パスワードレス認証、「パスキー認証(FIDO2認証)」(1)

★パスワードレス認証、「パスキー認証(FIDO2認証)」(1)★[2025/12/02更新]
プロローグ
パスキー認証とは(FIDO2認証)
パスキーの種類
使用環境と前提条件
パスキー関連の用語
各メーカー独自のパスワードマネージャ
Googleで２要素認証
Googleでパスキー認証
Geminiにパスキー認証を聴く
エピローグ

プロローグ

○パスワード認証：

パスワード認証＋多要素認証(二段認証等)でも、フィッシング詐欺を回避することはできません。
次なる手段はパスキー認証と言うことになりそうです？
★パスキー認証では、リアルタイムフィッシング詐欺も回避が可能ようです、頼もしい！

○パスキー認証(正式名称は「FIDO2認証」)：

※以下の３つの解説を見ると、多要素認証では回避が困難で、最後はパスキー認証となるようです！？
【2025年7月最新】Googleがユーザーに警告！「パスワードやめてパスキーに切り替えるべき理由」とは？
・Googleが警告、２０億人に注意喚起、パスワードやめてパスキーにすべき理由
以下一部引用します：


	Googleは現在、全世界で約20億人に上るGmailユーザーに「パスワードの時代は終わった」と警告し、
	パスキーへの切り替えを強く推奨しています。
	実際、Forbesは「Googleが20億人のユーザーに『今すぐパスワードをパスキーへ切り替えるよう勧告』」
	と報じ（Forbes（フォーブス））、FIDO AllianceやTechloyなど複数の専門メディアも、Googleがパスキー移行を
	「かつてない規模で呼びかけている」と伝えています。
	【出典】Forbes：Replace Your Gmail Password Now, Google Tells 2 Billion Users – Forbes（2025年6月16日）

インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています
金融庁の不正取引統計：

証券大手１０社、口座認証で安全性高い「パスキー」導入へ…乗っ取り被害相次ぎ対策強化
一部引用します：

	証券大手１０社は、指紋や顔といった生体情報などを活用し、安全性が高いとされる
	認証の仕組み「パスキー」を来春までに導入する方針を固めた。
	インターネット上で証券口座が乗っ取られ、不正に株を売買される被害が相次いでいる
	ため、対策を強化する。利用者への啓発が課題となりそうだ。

パスキー認証とは(FIDO2認証)

○パスキー概要

	パスキー認証とは、パスワードに代わる、より安全で簡単な次世代の認証方式です。
	スマートフォンの生体認証（指紋、顔）やPINコードなど、デバイスに搭載された認証情報を
	使って本人確認を行うため、パスワードの漏えいやフィッシング詐欺のリスクが大幅に軽減
	されます。
	パスワードを覚える必要がないため、ログインの手間も省けます。 

	○パスキー認証の仕組みと特徴
		・公開鍵・秘密鍵のペア：パスキーは「公開鍵」と「秘密鍵」という2種類の鍵のペアで認証を行います。
			・公開鍵：サービス提供側のサーバーに保管されます。
			・秘密鍵：ユーザーのデバイス（スマートフォンやPCなど）にのみ安全に保管され、外部に漏れることはありません。
	○本人認証：ログイン時には、サービス側が送る認証要求に対して、ユーザーがデバイスの生体認証やPINコードでロックを解除します。
		・認証に成功すると、デバイスが秘密鍵を使って署名を生成し、サーバーに送信します。
		・サーバーは、受け取った署名を公開鍵で検証し、本人確認を行います。
	○パスワードとの違い：
		セキュリティ：サーバーにパスワードを送信しないため、フィッシング詐欺やパスワードの漏洩リスクがありません。
		利便性：複雑なパスワードを覚える必要がなくなり、指紋や顔、PINなどでスムーズにログインできます。
		多要素認証：パスキー自体が多要素認証の役割を果たすため、ワンタイムパスワードなどの追加認証が不要になる場合もあります。 
	○対応しているデバイスとブラウザ
		・OS: Windows、macOS、iOS、Androidといった主要なOSで対応しています。
		・ブラウザ: Google Chrome、Microsoft Edge、Safariなどの主要なブラウザも対応しています。

