こんにちは。高知県高知市で情報処理支援機関として企業さまに伴走支援を提供している、株式会社ICUの川島です。

最近、通販サイトや証券会社、SNSにログインすると「パスキーを設定しますか？」という表示が出てくることが増えました。

こんなご相談がありました。

「パスキーを設定してくださいって出るんですけど、パスワードとは何が違うんですか？ よく分からないので毎回スキップしています。」

お気持ちはよく分かります。結論から言うと、パスキーはパスワードの弱点を補う新しいログイン方式です。設定すれば不正ログインへの守りが強くなるうえ、ログイン操作も楽になる。仕組みを知れば納得できるはずなので、順を追って説明します。

パスキーの仕組み — 「鍵と錠前」に例えると分かりやすい

パスワードは暗証番号のようなものです。覚えている文字列をサービスに送り、サーバー側で照合して本人確認をする。この方式だと、文字列を偽サイトに入力してしまえば攻撃者にそのまま渡ります。

パスキーは仕組みが根本から違います。パスキーを設定すると、自分のスマホやPCの中に「秘密の鍵」が、サービスのサーバーには「錠前」がそれぞれ作られます。ログインのとき、サーバーが「この錠前を開けてください」とリクエストを送り、手元のデバイスが鍵で開けて返す。この鍵は、指紋認証や顔認証で本人だと確認されたときだけ動きます。

大事なのは、秘密の鍵がデバイスの外に出ないことです。サーバーには錠前しかないので、仮にサーバーが攻撃されても鍵は盗めません。加えて、パスキーにはサービスのドメイン（Webサイトの住所のようなもの）が紐付いているため、偽サイトでは認証自体が動かない。入力する文字列がそもそもないので、騙されようがないわけです。

パスワードだけだと何が起きるか

パスワードの弱点は「使い回しやすいこと」と「偽サイトで盗まれること」に尽きます。

2024年から2025年にかけて、ネット証券口座の不正ログイン被害が相次ぎました。他のサービスから漏れたパスワードの使い回しや、フィッシングメール経由で認証情報を抜かれたケースが多く報告されています。SBI証券やマネックス証券がパスキーの導入を急いだ背景には、こうした実害の広がりがあります。

パスワードを全部バラバラにして管理するのが理想ですが、サービスの数が増えるほど現実には厳しくなる。覚えきれずに簡単なものに戻す、メモに書いてデスクに貼る。それ自体がリスクです。パスキーは、「人間がパスワードを管理する」という仕組みそのものを変えるために生まれました。

パスキーを使うために確認しておくこと

パスキーを使うには、お使いのデバイスが対応しているか確認してください。iPhoneはiOS 16以降、AndroidはAndroid 9以降、WindowsはWindows 10か11でWindows Hello（顔や指紋でログインする機能）が使える状態なら大丈夫です。ブラウザはChrome、Safari、Edgeの最新版であれば対応しています。

もう一つ必要なのが、指紋認証・顔認証・PINコードのいずれかの設定です。パスキーは「デバイスの持ち主が本人であること」を確認してから動くため、画面ロックが設定されていない端末では使えません。普段からスマホを指紋や顔で解除している方は、もう準備ができています。

対応サービスもここ1〜2年で一気に広がりました。Google、Amazon、Yahoo! JAPANに加え、SBI証券やマネックス証券は2026年6月にパスキーを必須化しています。Xや楽天も対応済みです。「パスキーを設定しますか？」と聞かれたサービスから一つずつ設定していくのが、無理のない進め方です。

なお、パスキーを設定しても、すぐにパスワードが不要になるわけではありません。ほとんどのサービスでは当面併用が続くので、パスワードも引き続き管理しておいてください。

まずは一つ、設定してみる

パスキーは、パスワードを覚える手間を減らしつつ、フィッシングや不正ログインへの防御を高めてくれる仕組みです。入力する文字列がないから盗まれず、偽サイトでは認証自体が動かない。仕組みを知ると、なぜこれが安全なのかが腑に落ちるはずです。

「パスキーを設定しますか？」が出たら、まずはよく使うサービスを一つ選んで試してみてください。一つ設定してしまえば、次のサービスでも迷わず進められます。新しい仕組みを活用しながら、セキュリティを少しずつ高めていきましょう。