは、パスワードのような「盗まれる文字列」を使わず、公開鍵暗号という仕組みで本人確認する点です。サービス側に保存されるのは公開してもよい鍵だけで、ログインに必要な秘密鍵は端末やパスキーマネージャー側に保管されます。
そのため、パスキーはフィッシング、パスワード流出、使い回し攻撃に強いとされています。一方で、端末の紛失、共有端末での利用、復旧手段の弱さなど、使う前に知っておきたい注意点もあります。
まずは「便利そうだから使う」ではなく、何が安全で、何に注意すべきかを理解しておきましょう。
1. パスキーはパスワードの代わりになるログイン方法
パスキーは、FIDO2やWebAuthnという標準技術にもとづく認証方式です。
FIDO Allianceは、パスキーをパスワードの代替となるFIDO認証情報として説明しており、フィッシングやクレデンシャルスタッフィングなどのリモート攻撃を減らせる仕組みとしています。
従来のログインでは、ユーザーがIDとパスワードを入力します。しかし、パスワードには次のような弱点があります。
| 弱点 | 内容 |
|---|---|
| 覚えにくい | 複雑な文字列ほど管理が難しい |
| 使い回されやすい | 1つ漏れると複数サービスが危険になる |
| 偽サイトに入力される | フィッシングで盗まれやすい |
| サーバー流出の影響を受ける | 管理側から漏れる可能性がある |
| 再設定が多い | 忘れたときの復旧手続きが狙われる |
パスキーは、こうしたパスワードの弱点を減らすために作られた仕組みです。
ログイン時にユーザーが行うことは、基本的にはスマホやPCのロックを解除するだけです。指紋、顔、PIN、パターン、端末パスコードなどを使い、端末側で本人確認します。
ただし、パスキーは「指紋や顔をWebサービスに送る技術」ではありません。この点は大きな誤解が多いところです。
2. パスワードと何が違うのか
パスワード方式では、ユーザーとサービスが同じ秘密を共有しています。
たとえば、あなたが「Aという文字列」をパスワードとして登録すると、サービス側はその情報を照合できる形で管理します。実際にはハッシュ化などの処理が行われることが一般的ですが、攻撃者にとっては依然として重要な標的です。
一方、パスキーでは「同じ秘密を共有する」のではなく、公開鍵と秘密鍵のペアを使います。
| 項目 | パスワード | パスキー |
|---|---|---|
| ユーザーが覚えるもの | 必要 | 原則不要 |
| サービス側に保存されるもの | パスワードに関係する情報 | 公開鍵 |
| ログイン時に送るもの | パスワードや認証コード | 署名データ |
| フィッシング耐性 | 弱い | 強い |
| 使い回しリスク | 高い | 低い |
| 生体情報の送信 | 関係なし | 送信しない |
たとえるなら、パスワードは「合言葉を相手に言う」方式です。誰かに聞かれたり、偽の相手に言ってしまったりすると悪用されます。
パスキーは「自分だけが持つ印鑑で、その場の書類に署名する」方式に近いです。相手は署名が正しいか確認できますが、印鑑そのものは渡しません。
この違いが、安全性の差につながります。
3. 仕組みは公開鍵と秘密鍵で考えるとわかりやすい
パスキーを作成すると、サービスごとに公開鍵と秘密鍵のペアが作られます。
| 鍵の種類 | 保存場所 | 役割 |
|---|---|---|
| 公開鍵 | Webサービス側 | 署名が正しいか確認する |
| 秘密鍵 | スマホ、PC、セキュリティキー、パスキーマネージャー | ログイン時に署名を作る |
Google for Developersも、パスキーでは公開鍵・秘密鍵のペアが作成され、サービス側には公開鍵が保存されると説明しています。
ログインの流れは次のようになります。
- サービスが「本人かどうか確認したい」というデータを送る
- ユーザーが端末を指紋・顔・PINなどで解除する
- 端末内の秘密鍵が確認データに署名する
- サービス側が公開鍵で署名を検証する
- 正しければログインできる
ここで重要なのは、秘密鍵がサービス側に送られないことです。
サービス側が持つのは公開鍵だけです。公開鍵は盗まれても、それだけではログインできません。秘密鍵を持っていない攻撃者は、正しい署名を作れないからです。
4. フィッシングに強い理由
パスキーが注目される最大の理由は、フィッシングに強いことです。
フィッシングとは、本物そっくりの偽サイトや偽メールを使って、ID・パスワード・認証コードなどを盗む攻撃です。銀行、通販、宅配、決済アプリ、学校、会社のシステムなどを装うケースがあります。
従来のパスワード方式では、ユーザーが偽サイトにパスワードを入力してしまうと、その文字列を攻撃者が使える可能性があります。二段階認証のコードも、リアルタイムで中継されると突破されることがあります。