参考URL：https://chiilabo.com/2024-08/passkey-mechanism-basis/ リンク
※非常に判りやすい有用な図を一部引用させていただきます。
○パスキーの作成
・公開鍵暗号化方式を使用する
・公開鍵はサーバー側に保存される
・秘密鍵は端末(PC/スマホ等)に保存される
※秘密鍵はTPM(Trusted Platform Module:セキュリティチップ)対応マシンではハード的に保護されています。
※Windows11の必須要件であり、TPM 2.0が求められます。

○パスキーの認証
・端末はログインを試行する
・サーバーはランダムなチャレンジを送信する
・端末で生体認証(指紋/顔認証/PIN等)を行う
・端末で生体認証で取出した秘密鍵でチャレンジを暗号化する
・端末で署名データを送る
・サーバーで公開鍵を使用して署名データを検証

パスキーの種類

パスキーには２種類のパスキーがあります。
○デバイスにバインドされたパスキー:

※FIDO認証でサポートされました
・1 つのデバイスにバインドされ、そのデバイスでのみ使用されます (セキュリティキー)

	デバイスにバインドされたパスキーは、セキュリティキーと呼ばれる外部ハードウェアデバイスに保存され、そこからアクセスされます。
	これらのパスキーはFIDO認証資格情報であり、発行されたデバイスから外部に持ち出すことはできません。
	これらのパスキーはFIDOセキュリティキーまたはプラットフォームにバインドされており、デバイス間で同期することはできません。
	物理的なセキュリティキーまたはデバイスには、複数の単一デバイスパスキーを保存でき、ユーザーのさまざまなデバイスで使用できます。
	セキュリティキーは、製造元と特定のファームウェアバージョンを暗号的に証明する構成証明書を提供できます。この証明書は、認証器構成証明書グローバル一意識別子（AAGUID）を提供します。
	この識別子を使用して、FIDOメタデータサービスにクエリを実行し、証明書利用者がアクセスポリシーの決定に使用できる認証レベルなどの情報を取得できます。

○同期されたパスキー:

※FIDO2認証でサポートされました
・認証情報マネージャーに安全に保存され、デバイス（携帯電話、タブレット、コンピューター）間でアクセスできます。

	同期されたパスキーは、ユーザーの複数のデバイス間で同期されます。
	パスキーは、Apple Passwords、Google Password Manager、1Password、Dashlane、LastPassなどのパスワード管理ツールまたは認証情報管理ツールに安全に保存されます。
	ユーザーは、すべてのアカウントですべてのデバイスを再登録することなく、新しいデバイスも含め、多くのデバイスで同期されたパスキーにアクセスできます。

○クロスデバイス認証:

	クロスデバイス認証を使用すると、パスキーを持たないデバイス（ノートパソコン、デスクトップパソコン、モバイル端末など）で、
	パスキーを持つ別のデバイス（モバイル端末など）を使用してサインインできます。
	詳細については、「クロスデバイス サインイン」を参照してください。

※クロスデバイスサイン

	・ユーザーが手動でパスワードを入力したり、ラップトップ/デスクトップで追加の認証手順を実行したりする必要性を減らします。
	・パスワード フィールドを削除し、自動入力をサポートします。
	・再認証やパスキーの再設定をすることなく、ユーザーがデバイスを切り替えることができるようにします。
	・デバイス間でのパスキーの同期またはサインインが失敗した場合の状況に対処するために、他のサインイン方法への正常なフォールバックをサポートします。
	・個人認証デバイス (スマートフォン) とアクセスされるデバイス (公共/共有ラップトップ) の分離をサポートします。

使用環境と前提条件

○パスキーを使用する条件として：

・Windowsマシンは、WindowsHello設定が必須の条件となります。
・Chromeブラウザの同期設定(必ずしも必須ではないが!?)
・クロスデバイス認証を行うにはPC/スマホでBluetooth機能が必要となります。

