Research
Research

by nicoxz

パスキーとは?現状最強の認証方式の仕組みを解説

by nicoxz
URLをコピーしました
#パスキー #セキュリティ #FIDO2 #認証技術 #フィッシング対策

はじめに

「パスキー」という言葉を目にする機会が増えています。Google、Apple、Microsoftといった大手IT企業が推進し、「最も簡単で最も安全」と評されるこの認証方式は、パスワードに代わる次世代のログイン手段として急速に普及しています。

2026年に入り、日本の証券会社が相次いでパスキー認証を必須化するなど、金融分野でも導入が加速しています。背景には、2025年に判明した17,000件超の証券口座への不正アクセス被害があります。本記事では、パスキーの仕組みからメリット・注意点まで、分かりやすく解説します。

パスキーの基本的な仕組み

公開鍵暗号方式による認証

パスキーは、FIDO2(Fast IDentity Online 2)という国際標準規格に基づいたパスワードレス認証方式です。技術的には「WebAuthn」と「CTAP」という2つの仕様で構成されています。

従来のパスワード認証では、サーバーとユーザーが同じ「秘密の文字列」を共有します。一方、パスキーは「公開鍵暗号方式」を採用しており、サーバーには「公開鍵」、ユーザーのデバイスには「秘密鍵」がそれぞれ保管されます。秘密鍵はデバイスの外に出ることがないため、サーバーが攻撃されても認証情報が漏えいしません。

ログインの流れ

パスキーでのログインは、以下の手順で行われます。

  1. サービス側がデバイスに「チャレンジ」と呼ばれるランダムなデータを送信します
  2. ユーザーが指紋認証や顔認証でデバイスのロックを解除します
  3. デバイス内の秘密鍵がチャレンジに電子署名を行います
  4. 署名されたデータがサービス側に送信されます
  5. サービス側が公開鍵で署名を検証し、本人確認が完了します

ユーザーから見ると、スマートフォンの指紋センサーに触れるだけ、あるいは顔を向けるだけでログインが完了します。パスワードを入力する手間は一切ありません。

二要素認証を一度に実現

パスキーの大きな特徴は、一度の操作で二要素認証が完了する点です。「所持認証」(パスキーが保存されたデバイスを持っていること)と「生体認証」(指紋や顔で本人であること)を同時に満たします。従来の二要素認証では、パスワード入力後にSMSコードを入力するなど複数のステップが必要でしたが、パスキーではワンアクションで済みます。

なぜパスキーはフィッシングに強いのか

オリジン(ドメイン)に紐づく仕組み

パスキーがフィッシング詐欺に強いとされる最大の理由は、認証情報がWebサイトのドメインに紐づいている点にあります。

パスキーを登録すると、そのサービスのドメイン情報(例: example.com)が認証データに組み込まれます。ログイン時には、アクセスしているサイトのドメインとパスキーに記録されたドメインが自動的に照合されます。

つまり、偽サイト(例: examp1e.com)にアクセスしても、ドメインが一致しないためパスキーの認証プロセスが作動しません。ユーザーが誤って偽サイトにアクセスしてしまっても、パスキーが認証情報を送信することはないのです。

パスワードとの決定的な違い

パスワードの場合、ユーザーが偽サイトに入力してしまえば、その情報はそのまま攻撃者の手に渡ります。しかし、パスキーでは秘密鍵がデバイスの外に出ることがなく、盗むべき「文字列」自体が存在しません。

さらに、パスキーは各サービスごとに固有の鍵ペアを生成するため、一つのサービスから情報が漏えいしても他のサービスに影響が及びません。パスワードの使い回しによる被害が発生しない仕組みになっています。

金融機関での導入が加速

証券口座の不正アクセス被害が引き金

2025年には、日本国内で証券口座への不正アクセスが深刻な問題となりました。判明しているだけで17,000件超の不正アクセスが発生し、被害額は7,000億円を超えるとされています。手口の多くは精巧なフィッシング詐欺によるもので、従来のID・パスワード認証の限界が露呈しました。

この事態を受け、金融庁はインターネット取引における本人確認について、パスキーやPKI(公開鍵基盤)をベースとした「フィッシング耐性のある多要素認証」の実装および必須化を原則として求める指針を公表しました。

主要証券会社の対応状況

2026年に入り、主要証券会社が相次いでパスキー認証を導入・必須化しています。

  • マネックス証券: 2026年1月末以降、ログイン時のパスキー認証を順次必須化
  • SMBC日興証券: 2026年1月末よりパスキー認証を導入し、段階的に必須化
  • みずほ証券: 2026年2月9日より取引・入出金にパスキー認証を必須化
  • 大和コネクト証券: 2026年2月〜3月に導入、5月以降に必須化を予定
  • 東海東京証券: 2026年2月9日に導入、5月より必須化を予定

日本証券業協会(JSDA)は2026年夏を期限としたパスキー必須化の方針を示しており、証券業界全体での対応が進んでいます。FIDO Alliance Japan Working Groupには64の組織が加盟し、日本国内で50以上のパスキープロバイダが稼働中または準備中です。

注意点・展望

パスキー利用時の注意点

パスキーは強力な認証方式ですが、いくつかの注意点があります。

デバイス紛失のリスク: パスキーを保存したデバイスを紛失した場合、認証ができなくなる可能性があります。ただし、生体認証を設定しておけば、第三者によるログインは困難です。万が一に備え、復旧用の方法(別デバイスでのパスキー登録、回復コードの保管など)を事前に確認しておくことが重要です。

OS間の移行に制限: iPhoneからAndroidスマートフォンに機種変更した場合、パスキーは自動的に移行されません。同じOS内であればiCloudやGoogleアカウントを通じてクラウド同期が可能ですが、異なるエコシステム間での移行には再設定が必要です。

対応サービスの限定: パスキーに対応するアプリやWebサービスはまだ限定的です。すべてのログインがパスワードレスになるわけではなく、当面はパスワードとの併用が続く場面もあります。

今後の見通し

パスキーの普及は今後さらに加速すると見られます。金融機関だけでなく、ECサイトや行政サービスなど幅広い分野での導入が期待されています。OS間のパスキー移行についても、FIDOアライアンスが標準化を進めており、利便性の改善が見込まれます。

まとめ

パスキーは、公開鍵暗号方式を用いてパスワードを不要にする「現状最強」の認証方式です。指紋や顔認証でデバイスのロックを解除するだけでログインが完了し、フィッシング詐欺にも構造的に強い設計となっています。

2026年は金融機関を中心にパスキー必須化が一気に進んでおり、利用者にとっても設定が避けられない状況になりつつあります。まだパスキーを設定していない方は、まずGoogleアカウントやApple IDなど、普段使うサービスから設定を始めてみてください。デバイスの紛失対策として、複数のデバイスにパスキーを登録しておくことも忘れずに行いましょう。

参考資料:

関連記事

最新ニュース