一方、パスキーは作成されたサービスのドメインと結びつきます。たとえば本物のサービスで作ったパスキーは、見た目だけ似せた偽サイトでは原則として使えません。
NIST SP 800-63Bでも、WebAuthn/FIDO2は認証情報が認証済みドメイン名に暗号学的に結びつく、フィッシング耐性のある標準例として扱われています。
つまり、パスキーの強みは「ユーザーが絶対にだまされない」ことではありません。
だまされても、偽サイト側で認証が成立しにくい構造になっていることです。人間の注意力だけに頼らない点が、パスワードとの大きな違いです。
5. 二段階認証や認証アプリとの違い
パスキーは、二段階認証や認証アプリと混同されやすい仕組みです。
一般的な二段階認証では、次のような流れになります。
- IDとパスワードを入力する
- SMSや認証アプリに届くコードを入力する
これは、パスワードだけより安全です。パスワードが漏れても、追加のコードがなければログインしにくくなるからです。
しかし、SMSや認証アプリのコードは、ユーザーが画面に入力するものです。偽サイトに入力してしまうと、攻撃者が本物のサイトにそのコードを転送できる場合があります。
| 認証方法 | 強み | 弱み |
|---|---|---|
| パスワードのみ | どこでも使える | 流出・使い回し・フィッシングに弱い |
| SMS認証 | 導入しやすい | SIM乗っ取りやコード入力誘導に弱い |
| 認証アプリ | SMSより安全なことが多い | 偽サイトに入力すると中継される可能性 |
| セキュリティキー | 非常に強い | 物理キーの管理が必要 |
| パスキー | 便利でフィッシング耐性が高い | 端末管理と復旧設計が重要 |
Googleのヘルプでは、パスキーでログインする場合、その端末を持っていることを確認できるため、2つ目の認証ステップを省略する場合があると説明されています。
つまり、パスキーは「二段階認証の代わりに弱い方法を使う」のではなく、端末の所持と端末ロック解除を組み合わせて、少ない手順で強い本人確認を行う方式です。
ただし、サービスによって扱いは異なります。パスキーだけでログインできる場合もあれば、パスワードに追加する認証手段として使われる場合もあります。
6. 生体情報がサイトに送られるわけではない
パスキーでよくある不安が、「指紋や顔データがWebサービスに送られるのではないか」というものです。
基本的に、その心配は不要です。
指紋や顔認証は、端末の中にある秘密鍵を使うためのロック解除に使われます。ログイン先のサービスに送られるのは、生体情報ではなく、秘密鍵によって作られた署名です。
Googleも、パスキーでは指紋、顔、画面ロックなどでログインできると説明していますが、生体情報そのものをWebサイトに渡す仕組みではありません。
イメージとしては、スマホのロック解除に近いです。スマホを開くときに顔認証をしても、開いたアプリすべてに顔データが送られるわけではありません。パスキーでも、本人確認は端末側で行われます。
ただし、端末自体の管理は重要です。
- 画面ロックを設定していない
- PINが誕生日や「0000」のように弱い
- 家族や友人が自由に解除できる
- 古いOSのまま使っている
- 不審なアプリや拡張機能を入れている
こうした状態では、パスキーの安全性も下がります。パスキーは強い仕組みですが、端末が無防備でも安全という意味ではありません。
7. 危険性とデメリットも知っておく
パスキーは有力な認証方式ですが、万能ではありません。
特に注意したいのは、次の点です。
| 注意点 | 内容 | 対策 |
|---|---|---|
| 端末をなくす | ログイン手段を失う可能性 | 複数端末・復旧方法を用意する |
| 共有端末で作る | 他人がログインできる可能性 | 自分専用端末だけで作る |
| 復旧手段が弱い | メールやSMSが突破口になる | 復旧先も保護する |
| 対応サービスが限られる | すべてのサイトで使えるわけではない | 重要アカウントから導入する |
| 仕組みが見えにくい | どこに保存されたか分かりにくい | 管理画面で確認する |
| ブラウザや端末環境に依存する | 古い環境では使えないことがある | OS・ブラウザを更新する |
特に重要なのは、パスキーを登録するときの本人確認です。
パスキー自体はフィッシングに強い仕組みですが、攻撃者が何らかの方法でアカウントに入り、自分の端末にパスキーを追加してしまえば、その後のログインが容易になる可能性があります。
そのため、パスキーを設定したら終わりではありません。次のような管理も必要です。
- 登録済みパスキーの一覧を定期的に確認する
