【がっちりマンデーで紹介】超自動化!1Passwordパスキーガイド
2025年5月25日(日)放送のTBS系経済情報バラエティー番組「がっちりマンデー!!」にて、「インターネットに入り込んでがっちり!!」
というテーマで、デジタルアクセルズがパスワード管理ツール「1Password」を正規販売代理店として紹介しました!
セキュリティー対策が日々重要性を増す中、多くの企業ではまだパスワード管理が個人任せになっていることが実情ではないでしょうか。従業員が個別に管理するパスワードは、脆弱なものが使い回され、セキュリティーリスクとなっています。組織全体でのパスワード管理の必要性を感じながらも、適切なツールや最新の認証技術について詳しく知らないという担当者も多いのではないでしょうか。そこで今回は、次世代認証技術「パスキー」と、それを実現する強力なツール「1Password」(ワンパスワード)についてご紹介します。企業全体のセキュリティーを強化しながら、ユーザー体験も向上させる新しい認証方法をぜひ検討してみてください。
1Passwordとパスワード自動化についてさらに読みたい方は、あわせて「1Passwordで実践!パスワードはどこまで自動化できるのか」もご覧ください。
はじめに:パスワードの時代は終わる?次世代認証「パスキー」とは
パスワードによる認証は長年使われてきましたが、様々な課題を抱えています。複雑なパスワードの記憶、定期的な変更、異なるサービスごとの使い分けなど、ユーザーにとって大きな負担となっています。そんな中、「パスキー」と呼ばれる次世代認証技術が注目を集めています。
なぜパスワードレスが注目される?
従来のパスワード認証には多くの問題があります。ユーザーは覚えやすい単純なパスワードを使い回す傾向があり、それがセキュリティーリスクとなっています。Verizon社の2025年データ侵害調査レポートによれば、侵害の初期アクセスベクトルとしてログイン情報の盗用が22%を占め、依然として最も一般的な侵入経路の1つとなっています。また、データ漏洩によるパスワードの流出、フィッシング詐欺によるパスワード盗難などの脅威も増加しています。さらに深刻な問題として、同レポートによれば、企業のクレデンシャルの漏洩の46%は、会社が管理していないBYOD(Bring Your Own Device)デバイスからの漏洩であることが判明しており、ランサムウェア攻撃を受けた組織の54%では、マルウェアによって収集されたクレデンシャルがダークウェブ市場で販売されていたことも明らかになっています。従来の対策として多要素認証(MFA)が広く導入されてきましたが、攻撃者はMFAを迂回するための様々な技術を進化させています。同レポートによれば、Microsoft 365アカウントへの攻撃では、トークン盗難が31%と最も一般的なMFAバイパス手法となり、その他にもプロンプトボミングやAiTM(Adversary-in-the-Middle)攻撃などが確認されています。
企業においては、パスワードリセットの対応にかかる時間やリソースが大きな負担となっています。さらに、厳格なパスワードポリシーを設けても、ユーザーは回避する方法を見つけ出してしまうものです。このような背景から、パスワードに依存しない認証方法への移行が世界的に進んでいます。
パスキーとは?
