パスワード漏洩のリスクを根本から絶ち、ログイン時間を劇的に短縮する「未来の運用」
それこそがパスキーです。
なぜ「パスキー」なのか?─ パスワードの限界
Microsoftの報告によると、パスワード攻撃は現在毎秒数千件規模で観測されています(近年は7,000件/秒超との公表もあり)。
パスワードは依然として攻撃の主要な入口となっています。
パスワードはここ数十年でサイバー攻撃の主要な入口になり続けており、MFAを導入していても「Adversary-in-the-Middle(AitM)フィッシング」によってトークンを奪われる事例が急増しています。
Microsoftの報告では、Adversary-in-the-Middle(AiTM)フィッシング攻撃は近年大幅に増加しており、100%以上の増加率が報告された年もあります。
従来のパスワード+MFAの組み合わせだけでは防御が困難になっています。
パスワードという仕組みをこれ以上よくする方法は実質的になく、根本的な解決策が求められています。
答えはパスキーです。
パスキーはW3C WebAuthn標準とFIDO2規格に基づく次世代の認証技術で、パスワードレス認証を実現できる技術であり、多くのシナリオでパスワードを不要にできます。
パスキーとは何か?─ 仕組みをわかりやすく解説
パスキーの基本原理
今までの「パスワード」は、秘密の言葉を覚えて入力するものでした。
しかし、パスキーは言葉を使いません。
「あなた専用のハンコ」を使ってサインインする仕組みです。
どうやって動いているのか?(基本のしくみ)
パスキーは、2つの鍵がセットになって動きます。
- 秘密の鍵(あなたのスマホの中とか): あなただけが持っている、絶対に外に出さない「ハンコ」です。
- 公開された鍵(お店・サービス側): そのハンコが本物かどうかを確認するための「台帳」です。
【サインインの流れ】
ステップ1: あなたがスマホで「顔認証」や「指紋認証」をします。
ステップ2: スマホが「秘密のハンコ」をポンッと押して、証明書を作ります。
ステップ3: その証明書をサービスに送ります。サービス側は「台帳(公開された鍵)」と照らし合わせて、「本人のハンコだ!」と確認します。
★パスキーのここがすごい!
パスワードそのものを送らないので、もし悪い人が通信をのぞき見しても、あなたのパスワードを盗むことは絶対にできません。
秘密のハンコからパスワードを逆算することは現代のコンピューターでは何万年もかかります。
パスワードそのものがネットワークを流れることはないのです!
| パスキーの種類 | 説明 |
|---|---|
| デバイスバインドパスキー | 特定のデバイスに紐づいたパスキー。 Microsoft AuthenticatorアプリやFIDO2セキュリティキーで利用可能。 最高レベルのセキュリティ。 |
| 同期パスキー(Synced Passkey) | クラウドで同期されるパスキー。 Apple iCloud Keychain、Google Password Manager、Microsoft Authenticatorで複数デバイスから利用可能。 |
パスキーの3大特性(フィッシング耐性の根拠)
- URL固有:パスキー登録時にリライングパーティーのURLが記録されるため、偽サイトでは動作しない
- デバイス固有:認証を要求しているデバイスにパスキーが同期・保存されている場合のみアクセスが許可される
- ユーザー固有:認証時に物理的なユーザー操作(生体認証など)が必要で、遠隔からの悪用が不可能
これら3つの特性により、AiTMフィッシング攻撃を受けても攻撃者は認証プロセスを傍受・複製することができません。
パスキーの圧倒的なメリット
劇的な速度向上
Microsoftのテストでは、パスキーは従来のパスワード+MFAよりも大幅に高速でサインインできることが報告されています。
パスワードを入力し、Authenticatorアプリの通知を確認し……という手順が、デバイスの認証だけで完了します。
毎日何度もサインインするユーザーにとって、この時間短縮の積み重ねは大きな生産性向上につながります。
フィッシング耐性
パスキーはMicrosoft Entra IDがサポートする認証方法の中で、証明書ベース認証(CBA)・Windows Hello for Businessと並ぶ「フィッシング耐性のある認証方法」に分類されます。
パスキーは、米国大統領令14028などで求められる「フィッシング耐性のあるMFA」の要件を満たす認証方式の1つです。
パスワードリセット対応コスト削減
IDCの調査では、パスワードリセット対応には1件あたり数十ドル規模のコストが発生すると報告されています。
パスキー導入によりパスワードリセット件数が激減し、IT部門の運用コストと工数を大幅に削減できます。
新アカウントはパスワードレスがデフォルト