- 見覚えのない端末やパスキーを削除する
- 復旧用メールアドレスを守る
- 重要アカウントでは通知をオンにする
- アカウントのログイン履歴を確認する
パスキーの弱点は、暗号技術そのものよりも、端末管理・登録管理・復旧手段に出やすいと考えるとわかりやすいです。
8. スマホをなくしたらどうなるのか
スマホをなくした場合にどうなるかは、パスキーの保存方法によって変わります。
パスキーには、大きく分けて次のような保存先があります。
| 保存先 | 特徴 |
|---|---|
| スマホやPC本体 | その端末で使いやすい |
| iCloudキーチェーン | Apple製品間で同期しやすい |
| Google パスワード マネージャー | AndroidやChrome環境で使いやすい |
| Microsoftアカウント・Windows Hello | Windows環境で使いやすい |
| 1Passwordなどのパスワードマネージャー | 複数OSをまたぐ管理に向く |
| 物理セキュリティキー | 持ち運び・保管が必要だが強力 |
Appleは、パスキーがiCloudキーチェーンで同期され、エンドツーエンド暗号化されると説明しています。Googleも、Google パスワード マネージャーでパスワードやパスキーを保存・管理できると案内しています。
そのため、スマホをなくしても、別の端末や同じアカウントに同期された環境から復旧できる場合があります。
ただし、復旧できるかどうかはサービスや設定によります。次の確認は必須です。
- 予備の端末でもログインできるか
- 復旧用メールアドレスが最新か
- 電話番号が現在使えるものか
- バックアップコードがあるか
- 物理セキュリティキーを予備として登録できるか
- 紛失時に遠隔ロック・遠隔消去できるか
スマホ1台だけに頼ると、紛失や故障のときに困る可能性があります。重要なアカウントほど、複数の復旧手段を用意しておきましょう。
9. どのアカウントから設定するべきか
すべてのサービスで一気に設定する必要はありません。まずは、乗っ取られたときの被害が大きいアカウントから始めるのが現実的です。
| 優先度 | アカウント例 | 理由 |
|---|---|---|
| 高 | Google、Apple、Microsoft | メール、写真、クラウド、他サービスの復旧に関わる |
| 高 | 銀行、証券、決済アプリ | 金銭被害に直結する |
| 高 | Amazon、楽天などのEC | 住所、カード情報、購入履歴がある |
| 中 | SNS、メッセージアプリ | なりすましや詐欺DMに悪用される |
| 中 | 学校・会社アカウント | 個人情報や業務情報が含まれる |
| 低 | あまり使わない会員サイト | 退会やパスワード整理も検討する |
最初に守るべきなのは、メールアカウントです。多くのサービスでは、パスワード再設定や本人確認にメールを使います。メールを乗っ取られると、他のアカウントまで連鎖的に危険になる可能性があります。
次に、決済・金融・クラウド・SNSを優先するとよいでしょう。
10. 設定前に確認したいチェックリスト
パスキーを使い始める前に、次の項目を確認しておくと安心です。
- スマホやPCに画面ロックを設定している
- OSとブラウザを最新にしている
- 復旧用メールアドレスが現在使える
- 電話番号が最新になっている
- 重要アカウントでは通知をオンにしている
- 自分専用ではない端末にパスキーを作らない
- 家族や友人が解除できる端末では使わない
- 古い端末や使っていない端末からログアウトしている
- 登録済みパスキーを管理画面で確認できる
- バックアップコードや予備の認証手段を用意している
Googleアカウントのヘルプでも、パスキーは自分が所有し使用しているデバイスでのみ作成し、共有デバイスには作成しないよう案内されています。
便利だからといって、学校、職場、ネットカフェ、家族共有タブレットなどに安易に作成するのは避けましょう。
11. 普及が進んでいる理由
パスキーが広がっている背景には、パスワードへの限界があります。
FIDO Allianceの2025年の発表では、調査対象の消費者の74%がパスキーを認知し、69%が少なくとも1つのアカウントで有効化したと報告されています。また、世界トップ100サイトの48%がパスキーに対応しているとも説明されています。
これは、パスキーが一部の専門家向け技術ではなく、一般ユーザーのログイン体験にも入り始めていることを示しています。
さらに、MicrosoftのDigital Defense Report 2025では、ID関連攻撃の大部分がパスワードを狙う攻撃であることが示されています。パスワードに頼る限り、使い回し、推測、流出、フィッシングの問題は残り続けます。
