パスワードはもう古い？「パスキー」を徹底解説！仕組み・安全性・使い方まで

「パスキー（Passkey）」という言葉を、最近スマホの設定やニュースで見かける機会が増えてきたのではないでしょうか。Google、Apple、Microsoft、そして国内の多くのサービスでも導入が進んでいますが、「なんとなく新しい認証方法らしい」と知りつつも、実際のところよくわからないという方も多いはずです。

この記事では、パスキーとは何かをできる限りわかりやすい言葉で説明し、従来のパスワードとの違い・安全性・デバイスを失くしたときの対処法・これからの普及見通し・安全に使うためのポイントまで、まるごと解説します。

パスキーって何？超わかりやすく説明

一言で言うと「スマホや指紋が”鍵”になるログイン方法」

パスキーとは、スマートフォンや PC に保存された「暗号鍵」を使ってログインする新しい仕組みです。従来のようにパスワードを入力する必要がなく、顔認証・指紋認証・PIN（暗証番号）などでログインできます。

イメージとしては、家の鍵に近いです。あなたの家の鍵（秘密鍵）は手元にあり、鍵穴（公開鍵）はドアに取り付けられています。ドアを開けるには「正しい鍵を持っていること」を証明するだけでよく、鍵穴の情報だけを知っていても開けることはできません。

パスキーも同じ原理で動いています。

実際のログイン体験はどんな感じ？

たとえば、Amazon にパスキーを設定したとします。次回ログインするときは、メールアドレスもパスワードも入力不要です。ログインボタンを押すと、スマホの画面に「指紋認証でサインインしますか？」と表示され、指を当てるだけでログインが完了します。

所要時間はわずか数秒。パスワードを思い出す必要も、入力ミスをする心配もありません。

パスキーはどうやって動いているの？（ちょっとだけ技術の話）

パスキーは「FIDO2（Fast IDentity Online 2）」という国際標準規格を使って動いています。Google、Apple、Microsoft、そして多くのセキュリティ企業が参加する「FIDO アライアンス」という団体が策定した仕様です。

仕組みを噛み砕くと、こうなります。

パスキーを設定するとき、あなたのデバイスは「公開鍵」と「秘密鍵」という2つの鍵を自動的に作ります。公開鍵はサービス側のサーバーに送られ、秘密鍵はあなたのデバイスの中に厳重に保管されます。秘密鍵は絶対にデバイスの外に出ません。

ログインのとき、サービス側は「この計算を解いて」という問題（チャレンジ）をあなたのデバイスに送ります。デバイスは秘密鍵を使って問題を解き、その答えを返します。サービス側は公開鍵を使って答えが正しいか確認し、正しければログイン成功です。

このやりとりの中で、秘密鍵はデバイスから一度も外に出ません。サービス側もパスワードのような「秘密情報」を持ちません。これがパスキーの最大の特徴です。

パスキーの安全性と、いままでのパスワードの違い

パスワードの何が問題なの？

まず、従来のパスワードが抱える問題を整理しましょう。

覚えられないから使い回す

「パスワードは長くて複雑なものを、サービスごとに変えましょう」と言われても、実際にできている人は多くありません。多くの人が同じパスワードを複数のサービスで使い回しています。あるサービスが流出したら、芋づる式に他のサービスも危険にさらされます。

フィッシング詐欺にだまされやすい

「アカウントに問題があります。こちらからログインしてください」という偽メールに誘導され、偽サイトでパスワードを入力してしまう被害が後を絶ちません。パスワードは「入力する」ことで成立するため、本物そっくりの偽サイトで騙されてしまいます。

サーバーが攻撃されると一気に流出する

サービス側がパスワードを（ハッシュ化しているとはいえ）保管している以上、サーバーが攻撃されれば大量の認証情報が流出するリスクがあります。過去に起きた大規模なパスワード流出事件は、まさにこのパターンです。

数字で見るパスワードの危うさ

FIDO アライアンスが2025年5月に発表した調査では、過去1年間でパスワードに関連する脆弱性によってアカウントが侵害された経験のある人が世界全体で35%以上にのぼることが明らかになっています。また、パスワードを忘れたことでオンラインでの購入を途中でやめた経験がある人は47%にのぼるという結果も出ています。

パスキーはどう違うの？

パスキーはパスワードが抱えるほぼすべての問題を、仕組みの段階で解決しています。

フィッシングに強い

パスキーはログインしようとしているサイトのドメイン（アドレス）と紐付いています。たとえ本物そっくりの偽サイトに誘導されても、「このパスキーはそのサイト用ではない」とデバイスが自動的に判断し、ログインを拒否します。フィッシング詐欺に騙される余地がありません。

