パスキー(Passkey)完全ガイド2026:設定方法・仕組み・対応サービス一覧
「パスワードの時代は終わる」——Google・Apple・Microsoftが2022年に共同で宣言し、今やパスキーは主要サービスで標準採用される段階に入っています。
でも、「パスキーって何?」「今まで通りパスワードのままじゃダメなの?」と思っている方が多いのが現実です。本ガイドでは、パスキーの仕組みから設定方法・対応サービス・メリット・デメリットまで、図解を交えてわかりやすく解説します。
目次
- パスキーとは?パスワードとの違いを3分で理解する
- パスキーの仕組み:公開鍵暗号をわかりやすく解説
- パスキーのメリット・デメリット
- 対応サービス一覧【2026年4月最新】
- パスキーの設定方法:Google・Apple・Microsoft別
- パスキーの保存場所と同期:iCloud・Googleパスワードマネージャー・ハードウェアキー
- パスキーとパスワードマネージャーの関係
- 企業・法人でのパスキー活用
- パスキーのよくある疑問と解決策
- よくある質問(FAQ)
パスキーとは?パスワードとの違いを3分で理解する
パスワードの問題点
現在のパスワード認証には根本的な問題があります:
パスワードの問題点:
1. 漏洩リスク:サーバー側でハッシュ化されていても、大量漏洩が発生
2. フィッシング:偽サイトに誘導してパスワードを入力させる詐欺が有効
3. 使い回し:人間は複雑なパスワードを多数覚えられないため使い回しが発生
4. 推測攻撃:単純なパスワードは自動プログラムで解析される
5. 管理コスト:パスワードリセット対応は企業のITコストの大きな部分を占める
パスキー(Passkey)とは
パスキー(Passkey) は、FIDO2/WebAuthn規格に基づいた次世代認証方式です。パスワードを一切使わずに、デバイスの生体認証(指紋・顔)またはPINを使ってサービスにログインします。
パスキーの認証フロー(概略):
従来のパスワード認証:
ユーザー → パスワード入力 → サーバーに送信 → サーバーで検証
パスキー認証:
ユーザー → デバイスで指紋認証/顔認証 → 秘密鍵でデジタル署名 → サービスで署名を検証
↑ パスワードはどこにも存在しない
最大の特徴:パスワード(秘密)がネットワーク上を流れることがない
パスキーの仕組み:公開鍵暗号をわかりやすく解説
公開鍵ペアの作成
パスキーを設定すると、デバイス内で秘密鍵と公開鍵のペアが生成されます:
パスキー登録時:
┌─────────────────────────────────────┐
│ デバイス(スマートフォン等) │
│ ┌──────────┐ ┌──────────┐ │
│ │ 秘密鍵 │ │ 公開鍵 │→ サービスへ送信 │
│ │(デバイス │ │(サーバーに │ │
│ │ 内に保存)│ │ 保存される)│ │
│ └──────────┘ └──────────┘ │
└─────────────────────────────────────┘
秘密鍵:デバイス外に出ることは絶対にない
公開鍵:サービスのサーバーに登録(漏洩しても悪用不可)
認証フロー
パスキーでログイン時:
1. サービスがチャレンジ(ランダムデータ)を送信
2. ユーザーがデバイスで指紋/顔/PIN認証
3. デバイスが秘密鍵でチャレンジに「電子署名」
4. 署名をサービスに送信
5. サービスが公開鍵で署名を検証 → 本人確認完了
この過程で:
✓ パスワードは存在しない
✓ 秘密鍵はデバイスの外に出ない
✓ チャレンジは毎回異なる → リプレイ攻撃不可
✓ 偽サイトでは動作しない(ドメイン名が紐付けられている)
なぜフィッシングに無効なのか
パスキーはサービスのドメイン名と紐付けられて生成されます。例えばgoogle.comで作ったパスキーはg00gle.com(偽サイト)では動作しません。これがパスワードとの最大の差別化点です。
パスキーのメリット・デメリット
メリット
| メリット | 説明 |
|---|---|
| フィッシング完全耐性 | 偽サイトでは動作しない(最大の利点) |
| パスワード漏洩リスクゼロ | パスワード自体が存在しない |
| ログインが速い | 指紋/顔認証で即座にログイン(パスワード入力不要) |
| 使い回しリスクなし | サービスごとに固有の鍵ペア |
| パスワードリセット不要 | パスワードを忘れるという概念がない |
