パスキーの重要さ

このところ、パスキーに対応するサイトが増えてきて、パスキーを使うと楽なので、基本的にはパスキーに、可能な限り切り替え始めた。それは、安全性が高いというよりも、パスワードの管理をしなくて良いから楽だからだ。

パスキーとは？

パスキーとは、一言で言えば、従来のパスワードに代わる、より安全で簡単な新しい認証方法だ 。これは特定の企業の製品名ではなく、FIDOアライアンスが定めた技術標準に基づく一般的な名称だ 。   

パスワードが「覚えている秘密の言葉」であるのに対し、パスキーはスマホやパソコンといったデバイス自体に安全に保管される「デジタルの鍵」のようなものだと解説されている。

パスキーの大きな特徴は、ログイン時にパスワードを入力する必要がない点だ。代わりに、普段デバイスのロック解除に使っている指紋認証（Touch IDなど）、顔認証（Face IDなど）、あるいはPINコード（画面ロックの暗証番号）といった方法で、デバイスを介して本人確認を行う 。これにより、パスワードを覚えたり管理したりする手間から解放され、よりスムーズなログインが可能になる。    

パスキーの仕組み

パスキーがパスワードよりも安全な理由は、その仕組みにある。パスキーは「公開鍵暗号方式」という技術を基盤としている 。

パスキー作成時（初回登録時）

特定のウェブサイトやアプリで初めてパスキーを作成すると、使っているデバイス（スマホやPC）が、対になる2つのデジタルキーを生成する。一つは「秘密鍵（Private Key）」、もう一つは「公開鍵（Public Key）」と呼ばれる 。   

秘密鍵は、デバイスの中に厳重に保管され、決してデバイスの外に出ることはない。ウェブサイトやアプリの運営者に送られることもない 。この秘密鍵は、デバイスのロック機能（指紋認証、顔認証、PINなど）によって保護される 。   このために安全性が、パスワードに比べて、圧倒的に高い。

公開鍵は、秘密鍵とペアになっているが、これ自体は秘密の情報ではない。この公開鍵がウェブサイトやアプリのサーバーに登録される 。   

ログイン時

ウェブサイトやアプリにログインしようとすると、サーバーから手元のデバイスへ「チャレンジ」と呼ばれる一種の「問いかけ」（ランダムなデータ）が送られてくる 。   

デバイスは、指紋認証、顔認証、またはPINでロックを解除することで、保管されている秘密鍵を使ってこの「チャレンジ」に対する「署名」（応答）を作成する 。   そして、この「署名」がサーバーに送り返される。

サーバーは、以前登録された公開鍵を使って、送られてきた「署名」が正当なものか（＝対になる秘密鍵を持っているデバイスからの応答か）を検証する 。   検証が成功すれば、本人であると確認され、ログインが許可される。

このプロセスの重要な点は、ログイン時にパスワードのような「秘密の情報」が一切ネットワーク上を流れないことだ 。サーバー側は、ログインしようとする者のデバイスのロック解除に成功したという「証明」を受け取るだけで、指紋や顔のデータそのもの、あるいは秘密鍵そのものを受け取ることはない 。   

これが、パスキーが従来のパスワード認証の根本的な弱点、すなわち「共有された秘密（パスワード）」が盗まれるリスクを解消する理由だ 。秘密鍵が決してデバイスから出ないため、フィッシングサイトに誘導されて「パスキーを入力してください」と言われても、入力すべきもの（秘密鍵）は利用者自身も知らず、入力のしようがない。また、万が一ウェブサイトのサーバーが攻撃され、公開鍵が漏洩したとしても、それだけではアカウントにログインすることはできない 。   

パスキーの設定と使い方　ステップバイステップガイド

実際にパスキーを設定し、利用するための具体的な手順を、Appleの場合でまとめてみた。

設定を始める前に

パスキーの設定を始める前に、いくつか確認しておきたい共通のポイントがある。

OSのアップデート

パスキー機能は比較的新しい技術であるため、デバイス（スマホ、タブレット、パソコン）のOSが最新バージョン、または比較的新しいバージョンであることが推奨されている 。 

画面ロックの有効化

パスキーは、デバイスの画面ロック機能（PIN、パターン、指紋認証、顔認証）を使って秘密鍵を保護し、本人確認を行う 。そのため、デバイスに画面ロックが設定され、有効になっていることが必須 。もし設定していない場合は、先に設定を済す。このデバイス自体のセキュリティが、パスキーの安全性の基盤となる。   

対応サービスの確認

 パスキーを作成できるのは、その機能をサポートしているウェブサイトやアプリのみだ 。サービスのログイン画面やアカウントのセキュリティ設定ページなどで、「パスキーでサインイン」「パスキーを作成」といった選択肢や、パスキーのアイコン  が表示されるか確認。   

デバイスのセキュリティ強化

 パスキーはデバイスのロック解除に依存するため、デバイス自体のPINを推測されにくいものにしたり、生体認証を確実に設定したりするなど、基本的なデバイスセキュリティを確保することが、これまで以上に重要になる。

