パスワードでログインはもう古い?「パスキー」の仕組みと特徴 ― IT初心者にも分かりやすく解説
※本記事は一般の方向けに、分かりやすさを優先して説明を簡略化しています。記事中の例え話は技術をイメージしやすくするための方便であり、実際の仕組みと厳密に一対一で対応するものではありません。技術的な詳細については、FIDO Allianceの公式ドキュメントなどをご参照ください。
2026年4月14日、LINEヤフーが大きな発表をしました。Yahoo! JAPAN IDのログイン方法を、段階的に「パスキー」へ一本化するというものです(※)。第一段階として、2027年春頃までに「パスワードだけでのログイン」を終了する予定です。移行措置として、SMS認証を使用したパスワードレスログインや、パスワードとワンタイムパスワードを組み合わせたログインは当面継続しますが、これらも段階的にパスキーへ集約していく方針とのことです。
「えっ、パスワードがなくなるの?」「パスキーって何?」と思った方も多いのではないでしょうか。
この記事では、ITに詳しくない方でも、パスキーの仕組みとメリット・デメリットを「なるほど、そういうことか」と分かるようにできるだけ噛み砕いて解説します。
目次
パスワードの根本的な弱点
パスキーの話をする前に、まず「パスワードの何がマズいのか」を確認しましょう。
パスワードは、いわば「合言葉」です。あなたとサービス(Yahoo!やAmazonなど)の間で、「この合言葉を知っている人=本人」という約束をしている仕組みです。
この方式には、根本的な弱点があります。
合言葉は「知っていれば誰でも使える」のです。
具体的には、こんなリスクがあります。
-
フィッシング詐欺:本物そっくりの偽サイトに誘導され、合言葉(パスワード)を入力してしまう。攻撃者は入力されたパスワードをそのまま本物のサイトで使う。
-
パスワードリスト攻撃:どこかのサービスから漏洩したID・パスワードの組み合わせを使って、別のサービスへの不正ログインを試みる攻撃。同じパスワードを使い回していると、芋づる式に被害が広がる。
-
盗聴:通信を傍受してパスワードを盗む。サーバーからの漏洩:サービス側のデータベースが攻撃され、保存されていたパスワード情報が流出する。
つまり、パスワードという仕組みは「秘密の情報をサーバーに送り、サーバーにも保存する」という構造上、盗まれる場所が多いのです。
※現在、主要なWebサービスでは通信が暗号化されているため、パスワードが平文のまま流れるわけではありません。ただし、パスワードそのものがサーバーに到達するという構造的な問題は変わりません。
パスキーとは「自分しか書けない筆跡のサイン」
パスキーを一言で説明すると、
パスワード(合言葉)の代わりに、あなたのスマホやPCの中にある秘密鍵(「自分しか書けない筆跡のサイン」)を使ってログインする仕組み
です。
順番にパスキーの正体を解き明かしていきます。
①使う体験の違い
パスワードとパスキーの違いを、まずログインの体験で比べてみましょう。
パスワード方式は、ログインのたびに「秘密の文字列を思い出して、キーボードで入力する」やり方です。
パスキー方式は、ログイン時にスマホの指紋認証や顔認証の画面が表示されるので、指をかざすだけ、顔を向けるだけ。文字列を覚える必要も、入力する必要もありません。
②安全性の違い
次に安全性の違いです。マンションのオートロックにたとえると、パスワード方式は暗証番号パネルです。番号を知っていれば住民でなくても誰でも入れてしまいます。番号を教えたり、入力しているところを見られたり、番号のメモを落としたりすると、それでおしまいです。
パスキー方式は指紋認証式のドアです。登録されたあなたの指紋でしか開かない。暗証番号がそもそも存在しないので、「覗き見される」「メモを落とす」「誰かに教えてしまう」という心配がありません。
「生体認証」との違い
ここまで読んで、「普通の生体認証ログインと同じじゃないの?」と思った方もいるかもしれません。実はここが重要なポイントです。