| MFA(多要素認証)が内蔵 | デバイス所持 + 生体認証で2要素が自動的に満たされる |
デメリット・課題
| デメリット | 状況 | 対策 |
|---|---|---|
| デバイス依存 | スマートフォン・PCがないとログインできない | 複数デバイスにパスキーを登録 |
| デバイス紛失時のリスク | パスキーが入ったデバイスを失うとアクセス不能の可能性 | バックアップコードを保管、回復方法を事前設定 |
| 対応サービスがまだ限定的 | 2026年現在も全サービスが対応しているわけではない | パスワードと並行利用が当面必要 |
| サービス間の相互運用性 | iCloudキーチェーンのパスキーはAndroidでは使えない(パスキーマネージャーで解決可能) | Bitwardenなどのクロスプラットフォームパスキーマネージャーを利用 |
| 法人環境での管理 | 社員のパスキー管理・失効処理の仕組みが発展途上 | FIDO2対応IDPとの統合が必要 |
対応サービス一覧【2026年4月最新】
主要サービスのパスキー対応状況
対応状況は随時変化します。最新情報は各サービスの公式サポートページをご確認ください。
| サービス | 対応状況 | 備考 |
|---|---|---|
| Google アカウント | ✓ 対応済み | 設定→セキュリティ→パスキー |
| Apple ID | ✓ 対応済み | iOS 16+ / macOS Ventura+ |
| Microsoft アカウント | ✓ 対応済み | Windows Hello連携 |
| GitHub | ✓ 対応済み | Settings→Password and authentication |
| Amazon | ✓ 対応済み | ログイン・セキュリティ設定から |
| PayPal | ✓ 対応済み(一部地域) | セキュリティ設定から |
| 1Password | ✓ 対応済み(パスキー保存・管理) | — |
| Bitwarden | ✓ 対応済み | パスキーの保存に対応 |
| Dropbox | ✓ 対応済み | セキュリティ設定から |
| X(旧Twitter) | ✓ 対応済み | セキュリティとアカウントアクセス |
| PayPay | △ 調査中(2026年4月時点) | 最新情報は公式サイト参照 |
| LINE | △ 一部対応 | アプリ内設定で確認 |
| 楽天 | △ 対応準備中・一部サービスで対応 | 最新情報は公式サイト参照 |
| Yahoo! JAPAN | ✓ 対応済み | ログイン・セキュリティ設定 |
パスキーの設定方法:Google・Apple・Microsoft別
Google アカウントにパスキーを設定する
手順(スマートフォン・PC共通):
1. myaccount.google.com にアクセス
2. 左メニュー「セキュリティ」をクリック
3. 「Google へのログイン方法」→「パスキーとセキュリティキー」
4. 「パスキーを作成する」をクリック
5. デバイスの生体認証またはPINで確認
6. 完了(このデバイスのパスキーが登録された)
確認:
→ 次回ログイン時、パスワード入力なしに指紋/顔認証のみでログインできるようになります
Apple IDにパスキーを設定する(iPhone)
手順(iOS 16以上):
1. 設定 → 上部のApple IDをタップ
2. 「サインインとセキュリティ」→「パスキー」
3. 「パスキーを追加」
4. Face ID / Touch IDで確認
5. 完了
iCloud同期:
→ パスキーはiCloudキーチェーンに保存され、同じApple IDでサインインしているすべてのデバイスで使えます
注意:
→ Androidやその他のデバイスではこのパスキーは使えません
→ Apple以外の環境でも使いたい場合はBitwardenなどのクロスプラットフォームツールを利用
Microsoft アカウントにパスキーを設定する(Windows 11)
手順:
1. account.microsoft.com にアクセス(ブラウザ)
2. 「セキュリティ」→「高度なセキュリティオプション」
3. 「新しいサインイン方法またはパスワードを追加」
4. 「顔・指紋・PIN・セキュリティキー」→「次へ」
5. Windows Helloの生体認証またはPINで確認
6. 完了
または Windows 11のHello設定から:
設定 → アカウント → サインインオプション → パスキー
