>
>
最終更新日
パスキーとは、公開鍵暗号方式と生体認証を組み合わせた、パスワードに代わる次世代の認証技術です。NISTの最新ガイドラインで強力に推奨されており、フィッシングや不正アクセスを防ぐだけでなく、ユーザーの利便性を劇的に向上させます。本記事では、パスキーの仕組みや国内外の導入事例、マネーフォワード IDをはじめとする各デバイスでの具体的な設定方法までを網羅的に解説します。
パスキーとは?従来のパスワードに代わる次世代の認証技術
この記事でわかること
パスキーは公開鍵暗号方式とオリジン認証を利用した強固な認証手段である
NISTの最新ガイドラインで「複雑なパスワードの強制」は有害とされ、パスキーへの移行が強く推奨されている
パスワード忘れによるリセット業務が減少し、サポートコストの大幅削減が可能である
同期型とデバイス固定型の2種類が存在し、セキュリティ要件によって使い分ける
パスキーは、公開鍵暗号方式と生体認証を組み合わせ、フィッシング詐欺やパスワード漏洩のリスクを構造的に排除する次世代の認証技術である。
パスキーの仕組み(公開鍵暗号とオリジン認証)
パスキーの仕組みをわかりやすく理解するためには、従来のパスワード方式との違いを把握することが重要です。パスキーは「秘密の文字列」をサーバーと共有するのではなく、公開鍵暗号方式を利用します。
概念 | 仕組み・役割 |
|---|---|
公開鍵 | サーバー側に登録される鍵。データの暗号化や署名の検証に使用されます。サーバーから漏洩しても全く無害です。 |
秘密鍵 | ユーザーのデバイス内部のセキュア領域に保存される鍵。デバイスの生体認証を通過したときのみ署名に使用されます。外部には絶対に送信されません。 |
さらに、パスキーはオリジン認証という仕組みを持っています。これは、ブラウザがアクセスしているWebサイトのドメイン(オリジン)と、パスキーが紐づくドメインが完全に一致するかを自動検証する機能です。これにより、ユーザーが巧妙な偽サイトにアクセスしてしまった場合でも署名が行われないため、フィッシング攻撃を構造的に防ぐことができます。
パスキーとFIDO認証の違い
「パスキーとFIDOは別の技術なのか?」という疑問を持つ方は少なくありませんが、この2つは対立するものではありません。パスキーは、業界団体であるFIDOアライアンスとW3Cが策定した「FIDO2 / WebAuthn」という標準規格を利用した認証体験の総称(ユーザー向け名称)です。以前はFIDO認証と呼ばれていた技術を、AppleやGoogleなどがより消費者にわかりやすく普及させるために「パスキー」という呼称を採用したという背景があります。
パスキーとパスワードの違い:NIST最新ガイドラインの転換
従来のユーザー認証において常識とされてきたパスワード運用は、現在ではセキュリティリスクを高めるものとして否定されています。サイバーセキュリティの国際的基準を示す米国国立標準技術研究所(NIST)は、デジタル認証ガイドライン「NIST SP 800-63B-4」において、以下の見解を示しています(出典:NIST SP 800-63B-4)。
複雑性の要求は有害:大文字・小文字・記号の混在を強制すると、ユーザーは予測可能なパターンを作りやすくなり、結果的にブルートフォース攻撃に対して脆弱になる。
定期変更の禁止:90日ごとなどの定期変更はユーザーの使い回しを誘発するため原則禁止。
こうしたパスワードの限界を克服するため、サーバーに秘密情報を持たず、ユーザー側にも暗記の負担を強いないパスキーが、現在最も安全な認証手段として強く推奨されています。
同期パスキーとデバイス固定型パスキーの違い
企業でパスキーを導入する際、以下の2つの実装形態を理解し、使い分ける必要があります。
同期パスキー(Synced Passkeys):iCloudやGoogleアカウントなどを通じて、クラウド経由で複数デバイスに秘密鍵が同期される方式。端末紛失時でも復旧が容易で、一般的なWebサービスで主流です。
