パスキー (WebAuthn) 2026 年版の状況 — 普及・実装・移行戦略

Q: Q. iCloud Keychain / Google Password Manager の同期は信頼できますか?

A. 一般用途では十分信頼できる。両者とも 「E2E 暗号化済みクラウド同期」 で、「Apple / Google ですら鍵を見られない」 設計。ただし Apple ID / Google アカウント自体が乗っ取られたら全部失う リスクがあるので、「そのアカウント自体に強力な MFA を設定」 する必要があります。

Q: Q. パスキー登録時にユーザーが嫌がる場合は?

A. 必須にしない、後で登録できる動線を用意。「今は使わない」 を選べるようにし、「ログインのたびに 1 度だけ提案」 する。「提案頻度が高すぎるとうざがられる」 ので注意。任意性を保つこと で 「離脱を防ぐ」。

Q: Q. 2FA / MFA とパスキーは併用すべき?

A. パスキーは単体で MFA 相当の強度を持つ。「所有要素(デバイス)+ ユーザー検証(指紋 / PIN)」 が組み込まれているため、「MFA としてカウント可能」。「SMS MFA や TOTP は不要」 になる。高セキュリティ要件では 「パスキー + パスキー(複数)」 のような多要素 も可能。

Q: Q. パスキー対応していない古いブラウザのユーザーはどうする?

A. パスワード + MFA のフォールバックを残す。「パスキー対応ブラウザのユーザーには優先的にパスキー、それ以外はパスワード」 のような分岐。「サポート対象ブラウザを公式に明示」 し、「非対応環境のユーザーには案内」 する。

Q: Q. パスキーを実装すると OWASP Top 10 対策になりますか?

A. A02(暗号化の失敗)と A07(認証の失敗)に劇的に効く。「パスワードを保存しない → 漏洩リスクなし」 「 フィッシング耐性 → 偽サイト経由の認証突破不可」 など 構造的な防御 が成立。「認証回りで失う最大級のリスク」 を本質的に排除できる。

Q: Q. 1 ユーザーに複数パスキーを登録すべき?

A. 必須に近い。「スマホと PC」 「 メインデバイスと予備デバイス」 のように 複数登録を推奨すると、「デバイス紛失時のリスク」 が大幅に下がる。`登録時に 「別デバイスもよく使う場合は今登録しておくと安心です」 と案内する」 のが UX 設計のコツ。

Q: Q. 移行で 「パスキー利用率」 を上げるコツは?

A. ログイン成功時の 「次から簡単に」 提案」 「 UX 改善(パスキーログインを最上部に)」 「 教育コンテンツ の組み合わせ。「Google / Apple もこのアプローチで普及」 させた。「強制ではなく、便利だから自然に移行」 が広がる王道。

先に要点

パスキー(Passkeys) は WebAuthn / FIDO2 をベースにした パスワードの後継。「公開鍵暗号で認証 → サーバはパスワードを保存しない」仕組みのため、フィッシング / 漏洩 / 総当たり攻撃に構造的に強い。2022 年から普及が始まり、2026 年時点では 主要環境の対応がほぼ完了している。
2026 年の普及状況: iOS / Android / macOS / Windows の OS レベル対応完了」「 Chrome / Safari / Firefox / Edge の主要ブラウザ対応完了」「 1Password / Bitwarden などのパスワードマネージャ対応完了」「 Google / Apple / Microsoft / Amazon / GitHub / X(Twitter) など大手サービスがパスキー対応済み。
実装は WebAuthn API をブラウザで呼ぶだけで、「AWS Cognito / Auth0 / Okta / Firebase Auth」などのマネージド IdP がほぼ全て対応済み。自前で WebAuthn を実装することは少なく、IdP の設定で有効化 が現代の標準。
パスキーの種類: Synced Passkey(クラウド同期)」「 Device-bound Passkey(デバイスに紐付く) の 2 種類。「一般ユーザー向けは Synced」(iCloud Keychain / Google Password Manager で複数デバイス共有)、「エンタープライズ高セキュリティは Device-bound」(YubiKey 等のハードウェアキー)が定石。
移行戦略: 既存ユーザーには段階的に提案(パスキー追加 → 任意でパスワード削除)」「新規ユーザーはパスキー優先」「リカバリ手段(メール / SMS / バックアップコード)を必ず併設。「いきなりパスワード廃止」はユーザー離れを招くので避ける。

