パスキーってなに？パスワードとの違いと本当に安全なのかを解説！

先日、ネットニュースでこのような見出しを見て驚きました。
「グーグルが20億ユーザーに警告―今すぐGmailをパスワードからパスキーに変更を」

中身を読んでみると、ポイントは２つ。

61％ってすごいですよね。
もうこれは、私のGメールのパスワードも流出していると思った方が良さそうです。

こんな場合は、

というのがいつもの流れなんですが、
どうやらGoogleは、

と言っているようです。

確かに「パスキー」というのは、最近ちょいちょい目にするようになって、「なんだろうな」とは思っていました。「パスキーでログインしますか？」って聞かれて「はい」とか言いつつも、何のことだかわからないってことがよくあったんです。

なるほど、「パスキー」というのは、Googleが猛烈にプッシュするような大事なものだったんですね。

そう思い、パスキーの設定をスタートしたのですが、これがまた実にわかりにくい…！
いや、設定そのものは簡単なんですが、「そもそもパスキーとは何なの？」という部分が、全然理解できないんです。

このページでは、私が苦労して理解したパスキーについてのあれこれを、何も知らないあなたにもよくわかるように解説いたします。ぜひ参考になさってくださいね。

パスキーとは何？初心者でもわかるように簡単に

まずは、そもそもパスキーって何なのか？ってところですね。
いきなり専門用語を使われても、拒絶反応しか出てこないと思いますので、初心者向けに解説します。

パスキーとは？

パスキーは、「パスワードのいらない、安全でかんたんなログイン方法」です。

今までは、サイトにログインするために「ID」と「パスワード」を入力していました。
でもパスキーを使うと、「指紋認証」や「顔認証」、スマホのロック解除みたいな操作だけでOKになります。

つまり、スマホのロック解除みたいな感覚で、サッとログインできる時代が来ているんです。

パスキーのいいところ

• 安全
  パスワードを盗まれたり、推測される心配がない
• 簡単
  指紋や顔でログインできるので、覚える必要なし
• 使いまわせない
  サイトごとに別のパスキーが作られるので、安全性アップ

Gメールのパスキーの設定方法

ん～、何となくわかった感じがしますね。
まあ、なにはともあれ、実際にパスキーを設定してみましょう。

GoogleのGメールの記事が発端になっているので、私もGメールのアカウントのパスキーを作ってみることにします。PCとスマホでは画面が違うと思いますが、こちらはPCで行った様子です。

パスキーの設定手順

設定はすごく簡単

こうして図解にすると、手順が多いような気がしますが、実際は数回クリックしただけです。
それだけで設定が完了してしまいました。

パスキーとは何？少し専門的に

先ほどは、「初心者でもわかるように」の解説だったのですが、今度は少し専門的な解説をします。
その方が、パスキーのイメージが湧くと思うんですよ。

パスキーとは？

パスキーとは、FIDO（Fast IDentity Online）アライアンスとW3Cによって策定されたFIDO2/WebAuthn標準に基づくパスワードレス認証方式です。

これは、従来の「ID＋パスワード」に代わる「公開鍵暗号方式」を用いた、より安全かつユーザーフレンドリーな認証技術で、「次世代のパスワードレス認証技術」と言えます。

仕組みの概要

• パスキーは「公開鍵」と「秘密鍵」のペアとして生成されます。
• 公開鍵はWebサービス側（サーバー）に保存されます。
• 秘密鍵はデバイス側（スマホやPC）に安全に保存され、外部に漏れません。

認証時の流れ

• Webサービスがログイン時に署名リクエストを送信。
• デバイス上の秘密鍵で署名（本人確認は生体認証など）。
• サーバーは登録済みの公開鍵で署名を検証。
• 一致すればログイン成功。

公開鍵・秘密鍵ってなに？いつ作られたの？パスワードとどう違う？

「鍵」ってなに？

「鍵」とは、暗号の世界で使われる 情報を守るための“秘密のコード” のようなものです。
パスキーを使った認証では、2つの鍵がセットで使われます。

鍵の種類	保存場所	役割
公開鍵	Gmailのサーバーなど	「鍵穴」みたいな存在。みんなが見てもOK
秘密鍵	スマホやPC	本人だけが持っている「本物の鍵」

パスキーが作成される流れ

パスキーは、先ほど図解した通り、すごく簡単に作成され、何の数字も記号も設定しませんでした。
でも、この作成の裏では、以下のようなことが行われているんです。

• あなたのスマホ（またはPC）が公開鍵と秘密鍵のペアを自動で作成します。
• 公開鍵だけがGmailのサーバーに送られます。
• 秘密鍵は、スマホ（またはPC）の中に安全に保管されます。