パスキーは、こうした問題を「もっと複雑なパスワードを作る」方向ではなく、パスワードを使わない方向で解決しようとする技術です。
12. よくある質問
Q. パスキーを使えばパスワードは完全に不要になりますか?
サービスによります。完全にパスワードなしでログインできる場合もありますが、復旧用や予備手段としてパスワードが残る場合もあります。パスキーを設定した後も、古いパスワードが弱いまま残っていないか確認しましょう。
Q. パスキーは危険ですか?
パスワードより安全性が高い場面は多いですが、危険がゼロになるわけではありません。共有端末で作成する、復旧用メールが乗っ取られる、見覚えのない端末にパスキーが追加される、といったリスクには注意が必要です。
Q. 指紋や顔データは流出しませんか?
通常、指紋や顔データはログイン先のサービスには送られません。端末側で本人確認に使われるだけです。サービス側に送られるのは、生体情報ではなく認証のための署名データです。
Q. SMS認証より安全ですか?
一般的には、パスキーのほうがフィッシングやコード中継に強いと考えられます。SMS認証は、コードを偽サイトに入力してしまうリスクや、電話番号の乗っ取りリスクがあります。ただし、パスキー未対応サービスでは、SMS認証でもパスワードだけよりは安全性が高まります。
Q. 認証アプリを使っていればパスキーは不要ですか?
不要とは限りません。認証アプリは有効な対策ですが、コードを手入力する方式ではフィッシングに弱い場面があります。対応サービスでは、パスキーを優先し、未対応サービスでは認証アプリを使うのが現実的です。
Q. パスワードマネージャーとは何が違いますか?
パスワードマネージャーは、パスワードやパスキーを保存・管理する道具です。パスキーは認証方式そのものです。現在は、Google パスワード マネージャー、iCloudキーチェーン、1Passwordなどがパスキー管理にも対応しています。
Q. 家族のスマホや会社のPCに作ってもよいですか?
基本的には避けるべきです。パスキーは、その端末を解除できる人がログインできる可能性があります。自分専用で管理できる端末にだけ作成しましょう。
Q. 機種変更するときはどうすればよいですか?
同期型のパスキーを使っている場合、新しい端末でも同じアカウントにログインすれば利用できることがあります。ただし、サービスや保存先によって違います。機種変更前に、パスキーの保存先、復旧用メール、電話番号、バックアップコードを確認しておくと安心です。
13. セキュリティ用語を理解すると判断力が上がる
パスキーを正しく使うには、設定ボタンを押すだけでなく、基本的な考え方を理解することが大切です。
たとえば、次のような言葉の意味がわかると、サービスの案内を読んだときに判断しやすくなります。
- 公開鍵
- 秘密鍵
- フィッシング
- 多要素認証
- WebAuthn
- FIDO2
- パスワードマネージャー
- アカウントリカバリー
こうしたITやセキュリティの用語は、一度に覚えようとすると大変です。少しずつ学ぶ習慣を作ると、ニュースやログイン画面の説明を見たときに「これは何を意味しているのか」が見えやすくなります。
DailyDropsは、英会話・TOEIC・資格・受験勉強などを幅広く学べる、完全無料の学習プラットフォームです。学習行動がユーザーに還元される共益型プラットフォームなので、ITリテラシーやセキュリティ用語のような知識も、日々の学習の一部として積み上げやすくなります。
新しい技術を安全に使う力は、これからの生活や仕事でも役立ちます。
14. まとめ
パスキーは、パスワードを入力せずに、端末内の秘密鍵と端末ロック解除を使って本人確認するログイン方式です。
重要なポイントは次の通りです。
- パスワードのような「覚える秘密」を使わない
- サービス側に保存されるのは公開鍵
- 秘密鍵は端末やパスキーマネージャー側に保管される
- 偽サイトでは原則として使えないため、フィッシングに強い
- 指紋や顔データがログイン先に送られるわけではない
- 二段階認証より少ない手順で強い本人確認ができる場合がある
- 共有端末、端末紛失、復旧手段の弱さには注意が必要
これからのログインは、「長く複雑なパスワードを覚える」方向から、「端末と暗号技術で安全に証明する」方向へ進んでいきます。
まずは、メール、決済、クラウド、SNSなど、乗っ取られたときの被害が大きいアカウントから確認してみてください。対応しているサービスでパスキーを設定し、復旧手段も整えておけば、日々のログインは便利になり、フィッシングやパスワード流出への不安も減らしやすくなります。