前回、米国の公的機関によってパスワード認証指針が変更されたことをレポートしました。
 

• 【最新版】米国立標準技術研究所（NIST）によるパスワード認証指針を確認

 
 
今回は、この記事に推奨方法として登場するパスキーについて解説します。
パスキーは、「構造的に認証情報を漏洩させない」とされます。
「ええ!?、難しいよ…」と感じる方もいるとは思いますが、このパスキー技術は、今後の私どもの生活には欠かせないもの。なるべく分かりやすく解説しましたので、ぜひご確認ください。
 
 

 
パスキー（Passkeys）とは、従来の「パスワード」に代わる、非常に安全で簡単な新しいデジタル認証技術です。
 
Webサイトやアプリにログインする際、複雑なパスワードを記憶したり入力したりする代わりに、私たちが普段から使い慣れているスマートフォンの生体認証（顔認証・指紋認証）や、PCのロック解除（PINコード）を用いて「本人であること」を証明し、ログインを完了させることができます。
 
パスキーによって、パスワードの「漏洩」や「使い回し」といったセキュリティ上の課題を解決することができます。
 
 

 
パスキーがなぜパスワードより安全なのか、その核心は「公開鍵暗号方式」という技術にあります。
 
パスキーを作成すると、「秘密鍵」と「公開鍵」という2つで1組のデジタルな鍵が生成されます。
 

• 秘密鍵（あなただけが持つ鍵）
  あなたのデバイス（スマートフォンやPC）の中にある、厳重に保護された領域（セキュリティチップなど）にのみ保存されます。
  この鍵がデバイスの外に出ることは構造的にありません。

 

• 公開鍵（サービスが持つ「鍵穴」）
  ログインしたいサービス（Google, X, Amazonなど）のサーバーに登録されます。
  これは「鍵穴」のようなもので、ペアになる秘密鍵で正しく署名されたかどうかを検証するためだけに使われます。

 
 

 
パスワードによるログイン方式では、ログイン時にパスワードそのものを、ログインする側（利用者）とログインされる側（サービス側）がやり取りします。このプロセスにおいて、パスワードを盗み取られるリスクがありました。
 
しかしパスキー方式では、ログイン時にやり取りされるのは、「この利用者は本人ですか？」「はい、間違いなく本人ですよ」という証明データだけです。
 

1. サービス側が「利用者のデジタル署名にサインしてください」と要求します。

 

2. あなたのデバイスが、生体認証などで「本人であること」を確認します。

 

3. 本人確認が取れると、デバイス内部の秘密鍵が、デジタル署名にサインをします。

 

4. この署名だけがサービス側に送られます。（「これは間違いなく本人ですよ」という証明データだけが送られ、鍵そのものは送られません）

 

5. サービス側は、登録されている公開鍵（鍵穴）を使って、「この署名は、ペアの秘密鍵から作られた正しいものか？」を検証します。

 

6. 検証が成功すれば、ログインが許可されます。

 
 

 

• フィッシング詐欺に無敵
  偽サイトに誘導されても、ユーザーが入力すべきパスワード自体が存在しないため、盗まれようがありません。
  サーバー攻撃に強い万が一、サービスのサーバーからデータが漏洩しても、盗まれるのは公開鍵（鍵穴）だけです。鍵穴だけでは何もできず、不正ログインにはつながりません。

 

• パスワードの使い回しがなくなる
  パスキーはサービスごとに自動で固有のものが生成されるため、「全部同じパスワード」といった最も危険な習慣が根本的になくなります。

 
 

 
主にふたつの技術的な裏付けがあります。
 

• ハードウェアが「持ち出し」を拒否する
  スマートフォンやPCの内部には、OSやアプリからも隔離された「特別な金庫（セキュリティチップ）」が入っています。秘密鍵はこの金庫の中で作られ、保管されます。この金庫は設計上、「鍵を外に出せ」という命令を受け付けない仕組みになっています。そのため、もしウイルスがスマホに侵入しても、物理的に鍵を取り出すことはできません。

 

• 送っているのは「鍵」ではなく「計算結果」
  通信の仕組み上、秘密鍵そのものを相手に送る手順が存在しません。送っているのは、秘密鍵を使って計算した署名（計算結果）だけです。繰り返しますが「秘密鍵そのもの」ではなく、「私が本人です」という証明メッセージだけを送っているイメージです。このメッセージから、元の秘密鍵を逆算することは数学的に不可能です。

 
 
さらに不安を感じる方のために、クラウド同期（iCloudなど）の場合を考えましょう。
同期機能を使う場合、鍵はデバイス間を移動しますが、「あなたにしか解読できない暗号」で包まれて移動します（エンドツーエンド暗号化）。サーバーを管理するAppleやGoogleでさえも、その中身を見ることはできないため安全です。
 
 

 
◯メリット

• 高いセキュリティ
  前述の通り、フィッシング詐欺やサーバー攻撃のリスクを劇的に低減します。

 

• 高い利便性
  複雑なパスワードを「覚える」「管理する」「入力する」というストレスから解放されます。顔認証や指紋認証で一瞬でログインが完了します。

 

• 同期機能
  iCloudキーチェーンやGoogle パスワード マネージャーなどを介して、同じアカウントのデバイス間（例：iPhoneとMac、AndroidスマホとWindows PC）でパスキーを安全に同期できます。