「パスワードはもう古い」と何年も言われていましたが、パスキー(Passkeys) がついにそれを実現する技術として 2026 年時点で主要環境の対応がほぼ完了しています。「Google / Apple / Microsoft / Amazon / GitHub / X」など大手サービスが既にパスキー対応済みで、ユーザーも体験している人が増えてきました。

ざっくり言うと、パスキーは 公開鍵暗号で認証 → サーバはパスワードを保存しない 仕組みのため、XSS や OWASP Top 10 の「A02 暗号化の失敗」「 A07 認証の失敗」を構造的に防ぐ技術です。「フィッシング」「漏洩データベース」「総当たり」に対して、「パスワードの存在を前提とした攻撃が成立しなくなる」。

この記事では、パスキーの 2026 年時点の普及状況・実装方法・移行戦略 を整理します。「パスキーの基本概念」についてはパスキーとパスワード / 2FA の違いを併読してください。

2026 年の普及状況 — もう導入を遅らせる理由はない

パスキーは 2022 年に大手主導で発表されてから 4 年で OS / ブラウザ / 主要サービスがほぼ全対応に到達しました。

OS / ブラウザ

「 iOS 16+ / Android 9+(クラウド同期は Android 14+)/ macOS Ventura+ / Windows 10+(Microsoft アカウント同期)」で完全対応。「Chrome / Safari / Firefox / Edge」すべての主要ブラウザで動く。` 一般ユーザーの大半の環境で「何の準備もなく動く」状態。

パスワードマネージャ

「 1Password」「 Bitwarden」「 Dashlane」「 LastPass」のような主要パスワードマネージャがパスキー対応完了。「OS のキーチェーンでなくても、パスワードマネージャ経由でクラウド同期できる」ようになり、「ベンダー横断のパスキー体験」が成立。

大手サービスの対応

「 Google」「 Apple ID」「 Microsoft アカウント」「 Amazon」「 GitHub」「 X(Twitter)」「 Adobe」「 Shopify」「 PayPal」「 eBay」など、主要 SaaS / 消費者サービスがパスキーログイン対応済み。Google は 2025 年に「パスワードレスを優先する」方針を発表し、ログイン画面の UX がパスキー優先に変わった。

エンタープライズ採用

「 Microsoft Entra ID(旧 Azure AD)」「 Okta」「 OneLogin」「 Ping Identity」などエンタープライズ IdP もパスキー標準サポート。「SSO のセカンドファクタとしてパスキー必須化」する企業が増加。「金融・医療・政府機関」で「Device-bound パスキー(ハードウェアキー)」採用が進む。

「もう実装環境は揃った」状態で、「いつ自社サービスに入れるか」が問われる段階に来ています。

パスキーの仕組み(おさらい)

実装に入る前に、仕組みを 1 ブロックで再確認します。

公開鍵暗号ベース

「登録時にデバイス内で鍵ペアを生成」 → 「公開鍵だけサーバに送る」 → 「認証時にサーバからチャレンジを受け、デバイス内の秘密鍵で署名 → サーバが公開鍵で検証」。パスワードはどこにも存在しない。

フィッシング耐性

「パスキーは origin(ドメイン)に紐付く」。偽サイトに行ってもブラウザが正規ドメインのパスキーを送らない。「URL を見間違えるユーザー」がそもそも被害に遭わない設計。

同期(Synced) vs デバイス紐付き(Device-bound)

「 Synced」 = iCloud Keychain / Google Password Manager / 1Password などでクラウド同期。「複数デバイスで使える」利便性が高い。「Device-bound」 = 「YubiKey などハードウェア」や「デバイス内 Secure Enclave」に紐付き、「クラウドに鍵が出ない」高セキュリティ用途。

「顔認証 / 指紋認証 / PIN」で本人確認(これはユーザー検証(User Verification))。「デバイスがロックされていればすぐログイン」。パスワード入力もコード入力も無い 圧倒的に楽な体験。