○デバイス環境は以下です：

・PCはWindows10マシンとWindows11マシンを使用しました、
使用ブラウザはGoogleChrome/MicrsoftEdgeです
・スマホはGooglePixel6a(Android16)、ブラウザはGoogleChromeブラウザです

○前提条件は以下です：

使用デバイス	生体認証	その他条件	クロスデバイス認証
Windows10 マシン	指紋認証/PIN WindowsHello	Bluetoothあり	○
Windows11 マシン	PIN WindowsHello	生体認証なし Bluetoothなし	Ｘ
Android GooglePixel6a	指紋認証/PIN デバイスロック	Bluetoothあり	○

○WindowsHelloの設定例

※「設定」「アカウント」「サインインオプション」
※にて、WindowsHelloを有効(*)にする必要があります。

○Chromeブラウザの同期設定

※同期したい各デバイスで設定が必要です、以下はPCの場合の設定です。
※「設定」「同期とグーグルサービス」「同期する内容の管理」～

○クロスデバイス認証(*)

※PCに生体認証の機能がなく、生体認証のみスマホで行う等

パスキー関連の用語

用語	意味	補足	備考
二段認証	多要素認証/多段認証とも言われます id/passに加えてワンタイムパスワードを要求	例えばメール/スマホで表示された確認コードの入力	リアルタイムフィッシング詐欺には十分に対応でていない
パスキー認証	パスワードレス認証とも言われますパスワードの代わりに生体認証等を行う技術基盤は公開鍵暗号化方式です	デバイス側に秘密鍵、サービス側に公開鍵を保持する	リアルタイムフィッシング詐欺に対応可能
公開鍵暗号化方式	従来の共通鍵暗号化方式(暗号化も復号化も同一鍵を使用します)よりもより強固です。公開鍵暗号化方式では、公開鍵で暗号化して秘密鍵で解読します、あるいはその逆です	インタネット上の安全な通信 (SSL/TLS) マイナンバーカードでも使用されています
パスキーの種類	「デバイスバウンドパスキー（固定型）」と「同期パスキー（同期型）」の2種類があり
デバイスバウンドパスキー	デバイス固有のキーでデバイスに登録されます例えばWindowsHello	安全性が高いが実用上は不便となる PC/スマホで利用する場合、各々で登録が必要
同期パスキー	各サイトのパスワードマネージャで管理される、デバイス間の同期を行います	安全性は相対的に低くなるが、実用上は便利例えばスマホで登録するとPCでも使用できる
パスワードマネージャ	パスワードを管理(同期)する Googleパスワードマネージャ/AppleのiCloudキーチェーン /Microsoft パスワードマネージャー等サードパーティでは「1Password」「Bitwarden」が有名です
Googleパスワードマネージャ	Android や Chrome に保存したパスワードを管理できます。パスワードは Google アカウントに安全に保存され、すべてのデバイスでご利用いただけます。	AppleのiCloudキーチェーン/Microsoft パスワードマネージャーとは互換性無し

各メーカー独自のパスワードマネージャ

○各メーカー独自のパスワードマネージャ

※メリット/デメリット含めて表形式で整理します。
※もちろん、全て無料で、パスキーもサポートします。

マネージャ名	主な特徴	メリット	デメリット
Google (Googleパスワードマネージャ)	Chromeブラウザ、Androidとの連携が非常に強力。	* 無料で利用可能で導入が簡単。 * Chrome/Android間での同期と自動入力がシームレス。 * Googleアカウントの多要素認証がセキュリティを担保。	* Googleエコシステムへの依存が強い（ロックイン）。 * SafariやFirefoxなどの他ブラウザでの連携がシームレスではない。 * パスワード以外の機密情報（ライセンスキー等）の管理機能が不足している。
Apple (iCloudキーチェーン)	Apple製品（Mac/iPhone/iPad）との連携が非常に強力。	* Appleデバイス間で極めてシームレスな自動入力。 * 最新のセキュリティ技術が適用されている。 * Appleユーザーにとっては手間なく安全に利用できる標準機能。	* Appleエコシステムへの依存が強い。 * WindowsやAndroidなどの非Appleデバイスでの利用に制約がある。 * パスワードの基準調整ができず、一部のサイトで強力なパスワード生成が不便な場合がある。
Microsoft (Microsoft Edge パスワードマネージャ)	Edgeブラウザ、Windowsとの連携が強力。	* Edgeブラウザユーザーは無料で手軽に利用可能。 * Windowsデバイス間での同期が可能。 * Microsoftアカウントのセキュリティで保護される。	* ブラウザ依存が強く、Edge以外での利用に制約がある。 * 専用のパスワードマネージャアプリと比較して機能が限定的な場合がある。 * パスワードの保存先であるクラウドサービス（サーバー同期）侵害のリスクが伴う。