 
◯ デメリット

• デバイスへの依存
  秘密鍵はデバイスに保存されるため、そのデバイス（主にスマートフォン）を紛失したり、故障したりすると、ログインの手段を失う可能性があります。（※ただし、同期機能やアカウント復旧手段でこのリスクは軽減されつつあります）

 

• 普及の過渡期
  非常に優れた技術ですが、まだ全てのWebサイトやアプリがパスキーに対応しているわけではありません。（対応サービスは急速に増加していますが）

 
 

 
パスキーを使い始めて最も混乱しやすいのが、「あのサービスのパスキーは、一体どこにあるんだ？」という問題です。この疑問は、パスキーの保存場所に複数のパターンがあるために生じます。
筆者は仕事柄、ITリテラシーは一般的な人よりも高いと自負していますが、それでも、「あれ、パスキーを要求されたけど、どこにあるんだ??」と迷うケースがあります。
 
保存場所は、大きく分けて以下の3パターンに分類されます。
 
 
◯ パターン1：同期型（クラウド）
最も推奨される、便利で安全な方法です。
パスキーは、特定のデバイス本体ではなく、OSのエコシステム（アカウント）に紐づけて保存されます。

• Appleの場合: iCloudキーチェーン に保存されます。
• Googleの場合: Google パスワード マネージャー に保存されます。

特徴：

• 同じApple IDやGoogleアカウントでログインしている他のデバイスに、パスキーが自動で安全に同期されます。
• （例：iPhoneで作ったパスキーが、自動でMacでも使えるようになる）

 
 
◯ パターン2：デバイス固定型
特定のデバイス本体にのみ、パスキーを保存する方法です。

• Windows PCの場合: 「Windows Hello」（このWindowsデバイス）としてPC本体のセキュリティチップ（TPM）に保存されます。
• Macの場合: （iCloudキーチェーンをオフにしていると）Mac本体のセキュアな領域に保存されることがあります。

 
特徴：

• 他のデバイスには一切同期されません。
• ユーザーが「あれ、このパスキーはスマホにはなくて、PCにしかない」と感じた場合、このパターンで保存されている可能性が高いです。

 
 
◯ パターン3：クロスデバイス認証（スマホを鍵にする）
「PCにもスマホにも、そのサービス用のパスキーがない」と感じる場合、このパターンである可能性が濃厚です。
これは、パスキー自体はスマホ（パターン1または2）にしか存在しない状態で、PCからログインしようとするケースです。
 
特徴（PCでログインする場合）：

• PCのログイン画面でIDを入力すると、「このPCにはパスキーがありません」と表示されます。
• ここで「別のデバイスを使用」や「スマートフォン」といった選択肢を選びます。
• PC画面にQRコードなどが表示されます（※すべてのサービスで提供されているわけではありません）。
• そのQRコードを、パスキーが保存されているスマートフォンで読み取ります。
• スマホ側で生体認証を行うと、PC側でログインが成功します。

 
この場合、PC側にはパスキーは作成・保存されません。あくまでスマホを「鍵」として呼び出して使っているだけです。
 
 
 

 
では、上記1〜3のどのパターンで保存されるかは、いつ、どうやって決まるのでしょうか。
 

• タイミングサービスに登録し、パスキーを「新規作成」する瞬間に決まります。
• 決定の主導権サービス側（Webサイトやアプリ）ではなく、あなたのOSやブラウザ（Apple, Google, Microsoft）が持っています。

 
◯ 流れ

• サービスが「パスキーを作りますか？」とOSに依頼します。

 

• OS/ブラウザが「パスキーの保存先」の選択画面をユーザーに提示します。
• （例）「iCloudキーチェーンに保存しますか？」
• （例）「Google パスワード マネージャーに保存しますか？」
• （例）「このWindowsデバイス（Windows Hello）に保存しますか？」
• （例）「別のデバイス（QRコード）を使って保存しますか？」

 

• ユーザーがこの選択肢からどれを選ぶか（あるいは、デフォルトの推奨を承諾するか）によって、そのパスキーがどこに保存されるかが決定します。

 
 
「パスキーはどこにあるの？」というユーザーサイドの混乱は、「このサービスのパスキーは、どのデバイスに保存したのか？」ということをユーザー自身が忘れていることに、多くの場合、起因します。
 
さらに、（これはサービスによりけりですが）「パスキーが存在するかどうか？」ということは、多くの場合、サービス側は記憶してくれていません。
そのため、実際にはユーザーがパスキーを作成していないサービスでも「パスキーを認証してください」というメッセージが表示され、ユーザー自身は「パスキー？、どこにあったっけ？」と迷うわけです。
このようなケースでは、「パスキーを認証してください」というメッセージを無視し、パスワードを入力してログインするのが正解です。
 
 
パスキーは、「パスワードのない世界」を実現する、安全で便利な次世代の認証技術です。
使い始めは「どこに保存されているか」が分かりにくく戸惑うこともありますが、その仕組みはOSのアカウント（iCloudやGoogleアカウント）と密接に連携しています。
 
基本的には、最も便利な「パターン1：同期型（クラウド）」を意識し、iCloudキーチェーンやGoogle パスワード マネージャーに一元管理する設定にしておくことが、デバイスの紛失リスクにも備えられるため最も推奨される方法です。