パスキーとは?必要性やメリット、設定方法をデバイス別に解説

パスキーは指紋認証や顔認証でログインできる、パスワードに代わる新しい認証方式です。複雑なパスワードを覚える必要がなくなり、フィッシング詐欺などの被害防止にも役立ちます。
本記事ではGoogleやAppleも採用する安全で便利なパスキーについて、仕組みから設定方法、メリットまでわかりやすく解説します。
目次
パスキーとは
パスキーとは、従来のパスワード認証に代わる、より安全で便利な新しい認証方式です。指紋認証や顔認証などの生体認証、PINコードなどを用いてログインするため、パスワードを記憶したり、入力したりする必要がありません。GoogleやAppleなどの大手企業でも、自社製品やアプリへ導入を進めています。
たとえばAndroidでは、顔認証、指紋認証、PINコード、パターン認証などがパスキーとして利用できます。パターン認証とは、画面上に表示された点と点を結んで独自の形を作る認証方法です。iPhoneでは、Face ID、Touch ID、パスコード(PINコード)がパスキーとして利用できます。
いずれも、従来のパスワード認証よりも安全性が高く、利便性も高いため、今後ますます普及していくことが期待されます。
パスキーの仕組みと安全性について
パスキーは、「公開鍵」と「秘密鍵」という2種類の鍵ペアで認証を行う、高度なセキュリティ技術を用いています。この両者の鍵の関係性は、以下の図のように表すことができます。

サービスを提供する側は、アカウントに対応する「公開鍵」を保管します。一方、「秘密鍵」は、設定したユーザーのデバイス内にのみ保管されます。
ログインする際には、以下の図のようにサービス側とデバイス側でこの2つの鍵が合致するかを確認することで、本人認証を行います。仮にハッカーがデバイスに侵入し、いずれか一方の鍵を入手したとしても、片方の鍵だけではログインできません。両方の鍵を揃える必要があるため、パスワード認証よりも強固なセキュリティを実現することが可能です。

【具体的なのパスキーの仕組みについて(上図)】
- ユーザーがサービスにアクセスしてログインしようとする際、ユーザー名やメールアドレスなどの情報入力が求められる。
- サービス側のサーバーはユーザーのデバイスに対して認証要求を送信する。
- ユーザーはデバイスを用いて生体認証やPINコードの入力を行う。
- 生体認証が成功した後、ユーザー側は秘密鍵を使って署名を生成してサービス側のサーバーに署名を送信する。
- サーバーは受け取った署名を、対応するユーザーの公開鍵を使用して検証する。検証が成功すると、ログインできるようになる。
パスキーを設定することで低減するリスク
スマホは個人情報や大切なデータが保存されている重要なデバイスのため、セキュリティ対策は欠かせません。パスキーを設定することで、スマホのセキュリティレベルを高め、さまざまなリスクからデバイスを守れます。
ここでは、パスキーを設定することで低減するリスクについて、具体的に解説します。
第三者による不正ログイン
パスキーは指紋認証や顔認証といった生体認証を利用するため、パスキーの情報を盗まれたり、推測されたりするリスクは非常に低いです。文字列のみのパスワードとは異なり、第三者による不正ログインを効果的に防止できるメリットがあります。
フィッシング詐欺
フィッシング詐欺とは、本物のWebサイトにそっくりな偽サイトにアクセスさせ、個人情報やパスワードを入力させることで個人情報や金銭を盗み取ろうとする詐欺のことです。偽サイトは巧妙に作られており、見破るのが難しいケースもあるため、セキュリティ意識が高くても被害に遭ってしまうリスクがあります。
しかし、パスキーはパスワードを必要としない認証方法であるため、偽サイトで情報を入力させるフィッシング詐欺に対して有効な対策の一つとなります。
パスワードの使い回しによる被害
パスキーは、サービスごとに異なる鍵が自動生成されるため、パスワードの使い回しによるリスクを低減できます。
同じパスワードを複数のサービスで使い回していると、1つのサービスで情報漏洩が発生した場合、ほかのサービスでも被害に遭う可能性があります。パスキーではこのようなリスクを回避できるため、より安全にアカウントを管理することが可能です。
ほかの認証方法と比較した際のパスキーのメリット
従来のパスワード認証は管理に手間がかかり、セキュリティリスクも高いという課題がありました。パスキーはこれらの課題を解決し、より安全で便利な認証方法として注目されています。
ここでは、パスキーの具体的なメリットについて解説します。
パスワードを入力する必要がない
パスキーの最大のメリットは、パスワードを入力する必要がないことです。指紋認証や顔認証などの生体認証、あるいはPINコードだけでログインできるため、複雑なパスワードを設定したり、覚えたりする手間から解放されます。
複数のアプリやWebサイトを利用する現代において、大量のパスワードを管理する必要がなくなり、利便性が大幅に向上します。
ログインをスムーズに行える
パスキーは、ログインにかかる手間を大幅に削減できます。たとえば生体認証の場合、パスワードを入力することはもちろん、二段階認証などの追加認証も必要ありません。Webサイトやアプリなどにおけるログインをよりスムーズに行えるため、パスワード管理の手間なども省くことができます。
パスキーの設定方法【デバイス別】
パスキーの設定方法は、AndroidスマホとiPhoneでそれぞれ異なります。ここでは、それぞれのデバイスにおけるパスキーの設定方法をわかりやすく解説します。
Androidスマホの場合
Androidスマホでパスキーを設定するには、Googleアカウントのパスキー作成ページを開きましょう。具体的な手順は、以下のとおりです。
- ChromeでGoogleアカウントのパスキー作成ページ(https://www.google.com/account/about/passkeys/?hl=ja)を開きます。
- 「パスキーを作成」をタップします。
- 「ログインにパスキーを使用できるようになりました」と表示されたら、「完了」をタップします。
※AndroidスマホですでにGoogleアカウントにログインしている場合は、自動でパスキーが作成されている可能性もあります。
iPhoneの場合
iPhoneでは、Face IDやTouch IDといった生体認証を用いてパスキーを作成します。事前にFace IDまたはTouch IDの設定を済ませておきましょう。
具体的な手順は、以下のとおりです。
- iPhoneで、パスキーに対応しているWebサイトまたはアプリのサインイン画面を開きます。
- 新しいアカウントを設定する場合は、アカウント作成の手順に従います。既存のアカウントがある場合は、アカウント名とパスワードでサインインします。
- アカウントのパスキーを保存するオプションが表示されたら、「続ける」をタップします。
これでパスキーが保存され、次回からはFace IDまたはTouch IDでログインできるようになります。
まとめ
パスキーは、生体認証やPINコードなどを用いた安全性と利便性を両立した認証方法です。パスワードによる認証とは異なり、情報を手動で入力する必要がないというメリットがあります。また、不正ログインやフィッシング詐欺のリスクを軽減できるだけでなく、パスワード管理の手間からも解放される点もパスキーならではの利点だといえるでしょう。
しかし、近年はサイバー犯罪の多様化・巧妙化が進んでおり、さまざまな情報漏洩のリスクが増えています。そのため、より安全にスマホを利用するためにも、パスキーのような最新の技術に加えて、セキュリティ対策サービスを活用するのがおすすめです。
ドコモの「あんしんセキュリティ スタンダードプラン」の「ダークウェブモニタリング」機能を利用すると、ダークウェブと呼ばれる通常ではアクセスできない闇サイト上に個人情報が流出してしまった際、流出を検知して通知が行われます。万が一の事態に備え、より堅実にセキュリティ対策を実施したい方は、ぜひこの機会に導入をご検討ください。