「パスキーを作成」と出た瞬間、顔認証で全部安全になると思うと少し危ないです。
顔や指紋はログイン情報そのものではありません。サービスへ渡す秘密でもありません。
パスキーの中心にあるのは、端末の中だけで使う秘密鍵です。ここを分けると、何が守られて何が残るのかが一気に見えます。
🗺️ パスキーで分けるべき三層
パスキーは三層で見ると輪郭がはっきりします。
- 公開鍵と秘密鍵: サービス側と端末側で持つ鍵が違う
- 端末ロック: 顔認証、指紋、PIN は秘密鍵を使う前の扉
- 同期と復旧: iCloud Keychain や Google Password Manager などの保存先で条件が変わる
この三層を分けると、パスワードレスという言葉が指す範囲がはっきりします。パスワード入力を減らす話と、アカウント復旧が不要になる話は別です。共有端末、組織設定、復旧手段の管理は最後まで残る確認条件です。
🔐 サービスに渡るのは秘密鍵ではない
パスキーは、公開鍵暗号をログインに使います。
登録時に端末側で鍵のペアを作り、サービス側には公開鍵だけを保存します。秘密鍵は端末や資格情報マネージャー側に残り、サービスへ送信されません。
ログイン時はサービスが出した課題に対し、端末側の秘密鍵で署名します。サービスは保存済みの公開鍵で署名を確認し、正しい組み合わせだと判断します。
この仕組み、最初に読んだ時は「顔認証で入るだけの機能」だと思っていた自分がちょっと恥ずかしくなりました。実際には、顔認証は鍵を使う許可を端末内で出す係なんです。
📱 顔認証や指紋はサービスへ送られない
Face ID、Touch ID、Windows Hello、Android の画面ロックは、本人確認の入口です。
Apple は、パスキーの秘密鍵がサーバーに保存されず、生体情報も端末外へ出ないと説明しています。FIDO Alliance も、FIDO2 が公開鍵暗号を使い、サービスごとに鍵を結びつける仕組みだと示しています。
効いてくるのは、端末ロックの強さです。共有端末でパスキーを作ると、その端末を使える人がログイン入口に近づきます。
個人所有のスマホなら自然に見える操作でも、家族共用タブレットや会社の共有 PC では意味が変わります。パスキー作成画面が出た時は、持ち主とロック管理が揃った端末で作る判断になります。
🌐 フィッシングに強い理由はドメインとの結びつき
パスキーがフィッシングに強い理由は、作成元のアプリやサイトに鍵が結びつく点です。
偽サイトが本物そっくりの画面を出しても、そのドメイン用の秘密鍵は使えません。人間が URL を見落としても、鍵の対応関係が合わないわけです。
パスワードだと、文字列を入力した時点で相手へ渡ります。パスキーでは秘密鍵を外へ出さず、署名の結果だけを渡します。
この設計、ガチで美しいんですよね。人間の注意力に頼る場所を、暗号の対応関係へ移しているからです。
🔄 同期型か物理キーかで復旧が変わる
パスキーは作成先で復旧の流れが変わります。
Apple は iCloud Keychain でパスキーを同期し、復旧時に Apple Account、信頼できる電話番号、端末パスコードなどを使うと説明しています。Google は対応 OS、ブラウザ、Bluetooth、iCloud Keychain などの条件をヘルプで分けています。
Microsoft は保存先として、同期型の資格情報マネージャー、スマホやタブレット、セキュリティキー、Windows Hello を挙げています。名前は同じパスキーでも、手元で何を失うと困るかは保存先で変わります。
同期型は端末を替えた時に移行の手間を減らせる反面、クラウドアカウントを失うとパスキーの復旧も止まります。物理セキュリティキーは持ち運ぶ鍵なので、紛失時に備えた予備キー登録が現実的です。
⚠️ パスワードレスでも残る確認条件
パスキーを作っても、全部の確認が消えるわけではありません。
Google は、共有端末にパスキーを作らないよう案内しています。組織アカウントでは管理者設定次第で、パスキー単独ログインが使えない場合もあります。
別端末からログインする時は、近くのスマホ、Bluetooth、QR コード、同じパスワードマネージャーなどが絡みます。いつどのサービスへログインしたかの記録も、端末やサービス側に残る場合があります。
作成前に確認したいのは、個人所有端末か、画面ロックが強いか、復旧用メールや電話番号を今も使えるかです。ここを知らないままパスワードを消すと、買い替えや故障のタイミングで詰まります。
この条件が揃っていれば、パスキーはかなり頼れるログイン方式になります。丸暗記したパスワードを偽サイトへ打ち込む場面を減らし、端末側の鍵で本人確認を完結させられるからです。
📚 出典
- FIDO Alliance「Passkeys」 https://fidoalliance.org/passkeys/
- FIDO Alliance「User Authentication Specifications」 https://fidoalliance.org/specifications/
- Apple Support「About the security of passkeys」 https://support.apple.com/en-us/102195
- Apple Developer「Passkeys Overview」 https://developer.apple.com/passkeys/
- Google Account Help「Sign in with a passkey instead of a password」 https://support.google.com/accounts/answer/13548313?hl=en
- Microsoft Support「Create and save a passkey」 https://support.microsoft.com/en-us/account-billing/create-and-save-a-passkey-e92cd3e0-11fa-4630-a5ea-3ccc0396b3d9
👉 パスワード漏洩が実際に起きた事例として、KDDIのISPメール基盤への不正アクセスについてはこちらのニュースを確認してください。


