パスキー普及率が急加速——2026年、パスワードレス時代の到来
パスキー登録ユーザーが15億人を突破した——FIDO Allianceの2026年3月レポートが、パスワードレス認証の「ティッピングポイント」到来を告げています。Google、Apple、Microsoftの3大プラットフォームがパスキーを標準搭載し、対応サイト数は12,000を超えました。
「パスワードを覚える時代」は終わりつつあります。フィッシング攻撃の78%がパスワード窃取を目的としている現在、パスキーへの移行はセキュリティ向上とユーザー体験の改善を同時に実現する、数少ない「両得」の選択肢です。
パスキーとは何か
パスキーは、FIDO2/WebAuthn標準に基づくパスワードレス認証の仕組みです。従来のパスワード認証とは根本的に異なるアプローチで、フィッシング攻撃に対する本質的な耐性を持っています。
この図は、パスキー認証の仕組みとフィッシング耐性のメカニズムを示しています。
パスキーの核心は「公開鍵暗号方式」にあります。
- 秘密鍵: ユーザーのデバイス(スマートフォン、PC)内のセキュアチップに保存。デバイスの外に出ることはない
- 公開鍵: サービス側のサーバーに保存。漏洩してもログインには使えない
- 認証: ユーザーが生体認証(指紋・顔認証)またはPINで秘密鍵を解錠し、サーバーからのチャレンジ(乱数)に署名。サーバーは公開鍵で署名を検証
これにより、以下の攻撃ベクトルが無効化されます。
- フィッシング: 偽サイトに「入力する」認証情報が存在しない
- パスワードリスト攻撃: パスワードが存在しないため不可能
- サーバー侵害: 公開鍵が漏洩してもログインに使用できない
- 中間者攻撃: 暗号学的なチャレンジ-レスポンスにより偽装不可能
2026年の普及状況
プラットフォーム対応
2026年3月時点で、主要プラットフォームのパスキー対応状況は以下の通りです。
この図は、各プラットフォームの対応状況とユーザー利用率を示しています。
Apple: iOS 16以降でパスキーをネイティブサポート。iCloud Keychainを通じたクロスデバイス同期が可能で、Apple IDユーザーの70%がパスキーを少なくとも1つ登録済み。2026年からはSafariでのパスキー優先表示が標準に。
Google: Android 9以降でパスキー対応。Google Password Managerによるクロスデバイス同期を実現。2025年末にはGoogleアカウント自体のログインをパスキーデフォルトに変更し、ユーザー利用率は60%に到達。
Microsoft: Windows 11でパスキーをネイティブサポート。Microsoft Authenticatorとの統合により、Entra ID(旧Azure AD)でのエンタープライズ利用が拡大。利用率は45%だが、企業向け導入が加速中。
対応サービスの拡大
パスキーに対応するサービスは2025年の4,000件から2026年3月には12,000件以上に急増しました。主要な対応サービスは以下の通りです。
| カテゴリ | 主な対応サービス | 対応時期 |
|---|---|---|
| テック | Google, Apple, Microsoft, GitHub, Amazon | 2022-2023 |
| SNS | X (Twitter), LinkedIn, TikTok | 2024 |
| 金融 | PayPal, Stripe, Coinbase, Goldman Sachs | 2024-2025 |
| EC | Shopify, eBay, Walmart, Target | 2025 |
| ゲーム | PlayStation, Nintendo, Steam | 2025-2026 |
| 日本 | Yahoo! JAPAN, メルカリ, NTTドコモ, au | 2023-2025 |
パスワードマネージャーとの統合
パスキーの普及において重要な役割を果たしているのが、パスワードマネージャーとの統合です。
クロスプラットフォーム問題の解決
パスキーの初期の課題は「エコシステムのロックイン」でした。Apple iCloud Keychainに保存したパスキーはAndroidでは使えず、Google Password ManagerのパスキーはiOSでは利用できませんでした。
1Passwordをはじめとするサードパーティのパスワードマネージャーが、この問題を解決しました。1Passwordは2023年からパスキーに対応し、iOS、Android、Windows、macOS、Linux、ブラウザ拡張すべてでパスキーの作成・同期・利用が可能です。
パスワードマネージャーの比較
| 機能 | 1Password | Bitwarden | Dashlane | LastPass |
|---|---|---|---|---|
| パスキー対応 | 完全対応 | 完全対応 | 完全対応 | 限定的 |
| クロスプラットフォーム同期 | 全OS対応 | 全OS対応 | 全OS対応 | 全OS対応 |
| パスキー自動検出 | あり | あり | あり | なし |
| エンタープライズ対応 | 充実 | 充実 | 中程度 | 中程度 |
| FIDO2ハードウェアキー連携 | あり | あり | あり | あり |
| 料金(個人/月) | $2.99 | $1.00 | $3.33 | $3.00 |
| 料金(ビジネス/ユーザー/月) | $7.99 | $4.00 | $8.00 | $7.00 |