一口に「生体認証でログイン」と言っても、裏側の仕組みは様々です。中には、端末に保存されたパスワードを顔認証などで呼び出して、そのパスワードをそのままサーバーに送っているだけ、というシステムもあります。この場合、生体認証でパスワード入力の手間を省いているだけで、サーバーに届くのは結局パスワードそのものです。
パスキーの場合、サーバーにパスワードなどの秘密情報は一切送りません。生体認証はあくまで「仕組みを起動するためのスイッチ」にすぎず、その裏側ではパスワードとは異なる方法で本人確認が行われています。見た目は同じ「指紋をかざすだけ」でも、中身がまったく違うのです。
では、裏側では実際に何が起きているのか。パスキーを支える「3つの仕組み」を押さえてから、認証の流れを見ていきましょう。
パスキーを支える3つの仕組み
パスキーの裏側で何が起きているのかを理解するために、3つだけ知っておいてほしいことがあります。
① 秘密鍵と公開鍵 ― 「自分しか書けない筆跡のサイン」と「届け出た筆跡の見本」
パスキーを登録すると、あなたのスマホの中に「秘密鍵」が作られます。これは、たとえるなら「自分しか書けない筆跡のサイン」です。同時に、その秘密鍵に対応する「公開鍵」がサービス側に届け出られます。公開鍵とは、たとえるなら「サインが本物かどうかを確かめるための筆跡の見本」です。
この2つには大事な性質があります。技術的に公開鍵から秘密鍵を復元することはできないという点です。サービス側に届け出た公開鍵が万が一盗まれたとしても、あなたの秘密鍵を偽造することはできません。
② デジタル署名 ― 「本人がサインした、という動かぬ証拠」
ログインのとき、サービスから届く一時的なデータに対して、あなたのスマホが秘密鍵を使ってデジタル署名を付与します。たとえるなら、届いた書類に「自分だけのサイン」を書く作業です。
サービス側は、届け出られている公開鍵を使って、そのデジタル署名が本物かどうかを確かめます。たとえるなら、届け出済みの筆跡の見本とサインを照合する作業です。署名を付与できるのは秘密鍵を持っている本人のスマホだけなので、一致すれば「間違いなく本人だ」と判断できるわけです。
③ スマホのセキュア領域 ― 秘密鍵を守る金庫
秘密鍵は、スマホ内部の特別に保護された領域に保管されています。iPhoneでは「Secure Enclave」、Androidでは「TEE」や「StrongBox」と呼ばれるセキュアな処理環境です。これは、スマホの中に組み込まれた頑丈な金庫に例えられます。この金庫はアプリやOSからも直接触れることができず、中身を取り出すには指紋や顔による本人確認が必要です。デジタル署名の作業もこの金庫の中で行われます。
参考:
Apple 「The Secure Enclave」
Android Developers 「Android Keystore System」
※後述の「パスキーの同期」で説明しますが、機種変更や複数端末での利用に備えて秘密鍵の暗号化されたコピーをクラウド経由で他の端末に同期する仕組みがあります。ただし、ログイン時の認証処理(デジタル署名)は常に手元の端末のセキュア領域内で行われ、秘密鍵がサービス側のサーバーに送られることはありません。
パスキーでログインする流れ
3つの仕組みを踏まえて、実際のログインの流れを見ていきましょう。あなたが操作するのはステップ1と5だけで、残りはすべてスマホとサーバーが自動的に処理します。
ステップ1:ログインボタンを押す
いつも通り、パスキー認証に対応しているサイト(たとえばYahoo! JAPAN)で「ログイン」をタップします。
ステップ2:スマホがログインリクエストを送る(自動・画面には表示されない)
「ログイン」をタップすると、スマホが自動的にサーバーへログインリクエストを送ります。この通信はバックグラウンドで行われるため、画面上には何も表示されません。
ステップ3:サーバーがチャレンジを送る(自動・画面には表示されない)
サーバーが毎回異なる確認用データ(チャレンジ)をあなたのスマホに送ります。これは一回限りの使い捨てで、毎回内容が変わります。