実装 — マネージド IdP で 1 日で動かす

「WebAuthn を自前で実装」は非推奨。マネージド IdP に任せるのが現代の標準。

サービス	パスキー対応状況	有効化の手順
AWS Cognito	User Pool で対応	マネジメントコンソールで「WebAuthn 認証」を有効化
Auth0	標準サポート	ダッシュボードで「Passkeys」を ON、ログイン UI が自動でパスキー表示
Okta	標準サポート	「 Authenticators」設定で「WebAuthn」を追加
Firebase Auth	パスキー対応中(Multi-factor として段階導入)	Identity Platform 経由で WebAuthn 設定
Microsoft Entra ID	標準サポート(エンタープライズ含む)	Conditional Access で「Passkey 必須」設定可能
自前 WebAuthn 実装	SimpleWebAuthn(Node.js)、py_webauthn(Python)、webauthn4j(Java)など	ライブラリで「Register / Authenticate のエンドポイント実装」

マネージド IdP を既に使っているなら、設定 1 つで動く のが現代のパスキー実装。自前実装はライブラリが揃っているが、「セキュリティの細部まで意識する必要」があり、運用負荷も高い。

移行戦略 — 既存ユーザーをパスワードからパスキーへ

「いきなりパスワード廃止」はユーザー離れを招くので NG。段階的に進める。

読み込み中...

「半年〜1 年のスパン」で段階的に進めるのが現実的です。「Google / Apple / Microsoft」もこの段階アプローチで普及を進めてきました。

設計上の注意点

実装時に気をつけるべき点を整理します。

Resident Key(Discoverable Credential)を使う

「ユーザーが username を入力しないでログイン」を実現する設定。パスキーログインの UX を最大化するには必須。古い設定だと「username 必須」になることがあるので、IdP 設定を確認。

複数パスキー登録を許可

「ユーザーが iPhone と Windows PC の両方にパスキーを登録できる」ように設計。1 つのアカウントに複数の Authenticator を関連付けられる のがパスキー運用の標準。

リカバリの設計

「パスキーを失った場合のリカバリパス」を必ず設計。「登録済み別デバイスからの認証」「メール / SMS の確認コード」「バックアップコード」「 ID 確認(身分証提出)」などを組み合わせる。リカバリの抜け道がフィッシング攻撃の入口になる ので慎重に設計。

User Verification(UV)を必須に

「顔認証 / 指紋認証 / PIN」などのユーザー検証を必須(「userVerification: required」)に設定。UV なしのパスキーは盗まれたデバイスから誰でも使える リスクがある。「高セキュリティが要る用途では UV 必須」は妥協しない。

エンタープライズ向け — Device-bound パスキー(ハードウェアキー)

「金融 / 医療 / 政府機関 / 大企業の管理者アカウント」では、Synced パスキーでも不十分なケースがある。

Device-bound の特徴

「鍵がクラウドに同期されない」 = 「特定のハードウェアでのみ使える」。クラウド事故 / アカウント乗っ取りで鍵が漏れない 最大限のセキュリティ。「YubiKey」「 Google Titan」「 SoloKey」などの専用ハードウェアキーで実現。

トレードオフ

「紛失すると完全に失効」「複数デバイスで使うには複数キーを買う」「ユーザー教育が必要」。UX が Synced より硬い 代わりに 鍵の安全性は最高クラス。

Attestation で実装可能

` WebAuthn の「attestation」オプション」で、「どんな種類の Authenticator で登録されたか」を IdP が検証可能。「Synced のみ拒否、ハードウェアキーのみ受付」のような ポリシー強制 ができる。

使い分け

「一般ユーザー = Synced パスキー(利便性重視)」「管理者アカウント / 高権限ロール = Device-bound(セキュリティ重視)」。ユーザー種類別にポリシーを使い分ける のが現代的設計。

移行で踏みやすい落とし穴

実装 / 運用で踏みやすいパターンを整理します。

パスワード廃止を急ぎすぎる

「半年でパスワード廃止予定」のような急ぎ移行はユーザー離れを招く。「Apple / Google でも完全廃止はせず、当面パスワード併用」が現実的アプローチ。1 年以上の段階移行が標準。