デバイス固定パスキー(Device-bound Passkeys):秘密鍵が特定のスマートフォンやハードウェアセキュリティキー(YubiKey等)のチップに強力に紐づき、外部へ一切持ち出せない方式。紛失時は再登録が必要ですが、クラウド経由の漏洩リスクがないため、より厳格なセキュリティが求められる企業インフラで採用されます。
▲ パスキー(公開鍵暗号方式)の仕組み
パスキーを導入するメリットと企業の成功事例
パスキーの導入はセキュリティインシデントの防止だけでなく、ユーザー体験の向上と莫大なサポートコストの削減を同時に実現する。
認証成功率の向上とサポートコスト削減
パスキーは、従来のパスワード疲れを根本から解消します。Microsoftの調査データによれば、従来のパスワード認証の成功率が約32%に留まるのに対し、パスキーの認証成功率は98%を記録しています(出典:Microsoft Security Blog)。ユーザーは複雑な文字列を思い出す必要がなく、デバイスの生体認証(顔や指紋)だけで瞬時にログインが完了するためです。
また、米国の主要保険会社であるAflac(アフラック)の事例では、パスキー導入によりパスワード忘れの再設定要求が32%減少し、コールセンターへの本人確認に関する問い合わせが月に3万件も削減されるという劇的なコスト削減効果が実証されています(出典:FIDOアライアンス レポート)。
国内外の主要サービス・金融業界での導入事例
昨今のサイバー攻撃の高度化に伴い、日本国内でも金融業界を中心にパスキーの「必須化」の波が起きています。各業界の代表的な導入・成功事例は以下の通りです。
マネックス証券(金融):リスト型攻撃への対策として2025年にパスキーを導入し、2026年1月末以降は新規ログイン時のパスキー認証を順次「必須化」する措置に踏み切りました(出典:マネックス証券 公式発表)。
メルカリ(EC):210万人以上がパスキーを登録。SMS認証と比較して認証にかかる時間を20.5秒短縮(平均4.4秒で完了)し、顧客の離脱防止に成功しています(出典:FIDOアライアンス)。
NTTドコモ(通信):dアカウントへのパスキー導入により、docomo Online Shopでの身に覚えのない不正購入被害が「導入後2年以上にわたりゼロ」という実績を報告しています(出典:FIDOアライアンス レポート)。
ユナイテッドアローズ(アパレル):2025年3月、アパレルEC業界でいち早く公式アプリに生体認証ソリューション(パスキー)を採用し、セキュリティと購買体験の両立を図っています(出典:ユナイテッドアローズ 公式プレスリリース)。
▲ 従来のパスワードとパスキーのメリット比較
マネーフォワード IDでのパスキー設定・使い方
マネーフォワード IDへのパスキー設定は、1分以内の簡単な操作で完了し、以降のログインの手間を大幅に削減できる。
マネーフォワード IDにおけるパスキー利用状況
株式会社マネーフォワードでは、ユーザーの皆様の大切な財務情報・個人情報を守るため、2023年4月より「マネーフォワード ID」にてパスキーへの対応を開始しました。2025年11月時点で、マネーフォワード IDには約235万個のパスキーが登録されており(社内データ)、着実に普及が進んでいます。多くのユーザーが、パスワードの手入力から安全でスムーズな生体認証へと移行しています。
マネーフォワード IDのパスキー設定手順
マネーフォワード IDにパスキーを登録する具体的な設定手順は以下の通りです。
マネーフォワード クラウドやマネーフォワード MEなどのサービスにログインし、アカウント管理画面(マネーフォワード IDのユーザー情報の確認・変更画面)を開きます。
「セキュリティ」または「パスキーの管理」のメニューを選択します。
「パスキーを登録する」というボタンをクリックします。
ブラウザやOSのダイアログが立ち上がるので、画面の指示に従ってデバイスの生体認証(Touch ID、Face ID、Windows Helloなど)またはPINコードの入力を行います。
「パスキーの登録が完了しました」というメッセージが表示されれば設定は完了です。
次回以降のログインでは、パスワードを入力する代わりに「パスキーでログイン」を選択するだけで、数秒で安全にアクセスが可能になります。