Appleデバイスでのパスキー設定 (iPhone, iPad, Mac)

iPhone, iPad, MacなどのAppleデバイスでは、iCloudキーチェーンを通じてパスキーが安全に保存・同期され、シームレスな利用体験が提供される。

前提条件

•   デバイスでApple IDにサインインしていること。
• Apple IDの2ファクタ認証が有効になっていること（通常は必須または強く推奨される）。
• デバイスにパスコード（またはMacの場合はログインパスワード）が設定されており、Face IDまたはTouch IDが利用可能な場合は設定されていること。
• iCloudキーチェーンが有効になっていること 。これにより、同じApple IDでサインインしている他のAppleデバイス（例：iPhoneとMac）間でパスキーが自動的に同期される。
• iCloudキーチェーンの有効化 (iPhone/iPad): 「設定」>「[自分の名前]」>「iCloud」>「パスワードとキーチェーン」を開き、「このiPhone（またはiPad）を同期」をオンにする 。   
• iCloudキーチェーンの有効化 (Mac): 「システム設定」>「[自分の名前]」>「iCloud」>「パスワードとキーチェーン」を開き、「このMacを同期」をオンにする 。 

ウェブサイト/アプリ用パスキーの作成

• パスキーに対応しているウェブサイトまたはアプリを開き、サインイン画面またはアカウント設定画面に移動 。   
• 新しいアカウントを作成するか、既存のアカウントの場合はセキュリティ設定の項目を探す。
• 「パスキーを作成」「パスキーでサインアップ」のようなオプションが表示されたら、それを選択。
• 画面に「（サイト名）のパスキーを保存しますか？」といった確認が表示されたら、「続ける」をタップまたはクリック 。   
• Face ID、Touch ID、またはデバイスのパスコード（Macの場合はログインパスワード）で認証を求められるので、認証を完了 。   

これでパスキーが作成され、iCloudキーチェーンに安全に保存される。

パスキーでのサインイン

• パスキーを作成したウェブサイトやアプリのサインイン画面を開く。
• アカウント名の入力欄（ユーザー名やメールアドレス欄）をタップまたはクリック 。   
• キーボードの上や画面下部に、保存されているパスキー（アカウント名）の候補が表示されるので、それを選択 。   
• Face ID、Touch ID、またはパスコード（Macの場合はログインパスワード）で認証 。 

認証が成功すると、自動的にサインインが完了。パスワードを入力する必要はない。

Appleパスキーの管理 (表示・削除)　iOS 17以降:iPhone/iPadの場合

• 「パスワード」アプリを開く。Face ID/Touch ID/パスコードで認証。リストから該当のウェブサイトやアプリを選択すると、保存されているパスキー情報を確認できる。また、「パスキーを削除」をタップすると削除できる 。   

他のデバイス（例：Windows PC）からのサインイン

• もしWindows PCなど、iCloudキーチェーンが同期されていないデバイスからAppleデバイスに保存されたパスキーを使ってサインインしたい場合は、ログイン画面で「他のデバイスからのパスキー」「近くのデバイス」のようなオプションを選択。画面にQRコードが表示されるので、それをiPhoneやiPadのカメラでスキャンし、iPhone/iPad側で認証することでログインできる 。この際も、秘密鍵はiPhone/iPadから送信されない。   

パスキーの課題

パスキーは画期的な技術だが、現時点ではいくつかの課題や注意点もある。まだ普及の初期段階 であり、現状では、すべてのウェブサイトやアプリがパスキーに対応しているわけではない 。そのため、当面はパスキーと従来のパスワードを併用する必要がある。

デバイスへの依存性 も問題になる。パスキーは基本的にデバイスに保存されるため、そのデバイスを紛失したり、故障したりすると、パスキーでログインできなくなる可能性がある 。

同期とプラットフォーム間の課題 もある。AppleのiCloudキーチェーン、Googleパスワードマネージャー、Microsoftアカウントなどを利用すると、同じアカウントでログインしている自分のデバイス間でパスキーを同期させることができる 。これにより、1台のデバイスを失っても他のデバイスからアクセスできるため、上記のリスクはある程度軽減される 。   しかし、異なるプラットフォーム間（例：AppleデバイスからGoogle/Androidデバイスへ、またはその逆）でのパスキーの自動同期は、現在のところ標準ではサポートされていない 。

回復手段の確保が重要 

デバイスの紛失や故障に備えて、サービスが提供するアカウント回復オプション（バックアップコードの保存、信頼できる連絡先の登録、従来のパスワードを当面残しておくなど）を必ず確認・設定しておくことが非常に重要だ。また、物理的なセキュリティキー（USB型など）をパスキーの保存場所や回復手段として利用することも有効な対策である 。   

現時点では、普及の初期に当たるために、現時点では上述のように課題もあるが、セキュリティの高さや利便性を考えると、なるべく可能なサイトでは、できるだけ早くパスキーに換えていきたいものだ。