鍵とパスワードの違い

項目	パスワード	秘密鍵（パスキー）
作り方	自分で決める	端末が自動生成（人間が覚えなくていい）
覚える必要	ある	なし
保管場所	サーバーと端末	秘密鍵は端末だけに保存（サーバーには送られない）
流出の危険	サーバーが攻撃されると漏れることも	秘密鍵が漏れない限り安全
フィッシング対策	弱い	強い（偽サイトでは鍵が使えない）

そうなんです。あなた自身が「鍵を作った！」と意識してなくてもOKなんです。
裏ではスマホやPCがすべて自動でやってくれているんです。

はい、その通りです！
あなたが「パスキーを作る」ボタンを押して、画面の指示に従って認証（指紋や顔認証など）をすると、秘密鍵と公開鍵のペアを、自動で生成していることになるんです。

パスキーが設定されたPCで他人がログインは可能？

そうですよね。私もその疑問、持ちました。

でも大丈夫。違うんです。

基本的に他人のログインは不可

他の誰かがあなたのPCを使っても、簡単にはログインできません。
なぜなら、パスキーを使うには「本人確認」が必須だからです。

つまり、必ず 「秘密鍵＋本人確認」 のセットでないと動作しないため、他人が勝手にログインできる心配は基本的に ありません。

仮にPCにログインできたとしても、パスキーでの認証時に改めて認証を求められることが多いので安心です。
でも、PCに自由に他人がログインできる環境だと、いつパスキーが破られるかわからないので、最低限、PCにはロックをかけるようにしましょう。

安全に使うためのポイント

• パスキーを使う端末には「パスワード・PIN・生体認証」を設定する
• 他人と共有しない
• 不安なときは、https://g.co/passkeys からパスキーを削除・管理できる

PINコードは漏洩しない？

PINコードはたしかに短くて、パスワードより「簡単そう」に見えます。
でも、PINは、デバイスにひもづいているという点が、パスワードと大きく違って安全な点になります。

つまり、パスワードは、インターネット上のサービス（例：Gmail）に送信されるのに対して、PINコードは、ローカル（＝PCやスマホ内）だけで使われます。外に出ないから、ネット上で盗まれないんです。

ただ、そうは言っても単純な数字にするのは当然危険なので、「誰にも推測されない数字」にすることが大事です。4桁よりは6桁以上がおすすめですし、Windowsでは英数字混在も可能です。

漏洩したパスワードはどうなる？

Googleは、米国の60%以上の人がメール攻撃の標的になったと言いました。
そして、パスワードを強固にするよりも、パスキーを設定するように言いました。

じゃあ、今、私たちがみんなでパスキーを設定して使い始めたとして、すでに漏洩したパスワードはどうなるんでしょうか？漏洩していなかったとしても、今設定しているパスワードが今後漏洩する可能性は十分にあります。

パスワードはこれからどうなっていくんでしょうか？

結論から言うと、パスキーを設定しても、「パスワードでのログイン」は引き続き可能です。
つまり、誰かがあなたのGoogleアカウントのパスワードを知っていれば、パスキーなしでもログインできてしまいます。

