パスワードレス認証・Passkeyとは?
パスワードレス認証とは、従来のパスワードを使わずに本人確認を行う認証方式です。Passkey(パスキー)はその最新かつ最も有望な実装で、FIDO Alliance(ファイド・アライアンス)が策定したFIDO2/WebAuthn標準に基づく公開鍵暗号方式の認証技術です。
FIDO Allianceは2025年の「World Passkey Day」において、10億人以上がパスキーを有効化し、150億以上のオンラインアカウントがパスキー認証をサポートしていると発表しています(出典:FIDO Alliance「World Passkey Day 2025」)。2026年はパスワードレス認証の大規模採用のティッピングポイント(転換点)とされています。
パスワード認証の課題
| 課題 | 影響 |
|---|---|
| フィッシング攻撃 | パスワードの窃取による不正アクセス(データ漏洩の80%以上がクレデンシャル関連) |
| パスワードの使い回し | 1つのサービスの漏洩が他サービスに波及 |
| パスワード管理の負担 | 平均100以上のパスワードを管理する認知的負荷 |
| リセットコスト | パスワードリセットの対応コスト(ITヘルプデスクの主要負荷) |
| SMS OTPの脆弱性 | SIMスワッピング、フィッシングによるOTP窃取 |
Passkeyの仕組み:FIDO2/WebAuthn
Passkeyは公開鍵暗号方式を使用します。登録時にデバイス上で公開鍵と秘密鍵のペアが生成され、公開鍵のみがサーバーに送信されます。秘密鍵はデバイス内(Secure Enclave等)に安全に保管され、サーバーには一切送信されません。
Passkeyの認証フロー
- 登録:ユーザーのデバイスが公開鍵・秘密鍵のペアを生成→公開鍵をサーバーに登録
- 認証:サーバーがチャレンジ(ランダムデータ)を送信→デバイスが秘密鍵で署名→サーバーが公開鍵で検証
- 本人確認:生体認証(指紋、顔認証)またはデバイスPINで秘密鍵へのアクセスを保護
なぜPasskeyはフィッシングに強いのか
- 秘密鍵がサーバーに送信されない:サーバー側の漏洩で認証情報が盗まれない
- オリジンバインディング:認証がドメイン(URL)に紐付けられるため、偽サイトでは認証が成立しない
- リプレイ攻撃耐性:毎回異なるチャレンジ-レスポンスのため、傍受されたデータの再利用が不可能
パスワードレス認証市場の急成長
Mordor Intelligence社の調査によると、パスワードレス認証市場は2025年の241億米ドルから2030年には557億米ドルに拡大し、CAGR 18.24%で成長すると予測されています(出典:Mordor Intelligence「Passwordless Authentication Market」2025年版)。
Passkey単体の市場は2030年までに180億米ドル超に達する見込みで、CAGR 19.75%で成長しています。生体認証が2024年に49.5%のシェアを占め最大セグメントです。
企業の採用状況
- 金融業界:2026年3月時点で世界の銀行顧客3.4億人がPasskey/FIDO2認証を利用(デジタル銀行顧客の12.4%、前年比180%成長)
- 地域別:アジア太平洋18.7%、欧州14.1%、北米9.8%のデジタル銀行顧客がパスワードレス認証を利用
- 規制:EU eIDAS 2.0が2026年までにフィッシング耐性認証を法的要件化、UAE中央銀行が2026年3月までにSMS OTPの廃止を指令
主要プラットフォームのPasskey対応
| プラットフォーム | Passkey対応 | 同期方式 |
|---|---|---|
| Apple | iOS 16+/macOS Ventura+ | iCloud Keychain経由で同期 |
| Android 9+/Chrome | Google Password Manager経由で同期 | |
| Microsoft | Windows 11+ | Microsoft Account経由で同期 |
| 1Password | クロスプラットフォーム | 1Password Vault経由で同期 |
企業におけるPasskey導入のユースケース