パスキー(Passkey)とは、パスワードを使わずに認証を行う新しい標準規格です。FIDOアライアンスとW3Cによって策定されたWebAuthn(Web Authentication)技術をベースにしており、デバイスに内蔵された生体認証(指紋認証やFace IDなど)や暗号鍵を使って、安全かつ便利に認証を行うことができます。
パスキーの最大の特徴は、ユーザーがパスワードを記憶する必要がないこと。代わりに、生体認証などのより安全で使い勝手のいい方法でログインできます。また、フィッシング詐欺にも強く、サービス提供者側でのパスワード管理コストも削減できるという利点があります。
パスキーは書き留めたり記憶したりする必要はありません。代わりに、アカウント所有者のスマートフォンやその他の信頼できるデバイスに保存され、生体認証またはデバイスのPINによって保護されます。パスワードとは異なり、「弱い」パスキーというものは存在せず、使い回すこともできないため、各アカウントは実現可能な最高レベルの保護を受けられます。
パスキーが注目される背景
FIDOアライアンスによるグローバル調査では、パスキーが発表され一般消費者が利用できるようになってから2年間で、パスキーの認知度は2022年の39%から2024年には57%へと倍増しています。また、GoogleやMicrosoft、Appleといった大手テック企業も、パスキーへの対応を進めています。
さらに、サイバー攻撃が高度化・巧妙化する中、多要素認証だけでは不十分なケースも増えています。レポートでは、MFAを回避するための「プロンプトボミング」や「中間者攻撃(AiTM)」、「トークン盗難」などの事例が増加していることが警告されています。パスキーは公開鍵暗号方式を利用した認証で、従来の認証方法よりもセキュリティーレベルが高いため、企業のセキュリティー担当者からも注目を集めています。
このように、大きな流れではパスワードの時代は確実に終わりに向かっており、パスキーはその有力な後継者として期待されています。ですが、今現在、パスワード管理をしないでいいかと言うと、そうではありません。その両方に対応した管理アプリが必要なのです。
1Passwordでパスキーを利用するための準備
1Passwordはパスワード管理ツールとして広く知られていますが、最新版ではパスキーにも対応しています。これにより、より安全で便利な認証方法を企業全体で導入することが可能になります。ここでは、1Passwordでパスキーを利用するための準備について説明します。
どんなデバイス・OSに対応しているか
1Passwordのパスキー機能は、以下のデバイスとOSに対応しています。
- iOSデバイス(iOS 16以降)
- Android端末(Android 9以降)
- Windows PC(Windows 10/11)
- macOS(Monterey以降)
- Chrome OS
また、Chrome、Safari、Edge、Firefox(バージョン117以降)など主要なブラウザーに対応しています。導入前に最新の対応状況を確認することをおすすめします。特に企業内での一斉導入を検討する場合は、従業員が使用するデバイスの対応状況を事前に確認しておくことが重要です。
1Passwordで何を設定するか
1Passwordでパスキーを利用するには、以下の設定が必要です。
- 1Password 8以降のバージョンにアップデート
- 1Password Businessなどのビジネス向けプランの契約
- 管理者による各メンバーへのパスキー機能の有効化
- デバイスでの生体認証(Touch IDやFace IDなど)の設定
企業導入の場合、まず管理者コンソールからパスキー機能を有効にした上で、各従業員のデバイスに1Password 8以降をインストールする必要があります。また、パスキーの使用には企業のポリシーとして生体認証の使用を許可する必要があるため、社内規定の確認と必要に応じた改定も検討しておくといいでしょう。
1Passwordでパスキーを使ってみよう
パスキーの基本的な概念と準備が整ったところで、実際に1Passwordでパスキーを使用する方法を見ていきましょう。パスワードとは異なる操作感ではありますが、使ってみるとその簡便さに驚かれるはずです。
設定は簡単
1Passwordでパスキーを設定する手順は非常にシンプルです。
- パスキー対応のウェブサイトやサービスにアクセス
- アカウント設定からセキュリティーまたはログインオプションを開く
- 「パスキーを追加」または「パスワードレスログインを設定」などのオプションを選択
- 1Passwordが自動的に検出し、パスキーの作成をサポート
- 生体認証(指紋やFace IDなど)で確認
これだけで完了です。1Passwordは作成したパスキーを自動的に保存し、次回からのログインに使用できるようになります。従来のパスワード入力との違いに戸惑う従業員もいるかもしれませんが、数回使用すれば操作に慣れることができます。
ログインの流れ
パスキーを使ったログインは、従来のパスワード入力よりもシンプルです。
- パスキー対応サービスのログイン画面にアクセス
- ユーザー名やメールアドレスを入力(サービスによっては不要)
- パスキーでのログインを選択
- 1Passwordが自動的にパスキーを検出
- 生体認証で確認するだけでログイン完了
パスワードを入力する必要がなく、指紋認証やFace IDなどの生体認証だけでログインできるため、入力ミスやパスワード忘れの心配がありません。また、ログイン処理も高速で、ユーザー体験が大幅に向上します。
従来の認証と違う点
パスキーによる認証は、従来のパスワード認証とは以下の点で大きく異なります。
- 記憶する必要がない:複雑なパスワードを覚える必要がなく、脳の負担が減ります
- 入力する必要がない:キーボードでの入力がないため、入力ミスやショルダーハッキングのリスクがありません
- サイトごとに異なる:自動的にサイトごとに異なるパスキーが生成されるため、使い回しの心配がありません
- フィッシング耐性:パスキーはそのサイト専用なので、偽サイトでは使用できません
- 同期と復元:1Passwordを通じて複数デバイス間で同期でき、デバイス紛失時も復元可能です
特に従業員のセキュリティー意識に差がある企業では、個人のパスワード管理に依存せず、システムとして安全性を担保できる点が大きなメリットです。IT管理者の負担も軽減され、セキュリティーレベルを全体的に引き上げることができます。
パスキーの仕組みとメリット
パスキーが注目される理由をより深く理解するために、その技術的な仕組みとメリットについて詳しく見ていきましょう。
パスキーはどうやって機能する?