Microsoftは新規アカウントにおいてパスワードレスの選択を強く推奨しており、順次デフォルト化が進められています。
2026年の重要マイルストーン
2026年はパスキー普及の転換点です。
スケジュールを必ず把握しておきましょう。
今後、パスキープロファイルの自動有効化が段階的に実施される予定と発表されています。
具体的なスケジュールや影響範囲は変更される可能性がありますけれど。
設定手順
個人のMicrosoftアカウントにパスキーを登録する
- https://login.live.com/ にサインインする
- 「新しいサインイン方法または確認方法を追加する」をクリック
- 「顔認識、指紋、PIN、またはセキュリティキー」を選択
- デバイスに表示される手順に従い、生体認証またはPINで確認
- パスキーの登録完了。次回サインインから使用可能
職場・学校アカウント(Microsoft Entra ID)にパスキーを登録する
- https://mysignins.microsoft.com/security-info にサインインする
- 「サインイン方法を追加」または「+ 方法を追加する」をクリック
- 「パスキー」または「Microsoft Authenticatorのパスキー」を選択
- 画面の指示に従い、スマートフォンのMicrosoft Authenticatorアプリまたはデバイスの生体認証でパスキーを作成
- 登録完了後、次回サインインからパスキーが利用可能
設定手順:管理者編(Microsoft Entra ID)
パスキー(FIDO2)認証方法ポリシーを有効化する
- Microsoft Entra管理センター(https://entra.microsoft.com)に管理者アカウントでサインイン
- 「認証方法」>「パスキー(FIDO2)」を選択
- 「有効にする」をオンにする
- 「ターゲット」をパイロットグループまたは全ユーザーに設定
- 「セルフサービスセットアップを許可する」が有効になっていることを確認
- 「保存」をクリック
Microsoft Authenticatorのパスキーサポート状況
2025年1月の一般提供(GA)開始後、FIDO2認証方法ポリシーでキー制限なしで有効化しているテナントでは、Microsoft AuthenticatorのパスキーがFIDO2セキュリティキーと並んで自動的に有効になります。
セキュリティ情報ページでユーザーがMicrosoft Authenticatorにパスキーを追加できるようになります。
導入時の注意点とよくある落とし穴
デバイス紛失・交換時の対策
パスキーはデバイスと紐づくため、デバイス紛失時のアクセス回復手順を事前に整備することが重要です。
- 複数デバイスへの登録を推奨(スマートフォン+PC等)
- 同期パスキーであればクラウド経由で複数デバイスから利用可能
- 破壊ガラスアカウント(Break Glass Account)のパスワード管理を並行して維持
Windows 11でのcertutilコマンドの注意
Windows 11では certutil -deletehellocontainer コマンドを実行すると、Windows Hello for Businessのキーコンテナーが削除され、そのデバイス上に保存された関連するパスキーも利用できなくなる可能性があります。
実行前に他デバイスでパスキーをセットアップしておくなど、アクセス継続性を確保してください。
パスワードレス認証方式の比較
| 認証方法 | フィッシング耐性 | ユーザビリティ | 必要なもの | 推奨度 |
|---|---|---|---|---|
| パスキー(FIDO2) | ◎ 最高 | ◎ 非常に高い | 対応デバイス・生体認証 | ⭐⭐⭐⭐⭐ |
| Windows Hello for Business | ◎ 最高 | ◎ 非常に高い | Windows 10/11・TPM | ⭐⭐⭐⭐⭐ |
| Microsoft Authenticatorパスワードレス | ○ 高い | ○ 高い | スマートフォン | ⭐⭐⭐⭐ |
| OATH TOTP(6桁コード) | △ 低い(AitMに脆弱) | △ やや手間 | Authenticatorアプリ | ⭐⭐⭐ |
| SMS / 音声通話OTP | ✕ 低い(SIMハイジャックに脆弱) | ○ 手軽 | 携帯電話 | ⭐ |
まとめ
パスキーは「未来の話」ではなく、今まさに進行中の変化です。
すべてのユーザーがパスキーでサインインし、パスワードが不要な状態へ進んでいきます。
Microsoftは長期的にパスワードの廃止を目指す方針を掲げています。
免責事項:Microsoft 365の機能や仕様は変更される可能性がありますので、実施前には最新の公式ドキュメントをご確認ください。
