パスワードの時代は終わる？「パスキー認証」とは何か

～私自身の頭の整理と理解のためにこのブログを書きました～

投稿：舩生好幸（ISACA認定CISA、IPA登録 セキュリティプレゼンター）2026.2.18

最近、GoogleやAppleなどのサービスで「パスキー」という新しいログイン方式が広がっています。

お恥ずかしいですが先日、携帯電話会社のサイトへのログインで、パスキーが要求されるようになっていて四苦八苦しました。

ユーザーには違いが分かりにくい、パスキーと従来のパスワードで何が違うのか、できるだけわかりやすく整理してみました。

〇はじめに：パスワード認証のしくみと弱点

これまでのログインは、「IDとパスワード」を入力する方式が主流でした。

利用者が入力したパスワードを、サーバー側に保存された情報と照合し、一致すればログイン成功です。

しかし、この仕組みには大きな弱点があります。

・サーバーが攻撃されるとパスワード情報が流出する可能性がある。

・同じパスワードを使い回すと被害が拡大する。

・フィッシングサイト（攻撃者が用意した偽サイト）に入力したりすればパスワードを盗まれてしまう。

つまり、パスワードという「秘密の文字列」を外部のサーバーと共有していること自体がリスクと言えます。

〇パスキー認証のしくみ

パスキーは、FIDO Allianceが策定した技術をもとにした仕組みで、「公開鍵暗号方式」を使います。

パスキーによる認証のシステム的な動きを簡単に表すと、以下の通りです。

1. 初回登録時に、端末内で「秘密鍵」と「公開鍵」を作る。

2. サーバーには「公開鍵」だけを登録。

3. ログイン時は、端末内の秘密鍵で電子署名。

4. サーバーが公開鍵で電子署名を検証して本人確認。

ここで重要なのは、「秘密鍵はユーザーの端末外に出ない」ことです。

パスワードが認証の度に端末外に送信されるのとは大きく違い、その分セキュリティ強度が高まります。

〇パスキー方式はフィッシング詐欺に強い

パスキーが特に優れている点は、偽サイトにだまされにくいことです。

パスキーは、最初に登録した「正しいサイトの住所（ドメイン）」とひも付けて保存されます。

そのため、見た目がそっくりな偽サイトにアクセスしても、端末はこう判断します。

「このサイトは、登録した本物のサイトとは別物です」

その結果、パスキーは作動しません。

たとえ本物そっくりでも、偽サイトではそもそもログイン手続きが成立しない仕組みが確立されているのです。

結果、パスワードのように「偽サイトにうっかり入力して盗まれる」ことが起きにくいのが大きな違いであり、安全な理由です。

〇利用者にとってのメリット

パスキーを利用することで、利用者側にもメリットがあります。

・指紋認証や顔認証、あるいは端末のPIN入力（Windowsでもおなじみ）でログインできる。

・（そのため、長く、複雑で覚えにくくなりがちな）パスワードを覚えなくてもよい。

・（そのため）入力ミスが起きにくい。

※PINは、パスワード同様、数字やアルファベットなどの文字列ですが、直接の「ログイン情報」ではない点にご留意ください。PINはあくまで端末のロックを解除するための確認手段であり、サーバーに送られることはありません。

つまり、「覚える認証」から「端末で確認する認証」へと変わった点が大きいと言えます。

〇まとめ：パスワード認証とパスキー認証の本質的な違い

パスワードは

「その文字列を知っているか？」

パスキーは

「その端末を正当に使っている本人か？」

という発想、及び認証の仕組みに違いがあります。

パスキーは、「知識や記憶に頼る認証」から、「端末の安全性と本人確認を組み合わせた認証」へと進化した仕組みと言えるでしょう。

今後、多くのサービスでパスキーへの対応が進むと考えられます。

進化した分、仕組みが理解しにくくなった部分もありますが、

パスワードに代わる新しい方式・パスキー認証について、今のうちに理解を高めておくことは、今後の情報セキュリティ対策の基本になりうるものと思います。

（Primary-f／向実庵　代表）

＜ご案内＞

Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びＩＰＡが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。

詳しくはこちらよりお入りください。