1Passwordは特にエンタープライズ向けの機能が充実しており、管理者がパスキーの利用状況を一元管理できるダッシュボード、ポリシーの強制適用、監査ログの出力が可能です。
パスキー導入の技術的詳細
開発者向け実装
Webサイトにパスキー認証を実装するには、WebAuthn APIを使用します。主要なライブラリやサービスが実装を簡素化しています。
- SimpleWebAuthn: オープンソースのWebAuthnライブラリ(TypeScript/Node.js)
- Hanko: パスキーファーストの認証バックエンド(オープンソース)
- Auth0/Okta: パスキーをサポートしたIDaaS
- Firebase Authentication: Googleのパスキー対応認証サービス
エンタープライズ導入のベストプラクティス
企業がパスキーを導入する際のポイントは以下の通りです。
- 段階的移行: まずMFAの「第2要素」としてパスキーを導入し、十分な普及後にパスワードレスに移行
- ヘルプデスク対応: パスキーのリカバリーフロー(デバイス紛失時)を事前に設計
- ポリシー設定: パスキーの必須化範囲、許可するデバイスの種類を明確に定義
- 監査対応: パスキーの登録・利用ログを保持し、コンプライアンス要件を満たす
パスキーの課題と今後
残る課題
パスキーは万能ではなく、いくつかの課題が残っています。
デバイス依存: パスキーはデバイスに紐づくため、全デバイスを紛失した場合のリカバリーが課題。各プラットフォームのクラウド同期やパスワードマネージャーでの管理が推奨されます。
ユーザー教育: 「パスキーとは何か」を一般ユーザーに理解してもらうことが依然として難しく、多くのサービスがパスキーをオプトインにしているのはこのためです。
レガシーシステム: 古いOS(iOS 15以前、Android 8以前)やブラウザではパスキーが使えず、トランジション期間が必要。
共有アカウント: 家族共有のストリーミングサービスアカウントなど、複数人で使うアカウントでのパスキー利用は設計が複雑。
今後の展望
FIDO Allianceは2026年後半に「パスキー2.0」仕様を発表予定です。主な改善点は以下の通りです。
- ポータビリティ: パスワードマネージャー間でのパスキー移行(エクスポート/インポート)の標準化
- 共有パスキー: 家族や組織内でのパスキー共有メカニズム
- アテステーションの簡素化: デバイスの信頼性検証を簡略化
- IoT対応: スマートホームデバイスなどでのパスキー認証
日本ではどうなるか
日本はパスキー導入において世界的に見ても先進的なポジションにあります。
Yahoo! JAPANの成功事例: 2023年にパスキー対応を開始したYahoo! JAPANは、2026年時点でログインの40%以上がパスキー経由。認証にかかる時間が平均75%短縮され、フィッシング被害が実質ゼロになったと報告しています。
NTTドコモ・au・ソフトバンク: 3大キャリアがすべてパスキーに対応済み。dアカウント、au ID、SoftBank IDでのパスキーログインが可能です。
金融機関の動き: 三菱UFJ銀行、三井住友銀行が2026年中にパスキー対応を予定。金融庁もオンラインバンキングの認証強化策としてパスキー導入を推奨するガイドラインを策定中です。
マイナンバーカードとの連携: デジタル庁がマイナンバーカードのFIDO2認証機能を活用した「政府パスキー」構想を2026年度に検討開始。行政サービスのパスワードレス化を目指しています。
課題: 日本の高齢者層のスマートフォン利用率は向上していますが、生体認証に対する心理的抵抗感が残っており、対面での丁寧な案内が必要です。また、社内システムの多くがActive Directory + パスワード認証に依存しており、エンタープライズ移行には時間がかかります。
まとめ:今すぐ取るべき3つのアクション
パスキーは「未来の技術」ではなく「今すぐ使える技術」です。以下のステップで移行を始めてください。
- 個人アカウントにパスキーを設定する: まずはGoogleアカウント、Apple ID、GitHubなど、すでに対応しているサービスでパスキーを登録。1Passwordを使えば、すべてのパスキーをクロスプラットフォームで管理できる
- 社内のパスワードレス移行計画を策定する: IT部門と連携し、パスキー対応が可能なシステムの棚卸しを実施。まずはMFAの第2要素としてパスキーを導入し、段階的にパスワードレスに移行する
- パスワードマネージャーを全社導入する: パスキーの管理基盤として1Passwordを全社導入し、既存のパスワード管理とパスキー管理を統合。パスワードの使い回しを排除しながら、パスキーへの移行を進める
パスワードの時代は終わりに向かっています。早期に移行を始めた組織ほど、フィッシング被害の削減とユーザー体験の向上という二重のメリットを享受できます。
「セキュリティ」カテゴリの記事
- セキュリティ
Drift Protocolから$2.85億流出——Solana史上2番目のDeFiハッキング
- セキュリティ
FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に
- セキュリティ
DatabricksがAIエージェント型SIEM「Lakewatch」発表——セキュリティ運用コスト80%削減
- セキュリティ
FBI盗聴システムに重大サイバー侵害——中国ハッカーの影
- セキュリティ
Cisco DefenseClawが登場——AIエージェント時代のセキュリティをOSSで変える
- セキュリティ
Tenex.aiが$2.5億調達でユニコーンに——AIセキュリティの新星