【設定時のよくあるつまづきポイント】
・手順4でダイアログが表示されない:ブラウザが古い場合にWebAuthnに非対応なことがあります。Chrome・Safari・Edgeの最新版を使用してください。
・生体認証が反応しない:OSの設定でTouch ID / Face ID / Windows Helloが有効化されているか確認してください。設定アプリから一度オフにして再度オンにすると解消されるケースがあります。
・「パスキーを登録する」ボタンが表示されない:マネーフォワード IDへのメールアドレス確認が完了していない場合に発生します。アカウント設定画面でメールアドレスの確認状態をチェックしてください。
▲ マネーフォワード IDでのパスキー設定手順
パスキーの設定方法(デバイス・OS別)
OSごとのパスキーの管理・設定機能を活用することで、あらゆるデバイスからシームレスかつ安全にWebサービスへログインできる。
iOS / iPadOS での設定
Appleはユーザーのセキュリティを最重視しており、iOSデバイスでのパスキーサポートは非常にシームレスです。
設定アプリを開き、「パスワード」をタップしてFace IDまたはTouch IDで認証します。
「パスワードオプション」から「パスワードとパスキーを自動入力」をオンにします。
iCloudキーチェーンが有効になっていることを確認します。これにより、同じApple IDを使用するiPhone、iPad、Mac間でパスキーが自動的に同期され、どの端末からでも認証が可能になります。
Android OS での設定
Androidデバイスでは、Googleが提供するパスワードマネージャーを通じてパスキーが管理・同期されます。
デバイスの「設定」アプリを開き、「Google」>「パスワード マネージャー」の順にタップします。
右上の歯車アイコン(設定)から、「パスワードの保存を提案」と「自動ログイン」がオンになっていることを確認します。
Webサイトやアプリのログイン画面で「パスキーを利用」を選択すると、指紋認証や顔認証のポップアップが表示され、即座にログインが完了します。
Windows OS での設定
Windows環境では、「Windows Hello」機能を利用してパスキーを管理します。生体認証対応のPCがない場合でも、PINコードを用いたパスキー運用が可能です。
スタートメニューから「設定(歯車アイコン)」を開き、「アカウント」>「サインイン オプション」を選択します。
「Windows Hello 顔認証」または「Windows Hello 指紋認証」をセットアップします(非対応デバイスの場合はPINを設定します)。
Webブラウザで対応サービスにログインし、「パスキーを登録」を選択すると、Windows セキュリティのポップアップが表示されるので、セットアップした生体認証を実行して登録を完了します。
※企業から貸与されているPCの場合、組織のグループポリシーによってWindows Helloやパスキーの保存が制限されている場合があります。その際、設定画面を開いても「Windows Hello」の項目がグレーアウトして変更できないことがあります。この場合は個人での設定変更が不可能なため、社内のIT管理部門に問い合わせるか、スマートフォンを使ったBluetoothパスキー認証(別デバイスを使ったパスキー認証)を検討してください。また、Androidの場合は機種によって指紋センサーの配置が異なるため、登録時に意図せず別の指で認証してしまいパスキー登録が失敗するケースが散見されます。登録する指を事前に決めておくとスムーズです。
パスキー導入時の注意点やデメリット
パスキーは極めて強力な認証手段だが、端末に感染するマルウェアの脅威や、機種変更時のアカウント復旧手順には事前の備えが必要である。
インフォスティーラー(マルウェア)によるセッションハイジャックの脅威