ステップ4:スマホが認証画面を表示する(自動)
チャレンジを受け取ったスマホが、指紋認証や顔認証の画面を自動的に表示します。
ステップ5:指紋や顔で本人確認する
表示された認証画面で指紋や顔をかざします。これは秘密鍵を保管している金庫(セキュア領域)のロックを解除する操作です。指紋や顔のデータがインターネットに送られることはありません。あくまでスマホの中で金庫を開けるためだけに使われます。
ステップ6:スマホがデジタル署名を作る(自動・画面には表示されない)
金庫が開いたら、秘密鍵を使ってチャレンジにデジタル署名します。サーバーに送るのはこの署名済みのデータだけです。秘密鍵そのものがサービス側のサーバーに送られることはありません。
ステップ7:サーバーが署名を確かめる(自動・画面には表示されない)
サーバーは、あらかじめ届け出られている公開鍵(筆跡の見本)を使って、送られてきた署名が本物かどうかを確かめます。公開鍵は「確かめる専用」の情報なので、仮にサーバーがハッキングされて公開鍵が漏洩しても、そこから秘密鍵を復元したり、署名を偽造したりすることはできません。
ステップ8:ログイン成功!
署名が本物だと確認できれば、ログイン完了です。
ここが重要:認証時に秘密鍵はサーバーに届かない
パスワード認証では「秘密そのもの(パスワード)」がサーバーに送られますが、パスキー認証では秘密鍵がサービス側のサーバーに送られることはありません。サーバーに届くのは「署名済みのデータ」だけです。
さらに、チャレンジは毎回異なるため、仮に誰かが過去の署名済みデータを傍受していたとしても、次回のログインには使えません。
パスワードが「合言葉を相手に伝える」方式だとすれば、パスキーは「自分だけのサインを、金庫から一歩も出さずに使う」方式です。
パスキーが強い攻撃と、残る注意点
パスキーが防いでくれる攻撃
パスキーは、多くの種類の攻撃を防いでくれます。それらの攻撃の種類と、パスキーが防ぐことが出来る理由を解説します。
-
フィッシング詐欺:
偽サイトに「入力するパスワード」がそもそも存在しません。さらに、秘密鍵には「どのサイト(ドメイン)のための鍵か」が紐づいており、ログイン時にスマホがドメインを自動照合します。本物のサイト(例:yahoo.co.jp)で登録したパスキーは、偽サイト(例:yah00.co.jp)ではドメインが一致しないためデジタル署名が行われません。人間がURLを判断する必要がなく、巧妙な偽サイトでも騙されません。 -
パスワードリスト攻撃:
パスワードが存在しないので、漏洩したパスワードリストで不正ログインを試みること自体ができません。 -
盗聴・リプレイ攻撃:
毎回異なるチャレンジに対してデジタル署名するため、過去の署名済みデータを傍受して再利用する攻撃(リプレイ攻撃)が成立しません。 -
サーバー侵害:
サーバーに保存されているのは公開鍵(筆跡の見本)だけです。公開鍵から秘密鍵を復元することはできないため、仮にサーバーがハッキングされて公開鍵が漏洩しても、攻撃者がログインすることはできません。
知っておくべきデメリット・注意点
パスキーは非常に優れた仕組みですが、万能ではありません。
現状での注意点やリスクを解説します。
-
端末の紛失・故障リスク:
秘密鍵がスマホの中にあるため、スマホをなくしたり壊れたりするとログインできなくなる可能性があります。ただし、現在では主要なプラットフォーム企業がパスキーのクラウド同期に対応しており、複数の端末に秘密鍵の暗号化されたコピーを持てるようになっています。
詳しくは後述の「パスキーの同期」で説明します。 -
未対応サービスがまだ多い:
Yahoo! JAPANなどパスキーでのログインを受け付けるサービスは増えていますが、すべてのWebサイトが対応しているわけではありません。当面はパスワードとの併用が必要な場面も残ります。 -
ITが苦手な方にとってはハードル:
初期設定(パスキーの登録)に多少の手順が必要です。一度設定してしまえばむしろパスワードより簡単ですが、「最初の一歩」のサポートが重要になります。 -