パスキーの保存場所と同期:iCloud・Googleパスワードマネージャー・ハードウェアキー
主なパスキーの保存先
| 保存先 | 対応デバイス | 同期範囲 | 特徴 |
|---|---|---|---|
| iCloudキーチェーン | Apple(iOS/macOS) | Apple同士のみ | 最も簡単・Apple専用 |
| Googleパスワードマネージャー | Android/Chrome | Google同士 | Android + Chrome環境 |
| Windows Hello | Windows 11 | Windows端末のみ | PC専用 |
| Bitwarden | 全プラットフォーム | クロスプラットフォーム | オープンソース・無料 |
| 1Password | 全プラットフォーム | クロスプラットフォーム | 有料・使いやすさ最高 |
| YubiKey等ハードウェアキー | 全プラットフォーム | デバイス上のみ(物理) | 最高セキュリティ・物理管理必要 |
クロスプラットフォームのパスキー管理(重要)
iPhoneとWindowsを両方使っている場合、それぞれのパスキー保存先が異なるため不便が生じます。この問題を解決するのがBitwarden(無料)や1Password(有料)などのクロスプラットフォームパスキーマネージャーです。
Bitwardenでパスキーを管理するメリット:
✓ iOS・Android・Windows・Mac・Linux全対応
✓ iCloudキーチェーン不要・Google不要
✓ 同一のパスキーをすべてのデバイスから使える
✓ オープンソースで第三者監査済み
✓ 基本無料(パスキー管理も無料版で可能)
パスキーとパスワードマネージャーの関係
パスキーはパスワードマネージャーを不要にするか?
短期的な答え:NO
2026年現在、すべてのサービスがパスキーに対応しているわけではありません。当面はパスワードとパスキーを並行利用する時期が続きます。パスワードマネージャーは引き続き以下の用途で必要です:
- パスキー未対応のサービスのパスワード管理
- パスキー自体の管理・バックアップ(Bitwarden等が対応)
- クロスプラットフォームのパスキー同期
中長期的な答え:役割が変化する
パスワードマネージャーはパスキーを保存・管理する「パスキーマネージャー」へと進化します。現在BitwardenやDashlane等が対応済みです。
企業・法人でのパスキー活用
エンタープライズパスキーの導入
企業でのパスキー導入には、FIDO2対応のIDプロバイダー(IDP) との連携が必要です:
| IDP | FIDO2/パスキー対応 | 特記 |
|---|---|---|
| Microsoft Entra ID(旧Azure AD) | ✓ | Windows Hello for Business |
| Okta | ✓ | FastPass機能 |
| Google Workspace | ✓ | パスキー認証対応 |
| OneLogin | ✓ | FIDO2対応 |
| Ping Identity | ✓ | エンタープライズ向け |
企業導入のメリット
✓ ヘルプデスクコストの削減:パスワードリセット対応が激減
✓ フィッシング攻撃の無効化:標的型フィッシングに有効
✓ MFAの自動化:パスキー自体が2要素を内包
✓ ゼロトラストの実現:デバイスと生体認証の組み合わせで強固な認証
FIDO2対応ハードウェアキー(YubiKey)
セキュリティキー(YubiKey・Google Titan等)はFIDO2の物理的実装です。スマートフォンが使えない環境・最高水準のセキュリティが必要な場面で有効です:
YubiKeyの特徴:
✓ 物理デバイスのため、リモート攻撃は原理的に不可能
✓ パスキーを物理デバイスに格納(クラウド同期なし)
✓ USB-A・USB-C・NFCモデルがある
✓ 1本約5,000〜10,000円程度
△ 紛失した場合のリスク管理が必要(2本以上購入推奨)
パスキーのよくある疑問と解決策
Q1. スマートフォンを機種変更したらパスキーはどうなる?
iCloudキーチェーン利用の場合: 同じApple IDでサインインすれば自動的に引き継がれます。
Googleパスワードマネージャー利用の場合: 同じGoogleアカウントでサインインすれば引き継がれます。
Bitwarden/1Password利用の場合: 新しいデバイスにアプリをインストールしてアカウントを同期するだけです。
Q2. デバイスを紛失した場合は?