パスキーの唯一の弱点とも言えるのが、「インフォスティーラー(情報窃取型マルウェア)」による被害です。パスキーを使えばログインそのものを安全に行うことができますが、ログインした後にブラウザ上に発行される「セッションCookie(ログイン状態を保持するチケット)」をマルウェアによって窃取されると、攻撃者にアカウントを乗っ取られてしまいます。これをセッションハイジャックと呼びます。パスキーを導入したからといって、エンドポイントのウイルス対策や不審なファイルのダウンロードへの警戒を怠ってはいけません。
パスキー導入後のトラブル対策チェックリスト
パスキーを利用する際に「やってはいけないこと」や「よくある失敗パターン」を防ぐため、以下のチェックリストを導入前に確認してください。
機種変更時の移行ルートを確保しているか?:同期パスキー(iCloudやGoogleアカウント)のバックアップが正しく取れているか確認する。
代替の認証手段(リカバリコード等)を保存しているか?:万が一デバイスを紛失し、クラウドの復旧もできない事態に備え、各サービスが発行するリカバリコードを安全な場所に物理的またはセキュアに保管する。
組織のセキュリティポリシーと合致しているか?:企業システムで利用する場合、私物スマホのクラウド同期を許可するのか、FIDOセキュリティキー(ハードウェア)を配布するのかを事前に規定する。
サードパーティサービスとの互換性
2026年現在、主要なクラウドサービスはほぼパスキーに対応していますが、一部のレガシーなシステムや小規模なWebサービスでは未対応の場合があります。そのため、当面はパスキー対応サービスと、従来のパスワードを使用するサービスを併用(パスワードマネージャーの併用)する移行期間が必要となります。
よくある質問
パスキーの仕様や他認証との違いに関する疑問を解消することは、スムーズな導入の第一歩である。
Q:パスキーとFIDOの違いは何ですか?
A:パスキーは、FIDOアライアンスが策定した「FIDO2」という標準規格を利用した認証技術の「ユーザー向け名称」です。技術的な基盤は同じであり、対比する別の技術ではありません。クラウド同期によって利便性を高めたものが現在のパスキーの主流です。
Q:iPhoneやAndroidでパスキーを設定する際のデメリットはありますか?
A:最大のデメリットは、OSの枠を超えた移行(例:iPhoneからAndroidへの機種変更)を行う際、現状ではBluetooth機能等を使った一時的な認証は可能ですが、根本的な秘密鍵の移行手続きがやや複雑になる点です。また、Apple IDやGoogleアカウント自体のアクセスを失うと、連携するすべてのパスキーにアクセスできなくなるリスクがあります。
Q:パスキーを設定すると、従来のパスワードは使えなくなりますか?
A:いいえ、多くのサービスではパスキーと従来のパスワードを併用できるよう設計されています。ただし、セキュリティを高めるために、あえてパスワードによるログイン機能を無効化できる設定を用意しているサービス(マネックス証券の必須化など)も増えています。
まとめ
本記事では、パスキーとは何か、その公開鍵暗号に基づく仕組みから、国内外の企業が導入を進める背景、そして各デバイスでの設定方法について解説しました。NISTの最新ガイドラインでも明言されている通り、複雑なパスワードの管理はすでに時代遅れであり、セキュリティリスクを高める要因となっています。
まずは、ご自身のスマートフォンやPCの設定を見直し、マネーフォワード IDなどの身近なサービスからパスキーを登録してみてください。パスワードの手入力から解放されるだけでなく、フィッシング詐欺や情報漏洩のリスクから自身のアカウントを強力に保護する最初の一歩となります。
まとめチェックリスト
✅ パスキーは公開鍵暗号方式を使い、秘密鍵はデバイス外に出ない
✅ オリジン認証によりフィッシング攻撃を構造的に防止できる
✅ NISTガイドラインでは複雑なパスワードの強制・定期変更は原則禁止とされている
✅ 同期パスキーとデバイス固定パスキーの特性を理解し、用途に応じて使い分ける
✅ 機種変更前にバックアップ・移行ルートを確認しておく
✅ リカバリコードを安全な場所に保管する
✅ パスキー導入後もエンドポイントのマルウェア対策は継続する
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