1. 従業員認証(ワークフォース)
社内システム、VPN、SaaSへのログインをPasskeyに移行。パスワードリセットの排除によるITヘルプデスクの負荷軽減と、フィッシング攻撃リスクの大幅低減を実現します。
2. 顧客認証(カスタマー)
ECサイト、金融サービス、SaaSプロダクトの顧客ログインをPasskeyに対応。パスワード忘れによるカート離脱を防ぎ、コンバージョン率の向上につなげます。
3. 特権アカウント管理
管理者アカウント、クラウドコンソール等の高権限アカウントをハードウェアセキュリティキー(YubiKey等)+Passkeyで保護します。
Passkey導入の実践ステップ
ステップ1:現状評価と計画(1〜2ヶ月)
- 現在の認証方式の棚卸し(パスワード、MFA、SSO等)
- フィッシング攻撃・パスワード関連インシデントの影響評価
- Passkey導入の対象システム・ユーザーの優先順位付け
- IDaaS/IAMプラットフォームのPasskey対応確認
ステップ2:技術実装(2〜3ヶ月)
- WebAuthn APIの実装(自社アプリの場合)
- IDaaS(Okta、Azure AD、Auth0等)のPasskey機能の有効化
- フォールバック方式(Passkey非対応デバイス向け)の設計
- テストとセキュリティ検証
ステップ3:段階的な展開(1〜3ヶ月)
- パイロットユーザーでのテスト運用
- ユーザー向けの登録ガイド・教育
- 段階的な全ユーザーへの展開
- パスワード認証の段階的な廃止
ステップ4:運用と改善(継続的)
- Passkey登録率・利用率のモニタリング
- セキュリティインシデントの追跡(フィッシング攻撃の減少効果)
- ユーザー体験のフィードバック収集
- 新デバイス・新プラットフォームへの対応
よくある質問(FAQ)
Q. Passkeyはデバイスを紛失したらアクセスできなくなりますか?
いいえ、主要プラットフォーム(Apple iCloud Keychain、Google Password Manager)はPasskeyをクラウド同期するため、新しいデバイスでも自動的にPasskeyが利用可能です。異なるエコシステム間(Apple⇔Android等)での移行には、1Password等のクロスプラットフォーム対応のパスワードマネージャーの活用が推奨されます。
Q. 全てのWebサイト・サービスがPasskeyに対応していますか?
2026年時点で主要なWebサービス(Google、Apple、Microsoft、Amazon、GitHub等)はPasskey対応済みですが、全てのサービスが対応しているわけではありません。Passkey非対応のサービスには従来のパスワード+MFAでの認証が引き続き必要です。企業のIDaaS(Okta、Azure AD等)はPasskeyをサポートしており、SSOを通じてPasskey認証を多くのSaaSアプリに適用できます。
Q. Passkeyの導入コストはどの程度ですか?
IDaaS(Okta、Azure AD等)を既に利用している場合、Passkey機能の有効化は追加コストなし〜軽微です。自社アプリへのWebAuthn API実装は開発工数として数週間〜数ヶ月程度です。ハードウェアセキュリティキー(YubiKey等)は1本あたり5,000〜10,000円ですが、スマートフォンの生体認証をPasskeyのオーセンティケーターとして使えば追加ハードウェアは不要です。ROIの観点では、パスワードリセットコストの削減(1件あたり数千円×年間数千件)とフィッシング被害の防止が主な効果です。
まとめ:パスワードの時代は終わる
パスワードレス認証市場はCAGR 18.24%で成長し、10億人以上がPasskeyを有効化しています。2026年はEU eIDAS 2.0や金融規制の強化により、フィッシング耐性認証が法的要件となる転換点です。Passkeyはフィッシング攻撃を技術的に無効化する最も効果的な認証方式であり、従業員・顧客の両方の認証に導入すべき技術です。
renueでは、AIを活用したセキュリティ体制の構築やID管理の最適化を支援しています。パスワードレス認証の導入やゼロトラストセキュリティについて、まずはお気軽にご相談ください。