パスキーとは？仕組みやメリット、活用時の注意点を解説

パスキーは「公開鍵暗号方式」を基盤とした高度なセキュリティ技術で、以下の手順で認証が行われます。

1．ユーザーがサービスに登録する
2．「公開鍵」と「秘密鍵」が生成される
3．公開鍵をサービスに、秘密鍵をデバイスに保存する
4．認証時に生体情報（顔・指紋）を利用する
5．デバイスが秘密鍵を使用して署名を生成する
6．サービス側が公開鍵で検証する（本人確認が完了）

デバイスで指紋などを認証し、サービス側では最終確認のみを行う仕組みのため、このプロセスにより、ログイン情報が第三者に盗まれるリスクが大幅に軽減されます。また、パスワードを記憶したり入力したりする必要もありません。

セキュリティと利便性を兼ね備えている点がパスキーの大きな特徴と言えるでしょう。

パスキーとパスワードを比較するために、まず認証に使用される3つの要素について説明します。

「知識情報（Something You Know / SYK）」は「ユーザーが知っていること」を指します。具体的にはパスワードや暗証番号、秘密の質問です。

「所有情報（Something You Have / SYH）」は「ユーザーが所有しているもの」です。例えばスマートフォンや社員証、キャッシュカードが挙げられます。

「生体情報（Something You Are / SYA）」は「ユーザー自身の身体的特徴」であり、指紋や顔が該当します。

従来のパスワード認証は「知識情報」のみを使用します。そのため、辞書攻撃や総当たり攻撃、ソーシャルエンジニアリングといった手法で簡単に突破されるという課題がありました。そこで、2012年にFIDO Alliance（ファイド アライアンス）が設立されました。この団体はオンライン認証技術の標準化を目指し、パスワードに頼らない認証方法「パスキー」を開発しました。

パスキー認証は原則として「知識情報」は使用せず、「所有情報」と「生体情報」の両方を使用します。複数の要素を組み合わせるため、「多要素認証（MFA）」の一種です。生体情報や所有情報を突破しない限りログインは不可能です。不正ログインやなりすましを効果的に防げるため、「Phishing Resistant MFA（フィッシング耐性のある多要素認証）」とも呼ばれています。

ただし、例外的に「PINコード（知識情報）」を利用するケースもあります。これは、所有情報（例: スマートフォン）のローカル環境でのセキュリティを強化する目的で用いられるものであり、パスキーの特徴である「パスワードに頼らない認証」を損なうものではありません。

パスキーと生体認証は似ていますが、異なるものです。

生体認証は、指紋や顔、虹彩、声、静脈といった身体の特徴を用いて本人確認を行います。ただし、システムによってはこの情報が外部のシステムに送信されることもあり、その場合はサイバー攻撃によって生体情報が盗まれる可能性も否定できません。

一方、パスキーは生体認証やPINコードを利用するものの認証自体は秘密鍵で署名を生成し、公開鍵でその署名を検証する仕組みです。生体情報はユーザーのデバイス内でのみ使用され、サービス提供者側に送信されたり保存されたりすることはありません。そのため、パスキーは生体認証単体よりも高い安全性を備えているとされています。

従来のパスワード認証では「フィッシング詐欺」「なりすまし」「総当たり攻撃」に弱いという特徴があります。

例えば、本物のWebサイトと見分けがつかない偽のページにIDやパスワードを入力してしまうと、攻撃者にその情報が直接送信され、不正アクセスに利用されてしまいます。

しかし、パスキーは生体認証や秘密鍵を組み合わせるため、攻撃者がたとえ公開鍵を入手してもログインは不可能です。特に、指紋や顔といった生体情報は複製が非常に困難であり、詐欺や不正アクセスのリスクを大幅に軽減することができます。

パスキーでは生体認証（顔や指紋）またはPINコードを使用して認証を行うため、複雑なパスワードを覚える必要がありません。複数のサービスで異なるパスワードを使い分ける手間が省け、パスワード管理から解放されます。

また、生体認証を使うことでログイン操作が非常にスムーズになり、ストレスを感じることなく利用できます。

従来のパスワード認証では、サービス提供者側にパスワードやIDが保存される仕組みです。もしログイン情報が流出してしまえば、住所や名前といった個人情報も盗まれ、不正利用されてしまうでしょう。

しかし、パスキーでは公開鍵のみがサービス提供者側に保存され、秘密鍵はユーザーのデバイス内に留まります。このため、仮にサービス提供者側がサイバー攻撃を受けたとしてもログインできず、個人情報は保護されるのです。

パスキーはウェブやアプリなどのサービスを利用するとき、同じオンラインアカウントでログインしていれば、PC、スマートフォン、タブレットなど複数のデバイスで同期して利用することも可能です。例えばスマートフォンで作成したパスキーを、PCやタブレットでも使用できるため、場所やデバイスに関係なくスムーズなログインが実現します。

パスキーを導入することで、パスワードに関するトラブルや問い合わせが減少するので、サポートの工数が削減できます。従来のパスワード認証では、「パスワードを忘れた」「パスワードをリセットしたい」「ログインできない」といった問い合わせが頻発し、サポート部門やパスワードの管理者側にとって負担となっていました。しかし、パスキー認証であればパスワードの入力ミスなどが起こらず、操作がシンプルで直感的なため、問題なくログインできるようになります。

パスキーは比較的新しい技術のため、すべてのアプリやデバイスで利用できるわけではありません。生体認証を利用するなら専用の機能を搭載したスマートフォンやパソコンが必要となるため、環境によっては導入が難しい場合があります。

特にB2C向けサービスを展開している場合、古いスマートフォンを使用している消費者（エンドユーザー）がパスキー認証に対応できないケースが考えられます。そのため、パスキーの導入を検討する前に、対象ユーザーのデバイス環境や利用シーンを十分に考慮することをおすすめします。

パスキーは秘密鍵をデバイス内に保管する仕組みのため、デバイスを紛失した場合は悪用されるリスクがあります。

もちろん、生体認証やPINコードがセキュリティの壁となるため、第三者が簡単に利用することはできません。しかし、万が一の事態に備えて、利用サービスの設定画面から該当の端末を連携停止（削除）したほうがよいでしょう。