UX の混乱

「パスキーログイン」「パスワードログイン」「 SSO ログイン」が並ぶと、ユーザーが混乱。優先順位を明確にする(パスキー > SSO > パスワード)が定石。「残りのオプションは折りたたみ」で UX を整理。

古いブラウザ / 環境のサポート

「 Internet Explorer の残存ユーザー」「 Linux + Firefox + パスワードマネージャ未対応」のようなマイノリティ環境での挙動確認は不可欠。「サポート外環境は明示してフォールバック」を必ず用意。

複数デバイス対応の説明不足

` ユーザーが「1 つのパスキーで全デバイスで使える」と誤解」して、別デバイスでログインできずに混乱。Synced と Device-bound の違い」「別デバイスでは新規パスキー登録が必要なケース を分かりやすく説明する。

パスキーに関するよくある質問

Q. iCloud Keychain / Google Password Manager の同期は信頼できますか?

A. 一般用途では十分信頼できる。両者とも「E2E 暗号化済みクラウド同期」で、「Apple / Google ですら鍵を見られない」設計。ただし Apple ID / Google アカウント自体が乗っ取られたら全部失う リスクがあるので、「そのアカウント自体に強力な MFA を設定」する必要があります。

Q. パスキー登録時にユーザーが嫌がる場合は?

A. 必須にしない、後で登録できる動線を用意。「今は使わない」を選べるようにし、「ログインのたびに 1 度だけ提案」する。「提案頻度が高すぎるとうざがられる」ので注意。任意性を保つことで「離脱を防ぐ」。

Q. 2FA / MFA とパスキーは併用すべき?

A. パスキーは単体で MFA 相当の強度を持つ。「所有要素(デバイス)+ ユーザー検証(指紋 / PIN)」が組み込まれているため、「MFA としてカウント可能」。「SMS MFA や TOTP は不要」になる。高セキュリティ要件では「パスキー + パスキー(複数)」のような多要素も可能。

Q. パスキー対応していない古いブラウザのユーザーはどうする?

A. パスワード + MFA のフォールバックを残す。「パスキー対応ブラウザのユーザーには優先的にパスキー、それ以外はパスワード」のような分岐。「サポート対象ブラウザを公式に明示」し、「非対応環境のユーザーには案内」する。

Q. パスキーを実装すると OWASP Top 10 対策になりますか?

A. A02(暗号化の失敗)と A07(認証の失敗)に劇的に効く。「パスワードを保存しない → 漏洩リスクなし」「フィッシング耐性 → 偽サイト経由の認証突破不可」など構造的な防御が成立。「認証回りで失う最大級のリスク」を本質的に排除できる。

Q. 1 ユーザーに複数パスキーを登録すべき?

A. 必須に近い。「スマホと PC」「メインデバイスと予備デバイス」のように複数登録を推奨すると、「デバイス紛失時のリスク」が大幅に下がる。`登録時に「別デバイスもよく使う場合は今登録しておくと安心です」と案内する」のが UX 設計のコツ。

Q. 移行で「パスキー利用率」を上げるコツは?

A. ログイン成功時の「次から簡単に」提案」「 UX 改善(パスキーログインを最上部に)」「教育コンテンツの組み合わせ。「Google / Apple もこのアプローチで普及」させた。「強制ではなく、便利だから自然に移行」が広がる王道。

まとめ

パスキーは パスワードの構造的後継 として、2026 年時点で 主要環境の対応がほぼ完了しています。「OS / ブラウザ / パスワードマネージャ / マネージド IdP」が揃った今、「いつ自社サービスに入れるか」が問われる段階です。

「いきなりパスワード廃止」ではなく、「オプション追加 → 優先提案 → 段階的廃止」の 1 年以上のスパンで進めるのが現実的。「Cognito / Auth0 / Okta のような IdP を使っていれば、設定 1 つでパスキー対応」できる現代では、「実装コストは非常に低い」です。「認証回りの抜本改善」として、「パスキー対応を 2026 年中に進める」のは多くのサービスで合理的な判断です。

参考リンク

FIDO Alliance: Passkeys
WebAuthn: WebAuthn Guide
W3C: Web Authentication: An API for accessing Public Key Credentials
Google: Passkeys 移行ガイド
Apple: Passkeys Developer Documentation