パスワードが残っている間は油断禁物:
パスキーを登録しても、同じサービスにパスワードでもログインできる状態が続いている間は、攻撃者はパスワード経路を狙えます。パスキーの恩恵を本当に受けるには、サービスが対応し次第「パスワードの利用をやめる」必要があります。
パスキーの同期で、機種変更や複数端末利用も対応
「秘密鍵がスマホの中にある」と聞くと、「機種変更したらどうなるの?」「スマホとPCの両方で使いたいのだけど?」と不安になるかもしれません。
その不安を解決できる仕組みが「同期パスキー(Synced Passkey)」です。Apple、Googleなどの各プラットフォームが、パスキー(秘密鍵を含む資格情報)を端末から端末まで暗号化した状態で、クラウド経由で同期する機能を提供しています。
「あれ? さっき秘密鍵はスマホの外に出ないって言ったのに、クラウドに同期するの?」と思った方は鋭いです。ここを正確に整理しましょう。
秘密鍵が「外に出ない」という意味は、ログイン時の認証処理において、秘密鍵がサービス側のサーバー(Yahoo!やGoogleのログインサーバーなど)に送られることはない、という意味です。
一方、同期パスキーでは、パスキーが暗号化された状態でプラットフォーム企業(AppleやGoogle)のクラウドを経由して他の端末に配布されます。この暗号化にはエンドツーエンド暗号化が使われており、プラットフォーム企業自身も秘密鍵の中身を見ることはできません。
ここで大事なのは役割の違いです。
パスキーの同期基盤を提供するのは、スマホやPCのOSを作っているApple・Googleなどのプラットフォーム企業です。
一方、Yahoo! JAPANのようなWebサービスは「パスキーでログインを受け付ける側(認証先)」であり、秘密鍵の同期には関与しません。Yahoo!のサーバーに保存されているのは公開鍵(筆跡の見本=確かめる専用の情報)だけで、秘密鍵の保管や同期はプラットフォーム側の仕事です。
この同期の仕組みは、機種変更だけでなく、スマホとPCなど複数の端末を日常的に使い分けている場合にも威力を発揮します。一度どれかの端末でパスキーを登録すれば、同じプラットフォームアカウント(Apple IDやGoogleアカウント)に紐づいた他の端末にも自動的にパスキーが配布されるため、端末ごとに登録し直す必要はありません。
-
Apple(iPhone / iPad / Mac):
同じApple IDでサインインしている端末間で、iCloudキーチェーンを通じてパスキーが自動同期されます。iPhoneで登録したパスキーがMacでもそのまま使え、機種変更時も新しいiPhoneにApple IDでサインインすれば引き継がれます。 -
Google(Android / Chrome):
同じGoogleアカウントでログインしている端末間で、Googleパスワードマネージャーを通じてパスキーが自動同期されます。Androidスマホで登録したパスキーをChromeブラウザ(PC)でも利用でき、Android同士の機種変更でもそのまま引き継がれます。 -
AppleとGoogle をまたぐ場合:
iPhoneとAndroidスマホを両方持っている方や、iPhoneからAndroidへの機種変更(またはその逆)にも対応できます。Googleパスワードマネージャーがクロスプラットフォーム同期に対応しており、iOS上のChromeでGoogleパスワードマネージャーをオートフィルプロバイダーに設定すれば、同じGoogleアカウントでAndroidとiPhoneの間でパスキーを同期できます(iOS 17以降)
(参照:Chrome for Developers Blog "Passkeys on Google Password Manager are now available on iOS" )
よくある質問
パスキーについて、実際に設定を検討する際によくある疑問にお答えします。
Q1. 1つのサービスに複数のパスキーを登録できますか?