Googleで２要素認証

○Googleで２要素認証

※パスキー認証に入る前に、これまで使用していた２要素認証について簡単に記します。
○２要素認証の設定

※ここでは、PCでログイン、二段認証はスマホで行う場合の例です。

※バックアップコード
    ２段認証を行う場合、必須の設定です。
    スマホが壊れた場合、この設定でバックアップコードで回復が可能です
    ※２段認証が行えない場合の緊急/代替手段です。

※２要素認証で不具合が発生した場合に、このコード(10個)から復旧が可能です。
バックアップコードの再生成
１度使用したコードは、使えません。

○２要素認証のログイン手順

※ここでは、PCでログイン、二段認証はスマホで行う場合の例です。
※スマホで「はい、私です」を選択して認証されます。

Googleでパスキー認証

○Googleでのパスキー登録とパスキーログイン説明

○Googleパスキーの登録
・２種類のパスキー登録が可能です。

・現在のデバイスにデバイスバインド型のパスキーを作成する(①)
・スマホ等に同期型のパスキーを作成する(②、③)

○Googleパスキーでログイン
・２種類のパスキーログインが可能です。

・現在のデバイスにバインドされたパスキーでログインする(①)
・スマホ等の同期型のパスキーでログインする(②、③)
これは事実上の二段認証でもありますね！

○Googleパスキー以外でのログイン方法
・パスキーでログインができなくなった場合のケースを想定。

・従来のパスワードでログインする
・確認コードをメールで受取りログインする
・確認コードをSMSで受取りログインすする

※Googleサイトでパスキーの登録、パスキーログイン/パスワードログイン/パスキーの削除等を実施してみます。
○Googleでパスキー登録：

※デバイスバインド型のパスキーの登録です、これは同期されません

○作成されたGoogleパスキー(Googleアカウント管理～)：

※「Googleアカウント管理」「セキュリティとログイン」「パスキーとセキュリティ」から参照します。

○Googleでパスキーログイン(PC)

※PCでログインして、PCの指紋認証で認証した場合です。

※クロスデバイス認証(PC起動でスマホ生体認証)
※PCでログインして、スマホで指紋認証した場合です。
この場合は、Bluetooth機能が必須となります。
※Bluetooth機能の必要性の詳細は、別途紹介したいと考えています(FAQ時に！)。

・PC（Bluetooth送信機として機能）とスマートフォン（Bluetooth受信機として機能）は、
パスキー認証プロセス中に近接信号を安全に交換するためにBluetoothを使用して通信します [1]。
・この通信により、スマートフォンはPCが物理的に近くにあることを確認し、フィッシング攻撃
を防ぎながら、生体認証（指紋や顔認識など）を安全に実行できるようになります。
・したがって、PCとスマートフォンの両方でBluetoothが有効になっていることを確認してください。

○Googleでパスキーログイン(スマホ)

※スマホでログインして、スマホで指紋認証した場合です。

○Googleでパスキー削除

※パスキー認証を辞める場合は、以下の手順で削除します。

エピローグ

・今回は、パスキー認証で、検索エンジンのGoogleを例として取り上げましたが、次回は以下の例を取り上げます：

・ECサイトとして、代表的なAmazonサイトでパスキーを使用した場合。
・証券会社として、マネックス証券でパスキーを使用した場合。

著者：志村佳昭（株式会社トリニタス　技術顧問）