サーバー流出しても意味がない

サービス側のサーバーには「公開鍵」しか保管されていません。公開鍵は文字通り公開されていても問題ない情報であり、たとえ攻撃者がサーバーを盗み見ても、それだけではログインできません。

使い回しができない

パスキーはサービスごとに異なる鍵ペアを生成します。構造的に「使い回し」が不可能です。

パスワードを盗む攻撃が効かない

「クレデンシャルスタッフィング」という攻撃（流出したパスワードリストを別サービスに次々と試す手法）も、パスキーには通用しません。秘密鍵はデバイスに閉じ込められており、リストに載せることができないからです。

パスキーとパスワード、どっちが安全？

結論からいえば、ほとんどの場面でパスキーのほうが安全です。

ただし「どっちが安全か」という比較は、単純ではありません。それぞれの強みと弱みを正直に見ていきましょう。

パスキーが明らかに優れている点

フィッシング耐性という点では、パスキーは圧倒的です。パスワードはどれだけ複雑でも、偽サイトに入力してしまえば一発で奪われます。パスキーにはそのリスクがありません。

サーバー側に「盗める秘密情報」が存在しないことも大きな違いです。パスワードが流出する多くのケースは、サービス側のデータベースへの攻撃です。パスキーではその攻撃が無意味になります。

ログイン体験の数字を見ても差は歴然としています。FIDO アライアンスが2025年に公表したデータによると、パスキーによるログイン成功率は93%であるのに対し、従来の認証方式では63%にとどまるとされています。ログインにかかる時間も、パスキーは平均13.6秒、パスワード方式は27.5秒と、ほぼ半分の時間で完了します。

パスキーにも弱点はある

パスキーが「完璧」かというと、そうではありません。

セキュリティ研究者たちが指摘しているのは、パスキー自体の設計ではなく、パスキーが使われる環境に潜むリスクです。

たとえば、悪意のあるブラウザ拡張機能がインストールされている場合、ログイン処理を横から操作される可能性があります。マルウェアに感染したデバイスでは、端末そのものが乗っ取られてしまう恐れもあります。また、ログインが成功したあとに発行される「セッションクッキー」を盗まれると、パスキーで守られた入口を通り抜けたあとの部屋に侵入されるようなケースも確認されています。

FIDO アライアンス自身も2025年9月に公式見解を示しており、「パスキーが破られた」という報告の多くは、パスキー自体の脆弱性ではなく、ブラウザの脆弱性やデバイスの感染など、パスキーを取り巻く環境の問題であると説明しています。

また、2025年8月のUSENIX Security Symposiumで発表されたコーネル大学の研究では、親密なパートナーからの暴力（DV）や高齢者虐待、人身売買といった状況において、パスキーが悪用されるリスクについても分析されています。パスキーは便利なゆえに、同じデバイスを共有する関係性の中で悪用される可能性があるという、これまであまり注目されてこなかった側面です。

総合的な評価

パスキーはパスワードよりも安全です。しかし「使えば安心」ではなく、「デバイスやアカウントの管理も含めたトータルのセキュリティ」が大切という点は変わりません。

もしパスキーを「忘れた」「デバイスをなくした」らどうする？

「パスワードなら忘れたときにリセットできるけど、パスキーはどうすればいいの？」という疑問はよくあります。これはパスキーへの移行を戸惑う大きな理由のひとつでもあります。

そもそも「パスキーを忘れる」ことはない

パスワードと大きく異なるのは、パスキーは「覚えるもの」ではないという点です。デバイスが自動的に管理するため、ユーザーが暗号鍵の中身を知る必要はありません。「忘れた」という状況は原理的に発生しません。

問題になるのは、パスキーが保存されているデバイスを失くしたり壊したりした場合です。

デバイスをなくしてもパスキーは消えない（多くの場合）

現在の主要なパスキー管理の仕組みでは、クラウドへの同期が標準になっています。

Apple 端末では iCloud キーチェーンを通じて、すべての Apple デバイス間でパスキーが自動的に同期されます。iPhone を落としても、iPad や Mac にパスキーが残っています。iCloud キーチェーンはエンドツーエンド暗号化されており、Apple 自身もその内容を見ることができません。

Android 端末では Google パスワードマネージャーを通じて同期されます。Google アカウントにログインしている他の Android 端末や Chrome ブラウザからもアクセスできます。

また、1Password・Bitwarden・Dashlane などのサードパーティ製パスワードマネージャーでパスキーを管理している場合は、そのサービスを通じて複数のデバイスやプラットフォームにまたがって使用できます。

