消そうと思ったアプリが「パスキー」対応 “たまに使うサービス”にこそ有効な理由：半径300メートルのIT

面倒なパスワード管理から私たちを解放してくれるパスキーとは、一体どのような仕組みなのでしょうか。多くの人が抱く「機種変更時の不安」を解消するコツについて、利用実態調査を交えて解説します。

[宮田健，ITmedia]

　スマートフォンに入れているアプリには、年に数回しか使わないものもあります。そこで、消そうと思ったアプリにアップデートが来たのでチェックしてみたら、なんと「パスキー対応」のアップデートでした。

　失礼ながらそもそもアプリにするほどでもない単機能のものだったので、まさかパスキー対応するとは……と少し驚きつつ、しっかりと登録作業も進み、非常に関心しました。パスキーであればログアウト状態でもログインのための障壁も低く、むしろ年に数回というくらいのサービスのほうが、「どのメールアドレス使ったっけ？」や「パスワードなんだっけ？」と悩むことなく利用できるので、パスキー対応は有効かもしれないと思いました。

パスキーの利用実態は？

　パスキーとは、パスワードに代わる認証方法の一つとして採用が広がる技術で、スマートフォンに搭載された生体認証機能や、PIN入力を使ってサービスにログインする仕組みです。パスワードを記憶する必要はなく、ドメイン名とセットとなるためフィッシング耐性もあります。指紋や顔などの機微な情報はネットワークに流れることなく、手元のスマートフォン内で検証するため、仕組み上は非常に安全なものと考えています。加えて、パスキー情報はGoogleアカウントやApple Account、多くのパスワード管理ソフトで同期を取ることができ、機種変更をしても継続して便利に使えるのがポイントです。

　2026年3月、トレンドマイクロが「パスワード・パスキーの利用実態調査2026」を発表しました。

パスワード・パスキーの利用実態調査2026 （出典：トレンドマイクロ 《JP》のWebサイト）

　現状では、8割の人がパスワードを使い回しているとのこと。記憶方法も「覚える」「紙にメモする」「ブラウザに保存する」に加え、50代以上では「エクセルやワードで管理」という人も多いようです。そして、期待の「パスキー」については、「仕組みまで理解している」（41.9％）、「名前を聞いたことがある程度」（49.2%）とそれなりに認知が進んでいる上に、パスキーを提供しているWebサービスの利用者（733人）のうち87.7％（643人）が「パスキーの機能を利用している」と回答しています。これは朗報かもしれませんね。

　特に昨今では、ネット証券会社が大規模な攻撃を受けたことを経て、セキュリティ施策としてパスキーの利用が一気に進みました。逆にこのセキュリティ対策が重荷となり、事業を縮小するという証券会社も出てきています。もはや、パスキーのような機能を提供することは事業の差別化というよりも、最低限のルールに近いように思えます。

　現在、スマートフォンを利用するために必須のGoogle アカウントやApple Accountは、パスキー（およびそれに準じるもの）が利用できます。加えて、多くの著名なサービスでもパスキー対応が進んでいます。ぜひ、パスキー対応のサービスがあれば、まず一つどれでもいいのでパスキーを設定してみてください。そして、そのサービスをPCのブラウザからログインしてみましょう。

　PCに生体認証のデバイスが内蔵されていなかったとしても、二次元バーコードが表示され、スマートフォンで読み取る指示が出るはず。スマートフォンでそれを読み取ると、今度はスマートフォン側で生体認証の指示が出ますので、その通りに行ってみてください。これで、パスワードなしに、PC側でもログインができたはずです。簡単でしょう？

不安は後からやってくる？

　ここまでなら、おそらくWebブラウザにパスワードを記憶させたときとほとんど変わらないでしょう。そうなると、この仕組みが壊れてしまう可能性があるのは、PCを変えたとき、もしくはスマートフォンを変えたときだと思います。

　上記の調査結果でも、パスキーについて最も多かった不安点は「機種変更時の引き継ぎが不安」で35.6％、次いで「スマホの紛失・故障時にログインできなくなりそう」が35.3％とあります。この点に関しても、パスキーであればアカウントやパスワード管理ソフトが覚えてくれているので、スマートフォンやパスワード管理ソフトにログインするIDとパスワードだけは、しっかり覚えておく必要があります（もちろん、そこには多要素認証も！）。機種変更の時には、覚えておいたアカウントの認証情報を入れることで、以前と同じように使えるはずです。先に紹介した、パスキーの「同期」機能がここで生きてきますね。

　実は、この同期に関しては、パスキーの元となった技術である「FIDO2」ではもっと厳密で、セキュアチップやハードウェアキーのみに鍵を格納する方式を採っていました。しかし、一般の利用者には不便であり、そこを少し緩くしたという経緯もあります。パスキーを攻撃するとしたら、この「同期」機能が狙い目になるとは思っていますので、パスキー情報の同期をするための条件となる「OSが利用するGoogleやAppleのアカウント」は、これまで以上にしっかりと守る必要があります。

---

　私の経験上でもパスキー（およびFIDO2）は非常に信頼でき、この仕組みそのものに致命的な脆弱（ぜいじゃく）性が見つかるとは思っていません。問題はパスキーに付随する仕組みにあり、攻撃者は「いかにして人をだますか？」に目が向いているはず。というのも、サービスによってはパスキーの取り扱いが雑で、ある操作をすると突然パスキーが無効化されることや、何度パスキーを設定してもログインができず、結局パスワードに戻るというものが見受けられます。特に携帯電話のアカウントのサインオンなどでは、パスキーに加えて通信経路を固定しなければならない場合もあり、大変分かりにくくなっているものもあります。

　パスキーの技術は優れたものですが、それを運用するのは人。パスキーに関しては今後も運用のノウハウが蓄積されるものと考えていますが、普及を進めるためにはサポートも重要です。まずは皆さんも、パスキー対応のサービスは積極的に使ってみて、今のうちにトラブルを体験しておくといいでしょう。何から何までゼロリスクではありませんが、非常に便利で、安心して使える仕組みだと思います。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。