パスキーは公開鍵暗号方式をベースにした認証技術です。仕組みを簡単に説明すると、
- パスキーを作成すると、デバイス上で秘密鍵と公開鍵のペアが生成されます
- 公開鍵だけがサービス提供者(ウェブサイトなど)に送信され、サーバーに保存されます
- 秘密鍵はデバイス内の安全な領域(iPhoneならSecure Enclave、AndroidならTrusted Execution Environmentなど)に保存され、外部に出ることはありません
- ログイン時には、サーバーからのチャレンジに対して秘密鍵で署名し、その署名を公開鍵で検証することで認証が完了します
この方式では、サーバー側にはパスワードのハッシュではなく公開鍵だけが保存されるため、サービス提供者のデータベースが漏洩しても、秘密鍵は安全なままです。
また、1Passwordのようなパスワードマネージャーがパスキーを管理することで、複数デバイス間での同期や、デバイス紛失時の復元も可能になっています。
パスキーのメリット
パスキーには多くのメリットがありますが、特に以下の3点が挙げられます。
高い安全性
パスキーの安全性は複数の要素から成り立っています。
- 公開鍵暗号方式:数学的に解読が極めて困難な暗号技術を使用
- 秘密鍵の保護:秘密鍵がデバイスの安全な領域に保存され、外部に出ることがない
- 生体認証との組み合わせ:指紋やFace IDなどの生体認証と組み合わせて使用することで、本人確認の精度が向上
- サイト固有の鍵:各サービスごとに異なる鍵ペアが生成されるため、1つのサービスが侵害されても他に影響しない
これらの要素により、従来のパスワード認証や単純な多要素認証よりも高いセキュリティーレベルを実現しています。
ログインが簡単
パスキーによるログインの簡便さは、以下の要因によるものです。
- 記憶の負担がない:複雑なパスワードを覚える必要がない
- 入力の手間がない:パスワードを手入力する必要がなく、生体認証だけで完結
- 自動検出と補完:1Passwordなどのツールが適切なパスキーを自動的に検出・提供
- 直感的な操作:指紋認証やFace IDなど、既に馴染みのある認証方法を利用
これにより、特に多くのサービスを利用する企業環境では、従業員の認証に関する負担が大幅に軽減されます。
フィッシングに強い
パスキーがフィッシング攻撃に対して堅牢なのには、以下のような理由があります。
- サイト固有の認証:パスキーは特定のウェブサイトのドメインと紐づけられており、偽サイトでは機能しません
- 自動検証:ブラウザーやデバイス側で自動的にドメインを検証するため、ユーザーが騙されても認証は通りません
- ユーザー操作の最小化:パスワードを入力する操作がないため、キーロガーなどの攻撃も無効化
- 中間者攻撃への耐性:チャレンジレスポンス方式により、通信を傍受されても次回のログインには使用できません
これらの特性により、従業員がフィッシングメールに騙されてしまっても、クレデンシャルが漏洩するリスクを大幅に低減できます。
パスキーのこれらのメリットは、特に大規模な組織やセキュリティーリスクの高い業界において、重要な意味を持ちます。
パスキーの次は本格的にパスワードレスな世界に?
