デジタルトランスフォーメーションをもっと身近に

トップ > すべての記事 > テーマで探す > DX基本知識 > 脱“パスワード依存”を実現する認証技術「パスキー」とは?

DX基本知識IT部門

2026年2月9日

脱“パスワード依存”を実現する認証技術「パスキー」とは?

パスワードはもう限界——本人認証の新手法「パスキー」の基礎知識

前半記事では、長年企業で活用されてきたパスワード認証が、悪意を持つ第三者や攻撃者の格好の標的となっている現状を取り上げました。その代替策として期待された多要素認証にも、セキュリティや利便性の面で課題が残っています。こうした状況の中、新たな認証方式として注目されているのが「パスキー」です。

国内外で導入が進む「パスキー認証」

パスキー(Passkey)とは、パスワードを一切使用せず、「生体認証」(顔や指紋による認証)、「PINコード認証」(暗証番号を入力)、「パターン認証」(画面上の複数の点を結ぶ)など、スマートフォンのロック解除に使っている操作でログイン認証をおこなう認証技術です。

この技術は、国際的な業界団体「FIDO Alliance」と「W3C」が2018年に策定した認証規格「FIDO2」を基盤としており、2022年にMicrosoft、Google、Appleが採用を発表したことで一気に注目が高まりました。以来、国内でもBtoC向けのWebサービスを中心に、社内システムや業務用PCのログイン手段として採用する企業が増えつつあります。

パスキーの中核となるのが、「公開鍵暗号方式」という暗号技術です。仕組みを簡単に説明すると、まずアカウント登録時にユーザーのデバイス側に「秘密鍵」が、サービス提供者のサーバー側にはそれに対応する「公開鍵」がペアで保存されます。ログイン時には、生体認証などで本人確認がおこなわれた後、デバイス内の秘密鍵によってデジタル署名が生成され、その署名がサーバーに送信されます。サーバー側は公開鍵で署名を検証し、正当性が確認できた場合のみログインを許可します。

国内外で導入が進む「パスキー認証」

パスキー認証の流れ(イメージ)

パスキー認証のメリット

パスキーが注目される理由は、セキュリティと利便性の両面で、従来のID・パスワード認証と多要素認証を大きく上回る効果が期待できる点にあります。

(1)セキュリティの向上

パスワード使用しないため、総当たりでパスワード認証の突破を試みるブルートフォース攻撃のようなサイバー攻撃が成立しません。また、パスワード認証では“なりすまし”による不正アクセスのリスクがありましたが、パスキー認証では登録されたデバイスでなければログインが不可能です。

さらに、パスキーは登録時とは異なるドメインでは機能しない仕組みになっており、偽サイトを用いたフィッシング攻撃やリアルタイムフィッシングに対しても高い耐性を持っています。秘密鍵はデバイス内にのみ保存され、サーバー側には公開鍵しか存在しないため、仮にサーバーが攻撃を受けて公開鍵が漏えいしても、悪用することは極めて困難です。

(2)利便性の向上と管理負担の解消

ユーザーは複数のパスワードを覚えたり管理したりする必要がなくなります。長く複雑なパスワードを入力する手間も省かれ、ワンクリックまたはワンタップでログインできるようになるため、日常業務におけるストレスは大幅に軽減されます。

IT部門にとってもメリットは小さくありません。これまで業務時間の多くを割いていたパスワードリセットの問い合わせ対応から解放され、より付加価値の高い業務へリソースを振り向けられるようになります。

社内システムへのパスキー導入事例とポイント

パスキー認証は、「何も信用しない」ことを前提に、すべてのアクセスを検証するクラウド時代のセキュリティモデル「ゼロトラスト」との親和性が高い手法としても注目されています。

実際、ある国内IT企業でも、セロトラスト推進の一環として、社内で利用しているすべてのクラウドサービスにパスキー認証を導入。その結果、月間約200件発生していたログインミスがゼロになり、IT部門へのパスワードリセットの問い合わせもなくなったといいます。

なお、社内システムにパスキーを効果的に導入するには、いくつかのポイントがあります。

(1)基盤ツールの活用

ゼロから自社に最適化したシステムを開発する方法もありますが、上述の企業のように複数の社内システムやクラウドサービスに導入する場合には、シングルサインオン機能(※)を備えたID管理プラットフォームを活用するのが効果的です。最近では、FIDO2に対応していないシステムに対しても、パスワードレスでのログインを実現できる製品が登場しています。

※シングルサインオン:一度のログイン認証で複数のアプリケーションやWebサービスにアクセスできる仕組み

(2)段階的な導入

Webサービスでは、ユーザーの混乱を避けるために、既存のID・パスワード認証とパスキー認証を併用できる移行期間を設けるケースが一般的です。社内システムへの導入においても同様に、あるいは小規模な部門から段階的に導入する方法が有効です。併せて、パスキー導入の背景やメリット、具体的な操作方法を丁寧に説明する機会(説明会やマニュアル)を設けることで、現場での定着をスムーズに進めることができます。

IT・デジタル技術の急速な発展やビジネス環境の変化により、これまでの常識や当たり前が企業の成長を阻む足かせとなるケースが増えつつあります。「認証=パスワード」という認識もその一つであり、前半記事で見たように、過度なパスワード依存は企業にとって無視できないリスクとなっています。

何よりも、情報セキュリティの強化は企業存続に直結する重要な取り組みです。もちろん、パスキーも万能ではなく、課題が存在しないわけではありません。それでも、時代に即した対策として、早期に検討を進めるべき選択肢であることは間違いないでしょう。

いつまで使う? 実は“リスク”だらけの「パスワード」認証 2026.02.02

前回の記事はこちら

こちらもおすすめ

“顧客志向”のDXでV字回復した企業事例 2023.12.04
ITレジリエンスの現場とこれからの展望 2025.04.28
XaaSの種類とメリット 2024.08.19
share
  • AI-OCRエンジンを採用、RPA連携による完全自動化のOCRサービス「CREO-OCR」
  • BizRobo!を月額6万円から利用可能、従量課金RPAサービス「CREO-RPA」
  • サービスデスク
  • プロセス管理
  • クラウドシフト
  • 人事給与
  • ハイブリッド購買
  • 情シス
  • 社労士
  • 会計士
  • Method
  • DXセミナー

記載された商品名・製品名は各社の登録商品または商標です。