はい、できます。一般的にパスキーに対応しているサービスでは、同じアカウントに対して複数のパスキーを並行して登録する仕組みが用意されています。
登録できる件数の上限はサービスによって異なります。たとえばYahoo! JAPAN IDの場合は最大10件までです(参照:Yahoo! JAPAN ID ヘルプ https://id.yahoo.co.jp/security/manage_auth_device.html )。
ひとつが使えなくなったときの備えになるため、複数登録をおすすめします。「鍵の予備を別の場所に置いておく」と同じ発想です。
なお、サービスによっては、パスキー設定後にパスワードによるログインを無効化する設定を提供しているところもあります(Yahoo! JAPAN IDもその一例です)。パスキーだけで問題なくログインできるようになったら有効にすることで、パスワードを狙った不正アクセスのリスクを減らせます。
Q2. GoogleアカウントやApple IDが使えなくなったら、登録したパスキーはどうなりますか?
端末にサインインしたままの状態であれば、その端末に入っているパスキーは引き続き使える可能性があります。各サービスに届け出てある公開鍵(筆跡の見本)もサービス側に残るため、認証の仕組み自体が消えてしまうわけではありません。
ただし他の端末への同期は止まり、機種変更時に引き継げなくなります。対策としては、1つのサービスに対して複数のパスキーを、できれば異なる経路(iCloudキーチェーン、Googleパスワードマネージャー、サードパーティのパスワードマネージャーなど)に登録しておくのが安心です。Q1で述べた「複数登録」は、こうした事態への備えにもなります。
Q3. 万が一に備えて、パスキーをバックアップ・リストアできますか?
クラウド同期(iCloudキーチェーンやGoogleパスワードマネージャー)が自動的にバックアップの役割を果たします。スマホを壊したりなくしたりしても、新しい端末に同じApple IDやGoogleアカウントでサインインすれば、パスキーが自動で戻ってきます。
つまり、同期設定をオンにしておくことと、Apple IDやGoogleアカウント自体を厳重に守ることが、そのままバックアップ対策になります。
Q4. 指紋や顔のデータが盗まれる心配はない?
ほとんど心配はないと思われます。指紋や顔のデータはスマホ内部のセキュア領域(金庫)に保存されており、アプリやインターネット経由でアクセスすることはできません。OS自身も、この金庫に保管されている生体情報の生データを取り出すことはできない仕組みになっています。
生体認証はあくまで「金庫のロックを解除する」ための手段で、生体データがサーバーに送られることは一切ありません。前述のLINEヤフー プレスリリース(2026年4月14日)でも「生体認証は端末上で行われるため、ユーザーの生体情報がLINEヤフーへ送信・保存されることはありません」と明記されています。
最後にひとつ、大切な注意点
パスキーは非常に強力な仕組みですが、「設定しただけで安心」ではありません。同じサービスでパスワード認証が引き続き使える状態が残っている間は、不正ログインのリスクが十分に下がったとは言えないのです。サービスがパスワード無効化の設定を提供しているなら、パスキーに慣れたら無効化まで進めましょう。そこまで行ってはじめて、パスキーは真価を発揮します。
まとめ
パスキーは、「パスワードの問題を解消するために設計された仕組み」です。Yahoo! JAPANのような大規模サービスがパスワードのみでの認証の廃止に踏み切ったのは、それだけパスキーの技術が成熟し、実用に耐えるレベルに達した証拠と言えるでしょう。
「よく分からないけど怖い」ではなく、「大規模サービスも導入した仕組みだから安全なんだ」と理解した上で、ぜひ一度試してみてください。きっと「パスワードを入力しなくていいって、こんなに楽だったのか」と感じるはずです。
パスキーの仕組みを知ってセキュリティに興味を持った方へ
トレノケートでは、今回のようなテーマをさらに深く学べるさまざまセキュリティ研修コースを提供しています。特に業務でITを安心・安全に利用したい方におすすめです。
セキュリティ関連の研修一覧はこちら:
セキュリティ研修(セキュリティトレーニング)