パスキーは、パスワードレス認証への第一歩と言えます。今後のデジタル認証の進化について考えてみましょう。
なぜ1Passwordはパスキーに対応したのか
1Passwordがパスキーに早期対応した背景には、以下のような要因があります。
- セキュリティー強化への取り組み:1Passwordは常に最高レベルのセキュリティーを提供することを目指しており、パスキーはその方針に合致
- 業界トレンドへの対応:GoogleやApple、Microsoftなど大手テック企業が推進するパスワードレスの流れに素早く対応
- ユーザー体験の向上:パスワード管理の煩わしさを解消し、よりスムーズな認証体験を提供したいという意図
- エンタープライズ市場の需要:特に企業ユーザーからのセキュリティー強化と管理負担軽減の要望に応える
1Passwordはパスワードマネージャーとしての強みを活かしつつ、パスキー時代においても重要な役割を果たすための戦略的判断と言えるでしょう。
実際に大手テック企業もパスワードを段階的に廃止する動きを強めています。Microsoftは2025年6月から段階的にMicrosoft Authenticatorのパスワード自動入力(オートフィル)機能を廃止すると発表しました。具体的には、2025年6月に新規パスワードの保存が不可能になり、7月にはAuthenticatorでのオートフィル機能が使用不可に、8月には保存されたパスワードが完全にアクセス不能になるとのことです。
このようにパスキーの普及が進めば、将来的には完全なパスワードレス環境が実現する可能性があります。企業のIT担当者は、この技術トレンドを把握し、段階的な導入計画を検討することが重要です。まずは重要なシステムや新規サービスからパスキー対応を進め、徐々に拡大していくアプローチが現実的でしょう。
まとめ:1Passwordとパスキーでより安全で快適なデジタルライフへ
パスワードの時代から、パスキーによるパスワードレスの時代への移行は、もう始まっています。このタイミングで1Passwordのようなセキュリティーツールを導入することで、先々に備えて企業全体のセキュリティーレベルを向上させながら、従業員の利便性も高めることができます。
パスキーのメリットまとめ
パスキーの主なメリットを改めて整理すると、
- 高いセキュリティー:公開鍵暗号方式による強固な保護
- 利便性の向上:パスワードを記憶・入力する必要がない
- フィッシング耐性:偽サイトでは機能しない仕組み
- 管理負担の軽減:パスワードリセット対応などの業務削減
- 多デバイス対応:1Passwordを通じて複数デバイスで利用可能
- リカバリー対応:デバイス紛失時も復元可能
これらのメリットは、特に企業環境において大きな価値を持ちます。従業員のセキュリティー意識に依存せず、システムとして高いセキュリティーレベルを確保できるからです。
1Passwordパスキーの実力は?
1Passwordのパスキー対応は、以下の点で高く評価できます。
- 先進性:早期からのパスキー対応で、最新のセキュリティー標準を採用
- 使いやすさ:直感的なインターフェイスで、技術に詳しくないユーザーでも利用可能
- クロスプラットフォーム:iOS、Android、Windows、macOSなど主要なOSに対応
- 企業管理機能:1Password Businessプランでの一元管理が可能
- 共有機能:必要に応じてチーム内でのパスキー共有も可能
- 移行のしやすさ:既存のパスワード管理からパスキーへの段階的移行をサポート
企業のIT/セキュリティー担当者にとって、1Passwordは単なるパスワード管理ツールではなく、次世代認証への移行を支援する戦略的なパートナーと位置づけることができます。
パスワードレスの未来は既に始まっています。セキュリティーリスクの軽減と従業員の生産性向上を同時に実現するパスキー技術と1Passwordの活用を、ぜひ検討してみてください。組織全体のセキュリティーレベル向上に大きく貢献するはずです。