パスキー / WebAuthn / FIDO2 — パスワードレス認証の本命

パスキー（Passkey） は、パスワードを完全に置き換えることを目指した、フィッシングに極めて強い認証方式です。Apple・Google・Microsoft が足並みをそろえて推進しており、パスワードレス時代の本命とされています。

用語の整理

• FIDO2 — パスワードレス認証の標準仕様の総称
• WebAuthn — ブラウザと認証器をつなぐ W3C の API（FIDO2 の一部）
• パスキー — FIDO2/WebAuthn を一般ユーザー向けに使いやすくしたブランド・実装

つまり、パスキーは FIDO2/WebAuthn という技術を「指紋や顔でログイン」という体験に落とし込んだものです。

仕組み：公開鍵暗号

パスキーの核心は 公開鍵暗号です。

1. 登録時、デバイス内で秘密鍵と公開鍵のペアを生成
2. 公開鍵だけをサービス側に登録（秘密鍵はデバイスから出ない）
3. ログイン時、サービスが送る「チャレンジ」に秘密鍵で署名
4. サービスは公開鍵で署名を検証

サーバー側に「パスワード」という秘密が保存されないため、漏洩しても盗まれるものがありません。

なぜフィッシングに強いのか

パスキーは「どのサイト用の鍵か」をドメインに紐づけて管理します。偽サイトに誘導されても、そのドメイン用の鍵が存在しないため署名できない——構造的にフィッシングが成立しないのです。

メリットと現状

• パスワード不要でログインが速い
• フィッシング耐性が最高水準
• デバイス間で同期でき、機種変更にも追随
• 主要 OS・ブラウザ・IdP が続々対応

同期パスキー vs デバイス固定パスキー

パスキーには2種類あり、企業導入では使い分けが重要です。

• 同期パスキー — クラウド（iCloud キーチェーン、Google パスワードマネージャー等）で複数デバイスに同期。利便性が高く一般ユーザー向け。
• デバイス固定パスキー（device-bound） — ハードウェアセキュリティキー（YubiKey 等）に固定。同期されないぶん、規制業種や特権アカウントなど最高強度が要る場面に向く。

企業では「一般従業員は同期パスキー、管理者・特権アカウントはデバイス固定」といった併用が現実的です。

エンタープライズ導入の論点

• 対応 IdP の選定 — 主要IdP のパスキー対応状況を確認（Entra ID・Okta・CloudGate UNO などが対応）
• アカウント回復（リカバリ） — デバイス紛失時の再登録フローを設計。ここが弱いと「締め出し」か「裏口」になる
• 段階移行 — まず MFA の一要素として導入し、徐々にパスワードレスへ
• ** FIDO2 認証器の配布** — 高強度が必要な層にはセキュリティキーを配布

NIST の位置づけ

NIST SP 800-63B-4 は、フィッシング耐性のある認証（FIDO2/パスキーや PIV など）を重視しています。SMS OTP などフィッシングに弱い方式から、耐性のある方式への移行が推奨の流れです（多要素認証の基礎）。

まとめ

パスキーは MFA の最終形とも言える存在です。企業 SSO でも、パスキー対応の IdP を選ぶことが今後の標準になっていくでしょう。導入の全体像は 企業SSO完全ガイド、運用の勘所は SSO障害・監査・運用 を参照してください。