パスキーはデバイスと紐付いているため、紛失は深刻なリスクです。対策:
✓ 事前に複数デバイスにパスキーを登録(iPhone + iPad + PCなど)
✓ バックアップコードを安全な場所に保管(紙に印刷して金庫等)
✓ パスキーマネージャー(Bitwarden等)のクラウドバックアップを利用
✓ デバイス紛失後は速やかにサービスの設定から「デバイスを削除」
Q3. パスキーを使ったら絶対にパスワードも設定しておくべき?
現時点では YES です。パスキー未対応のシナリオ(古いブラウザ、特定のデバイス等)でのフォールバックとして、強力なパスワードとMFAも引き続き設定しておくことを推奨します。
よくある質問(FAQ)
Q. パスキーはパスワードより安全ですか?
A. はい。技術的にはパスキーはパスワードよりはるかに安全です。フィッシング詐欺に無効、パスワード漏洩リスクなし、リプレイ攻撃不可、という3つの観点で優れています。2026年現在、Googleはパスキー利用者のアカウント侵害率が大幅に低下したと報告しています(最新データはGoogleブログ参照)。
Q. パスキーを設定するとパスワードは削除されますか?
A. サービスによって異なります。一部のサービス(Googleのパスワードレスアカウント等)はパスワード自体を削除できます。多くのサービスは引き続きパスワードをフォールバックとして保持します。
Q. パスキーはiPhoneのみで使えますか?
A. いいえ。Android・Windows・macOS・Linuxすべてで使えます。ただし保存場所(iCloudキーチェーン/Googleパスワードマネージャー/Windows Hello)によってデバイス間の互換性が異なります。クロスプラットフォームで使うにはBitwarden等のパスキーマネージャーが便利です。
Q. パスキーを設定しても、まだパスワードが必要なサービスがあります。どうすればいいですか?
A. 2026年現在、全サービスがパスキーに対応しているわけではありません。パスキー対応サービスはパスキーを使い、未対応サービスはパスワードマネージャー(Bitwarden等)で管理するハイブリッドアプローチが現実的です。
Q. 生体認証(指紋・顔)が認識されない場合はどうなりますか?
A. PINによるフォールバックが用意されています。スマートフォンのPINまたはPCのWindows Hello PINで認証できます。
Q. FIDO2・WebAuthnとパスキーの関係は?
A. FIDO2はFIDOアライアンスが策定した認証規格の名称、WebAuthnはW3Cが策定したWeb API規格です。「パスキー」はこれらの規格の実装に対してApple・Google・Microsoftがつけた消費者向けのブランド名です。技術的には同じものを指します。
まとめ:パスキー2026年の現状と今後
| 観点 | 現状(2026年4月) | 今後の展望 |
|---|---|---|
| 普及状況 | 主要サービスは対応済み・中小サービスは移行中 | 2027〜2028年に大多数のサービスが対応予定 |
| 使いやすさ | スマートフォン中心なら快適 | デバイス間同期がさらに改善 |
| セキュリティ | パスワードより大幅に安全 | 標準認証として定着 |
| 課題 | デバイス依存・クロスプラットフォーム | パスキーマネージャーで解決が進む |
| 推奨アクション | 対応サービスから順次パスキーを設定 | パスワードを完全に捨てるのはもう少し先 |
今日からできること: まずGoogleアカウントとApple IDにパスキーを設定してみてください。1〜2分で完了し、次回のログインで使いやすさと安全性を実感できます。パスワードの完全廃止はまだ先の話ですが、「使えるサービスから順次パスキーに移行」というアプローチが2026年の現実的な最適解です。