注意が必要なケース

パスキーを一台のデバイスにしか保存しておらず、クラウド同期を無効にしていた場合は、そのデバイスを失うとパスキーにアクセスできなくなります。この状況への備えとして、以下のことが重要です。

同期を有効にしておくこと、そして各サービスのメールアドレスやSMS認証などの「フォールバック（緊急時の代替手段）」を事前に設定しておくことが鍵です。ほとんどのサービスは、パスキーが使えない場合の代替ログイン方法を用意しています。

Apple・Google のアカウント自体にアクセスできなくなった場合（アカウントごと失う状況）は、より深刻です。この場合、各サービスのアカウント回復手順に従うことになります。また Apple の iCloud キーチェーンでは、デバイスをすべて失っても回復キーを使って復旧できる仕組みが用意されています。

なお、2025年に話題になったケースとして、Amazon のパスキー実装では一時期フォールバック手段が不十分で、デバイスを失ったユーザーがアカウントにアクセスできなくなる問題が報告されました。これはパスキー自体の問題ではなく、Amazon 側の実装の問題でしたが、サービスによって回復手段の充実度が異なることを示す事例です。利用するサービスの回復手順を事前に確認しておくことを強くお勧めします。

これからはパスキーが主流になるの？

普及は急速に進んでいる

数字を見ると、パスキーの普及は「もしかしたら主流になるかも」というレベルをとっくに超えています。

FIDO アライアンスの2025年のデータによると、世界で10億人以上がすでに少なくとも1つのパスキーを設定しており、パスキーに対応しているオンラインアカウントは150億件を超えています。世界上位100のウェブサイトのうち、48%がパスキーをログイン手段として提供しており、これは2022年と比べて2倍以上の数字です。

パスキーを認知しているユーザーは世界で75%に達し、パスキーを使ったことのある人のうち54%が「パスワードより便利」と感じ、53%が「より安全」と感じているという結果も出ています。

日本でも動きは活発で、Yahoo! Japan ではパスキーのアクティブユーザーが2700万人に達しており、東急では会員の45%がパスキーを設定しているというデータもあります。

企業や政府も動き出している

Google・Apple・Microsoft という主要 OS ベンダー3社が足並みをそろえてパスキーを推進しているという事実は、普及を大きく後押ししています。さらに、Amazon・Walmart・Best Buy・Target・eBay などの大手 EC サービス、American Express・Bank of America・Wells Fargo などの金融機関もパスキー対応を進めています。

2025年5月には FIDO アライアンスが「パスキー宣言（Passkey Pledge）」を発表し、20日余りで100を超える企業・組織が参加を表明しました。

企業側にもメリットがあります。パスキーを導入したことで、ログイン成功率が上昇し、サポートコストが削減されたという実績が蓄積されています。HubSpot はパスキー導入後にログイン成功率が25%向上し、ログイン速度が4倍になったと報告しています。

「完全移行」にはまだ時間がかかる

ただし、すべてのサービスがパスキーに移行するまでにはまだ時間がかかります。現時点では多くのサービスが「パスワードとパスキーの両方が使える」という移行期の状態です。

パスキーに対応していない古いデバイスや OS を使っているユーザーへの配慮、サービス側の開発コスト、異なるエコシステム（Apple と Google など）間のパスキーの互換性の課題など、課題も残っています。

それでも、大手 OS が標準でサポートし、企業のメリットも明確になってきた今、パスキーが認証の「標準」になる方向性は揺るがないと見てよいでしょう。

パスキーも完璧じゃない？安全に使うための方法を解説

前述のとおり、パスキーは非常に安全な仕組みですが、「パスキーを使えば何もしなくていい」というわけではありません。ここでは、パスキーをより安全に使うための具体的な方法をまとめます。

1. クラウド同期を有効にして複数デバイスにバックアップする

パスキーは iCloud キーチェーン（Apple）または Google パスワードマネージャー（Android/Chrome）に自動的に同期されます。この同期機能を有効にしておくことが、デバイス紛失時のリスクを大幅に下げる第一歩です。

また、複数のデバイスでパスキーを設定しておくと、より安心です。スマホを失くしても PC から復旧できるようになります。

2. クラウドアカウント自体を強固に保護する

パスキーが同期されているアカウント（Apple ID や Google アカウント）が乗っ取られると、そのアカウントに紐付くパスキーも危険にさらされます。これらのアカウントには必ず多要素認証（MFA）を設定してください。