なぜなら、Googleをはじめ多くのサービスは、まだ完全に「パスワード廃止」には踏み切っておらず、パスキーとパスワードを併用できる状態を基本としているからです。

いくらパスキーを設定したところで、パスワードはまだ使えるんです。

パスキーの設定はセキュリティ上無意味？

確かにパスキーは、複雑なパスワードを覚える必要がなくなって、ログインが簡単になるというメリットはあります。

でも今回は、Googleによる警鐘がきっかけでパスキーの設定をスタートした以上、セキュリティが強固になってくれないと困るわけです。

• パスキーを設定してもパスワードは使用可能
• 今設定しているパスワードは漏洩の可能性あり

となると、パスワードだけでやっていた時と何も変わらないような気がします。

じゃあ、どうしてGoogleは

なんて言ったんでしょうか？

パスキーの設定は、セキュリティ上、無意味なんでしょうか？？

本当にパスキーは無意味なのか？

確かにそれは、多くの人が感じるパスキー時代の「矛盾の本質」ともいえます。

でも、結論から言うと、パスワードが「まだ使える」からといって、パスキーに「意味がない」わけではありません。

パスキーには、パスワードと決定的に異なるセキュリティ構造があり、Googleのような大手サービスは、将来的に「パスワードを使わせない」設定を導入すると発表しています。
だからこそ、今のうちに、使う人から順にパスキーに移行することに価値があるのです。

パスキーの「意味」とは？

パスワードを使わずに済む手段としての意味

• 自分がログインする時にパスワードを打たないということは、パスワードがネット上に出ていくことがなくなるので、今後盗まれる機会が激減。
• フィッシングサイトではパスキーは機能しないので、騙されなくなる。

今後の完全パスワードレス社会への「橋渡し」としての意味

• サービス側（Googleなど）は、パスキー普及後に段階的に「パスワードの無効化」を始める準備中。
• ユーザーの多くがパスキーを使うようになれば、パスワードの使用は制限・廃止されていきます。
• パスキーは 、将来の完全移行を見据えた、現在の「安全な中間ステップ」の位置づけです。

すでにパスワードが漏洩している場合は、今後もそのパスワードを使われてしまいますので、今すぐ強固なパスワードに変更しましょう。そして、今後はパスキーを使ってパスワードがネット上に出ていかなくすれば、盗まれる可能性が激減します。

さらに、パスワードには、二段階認証も設定しておけばさらに安心です。

現時点での最善の対策は？

現時点での最善の対策は、「パスキー＋強固なパスワード＋2段階認証」です。

• パスキー設定
  パスワードを使わないログイン手段で安全性アップ
• 強固なパスワードへの変更
  すでに漏れている、もしくは推測されやすいパスワードを無効にする
• 2段階認証
  仮にパスワードが使われても防波堤になる

「強固なパスワード」を作るコツは？

強固なパスワードの3つの条件

強固なパスワードは、以下の条件を満たすのがいいとされています。

• 長さが十分ある（12文字以上）
• 文字の種類を混ぜる（英大文字・小文字・数字・記号）
• 意味のある単語や個人情報を使わない

自分で作るときのコツ

「覚えられるけど推測できない」がポイント！

（例）TksG@2025_mnLr!

この例の内訳

Tks →「Thanks」の略（自分だけにわかる）
G →「Google」などのサービス頭文字
@ → 記号
2025 → 現在の西暦
_mn → 自分しかわからない略語（例：MiddleName）
Lr! → ランダム文字＆記号で締める

おすすめパスワード管理ソフト

とは言っても、自分ですべてのパスワードを作成するのは至難の業です。

パスワード管理ソフトを使えば、

• 強固なパスワードを一発で作成
• どんなパスワードも、サイトごとに覚えてくれる

と、パスワードに関しての悩みがほぼなくなります。

私がもう７年以上愛用しているソフトはこちらのものになります。参考になさってください。

まとめ

パスキーは、「パスワードに代わる新しいログイン方法」として、これからますます広がっていく仕組みです。

最初は「なにそれ？」「パスワードと何が違うの？」と思っていましたが、実際に使ってみて、その仕組みやメリットを知ることで納得できました。

特に印象的だったのは、「秘密鍵は端末にだけ保存され、外に出ない」という点。
これにより、パスワードのようにフィッシングや漏洩で盗まれるリスクが大きく減るんですね。
「ネット上に出なければ盗まれない」というのは、確かにそうだな！と、目からウロコの思いでした。

とはいえ、現時点ではパスワードもまだ有効なログイン手段として残っており、「パスキーを設定したからもう大丈夫」とは言い切れません。
だからこそ、強固なパスワードに変更しておくことや、2段階認証を有効にすることも、今の時点では重要な防御策だと実感しました。

これから先、パスワードが完全に廃止される未来がやってくるかもしれません。
そのときに困らないように、今から少しずつパスキーに慣れておくのは、とても意味のある一歩だと思います。