強力なパスワードと MFA の組み合わせが、パスキー全体のセキュリティの土台になります。

3. デバイスの OS とブラウザを常に最新に保つ

パスキーの設計自体に脆弱性はほぼありませんが、それを動かすデバイスや OS、ブラウザに脆弱性があると、間接的に攻撃のターゲットになる可能性があります。セキュリティアップデートは速やかに適用する習慣をつけましょう。

4. 怪しいブラウザ拡張機能を入れない

悪意のあるブラウザ拡張機能は、パスキーのログイン処理を横から操作したり、セッションクッキーを盗んだりする可能性があることが研究者から指摘されています。ブラウザの拡張機能は最小限に絞り、公式・著名なもの以外はインストールしないようにしましょう。

5. フォールバック手段を事前に設定・確認しておく

パスキーを設定した各サービスで、パスキーが使えない緊急時のログイン手段（メールアドレス認証・SMS認証など）も設定しておきましょう。いざというときに頼れる手段がないと、アカウントへのアクセスを永久に失う可能性があります。

6. デバイスを他人に貸すときは注意する

パスキーは生体認証（顔・指紋）や PIN と組み合わさっているため、デバイスをロック解除した状態で他人に渡すと、その人がパスキーを使えてしまう状態になります。家族や友人であっても、ログインを必要とするアプリやサービスを使われたくない場合は、デバイスを貸す際にご注意ください。

特に DV（ドメスティックバイオレンス）やハラスメントのリスクがある環境では、デバイスの共有や他者によるパスキーの不正設定に注意が必要です。これはコーネル大学の2025年の研究でも指摘されている問題です。

7. 複数のパスキーを登録できるサービスでは複数登録する

一部のサービスでは、複数のデバイスのパスキーをそれぞれ個別に登録できます。たとえば PC のパスキーとスマホのパスキーを両方登録しておくと、どちらの端末を失っても残ったほうでログインできます。

まとめ

パスキーは、従来のパスワードが持つ根本的な問題を技術の仕組みそのもので解決した、次世代の認証方法です。フィッシング詐欺に騙されない、使い回せない、サーバーが流出しても意味がない、という強みは、パスワードでは実現できないものです。

パスキー自体が「破られた」という事例はいまのところ報告されておらず、問題になるのはパスキーを取り巻く環境（デバイス、ブラウザ、クラウドアカウント）の管理です。これはパスワードを使う場合と同じ話であり、むしろパスキーのほうがはるかに管理しやすい構造になっています。

2025年時点で世界10億人以上が使い始め、主要なサービスの半数近くが対応するようになったパスキーは、もはや「これから来る技術」ではなく「いま使える技術」です。

まだパスキーを設定していない方は、まず Google アカウントや Apple ID など、毎日使うサービスから試してみてください。一度体験すれば、「なぜもっと早く使わなかったんだろう」と感じる方が多いはずです。

---

よくある質問（FAQ）

パスキーは無料で使えますか？

はい、パスキー自体を使うのに費用はかかりません。iOS・Android・Windows・macOS など、現在普及している主要なデバイスのほとんどが標準でパスキーに対応しています。

パスキーはすべてのサービスで使えますか？

現時点では、対応しているサービスとしていないサービスがあります。対応サービスは急速に増えており、Google・Apple・Microsoft・Amazon・各種銀行など多くの大手サービスが対応済みです。

iPhone から Android に乗り換えたら、パスキーはどうなりますか？

Apple の iCloud キーチェーンと Google のパスワードマネージャーは現時点では互換性がありません。乗り換えた場合は、各サービスで新しいデバイスにパスキーを再登録するか、1Password などのクロスプラットフォーム対応のパスワードマネージャーを利用することをお勧めします。

パスキーを設定すると、パスワードは削除されますか？

多くのサービスでは、パスキーを追加してもパスワードは残ります（削除するかどうかは各サービスの設定次第）。完全にパスワードレスにするかどうかは、ユーザーが選択できる場合がほとんどです。

子どもや高齢者でも使えますか？

はい。むしろパスワードよりも簡単です。顔や指紋で認証できるため、文字を正確に入力する必要がありません。ただし、デバイスの生体認証や PIN の設定など、初期設定だけはサポートが必要な場合があります。

---

この記事は2026年5月時点の情報をもとにまとめています。パスキーはまだ進化の途中にある技術で、今後サービスの対応状況や仕様が変わることもあります。記事の内容が最新の状況と異なる場合がありますので、重要な判断をされる際は必ず各サービスの公式情報もあわせてご確認いただければ幸いです。なお、本記事を参考にされたことで生じた損害やトラブルについては、当ブログでは責任を負いかねますことをあらかじめご了承ください。