パスキーのセキュリティとは？フィッシングに強い理由と導入時の注意点を徹底解説

パスキーのセキュリティは何が強いのか

パスワードや OTP と違い、偽画面へ秘密を入力させる前提を減らせます

パスキーのセキュリティを理解するには、まず従来の認証がどう破られるかを思い出す必要があります。パスワード、SMS 認証、メール OTP は、最終的に利用者が何かを入力したり転送したりする前提で成り立っています。攻撃者はその性質を利用して、偽ログイン画面、AiTM、callback phishing、ヘルプデスクなりすましで認証情報を抜き取ります。つまり従来認証の弱点は、秘密の値が人間の手で動くことです。

パスキーでは、秘密の値をそのまま利用者が読み上げたり、コピーしたり、再入力したりする場面を減らせます。FIDO Alliance が繰り返し説明しているとおり、passkey は偽サイトへそのまま持ち出せる固定 secret を前提にしないため、典型的なフィッシングに対して強くなります。ここが、既存の フィッシング対策とは？ や MFAプッシュ爆撃とは？ とつながるポイントです。人の注意力だけに頼らず、認証方式の前提から攻撃面を減らす方向へ寄せられます。

ただし、パスキーは「何も考えずに入れれば安全になる魔法の手段」ではありません。強いのは passkey そのものの性質であって、運用全体ではありません。端末紛失時の回復経路、例外アカウント、弱い fallback、管理者の break-glass 手順が残ると、攻撃者はそこを狙います。だから passkey の導入は、方式の置き換えだけでなく、弱い回復経路を減らす設計とセットで考える必要があります。

『MFA があるから十分』ではなく phishing-resistant かどうかを見てください

企業の認証設計では、「MFA を入れているから大丈夫」と考えがちです。しかし SMS OTP、メール OTP、push 通知だけの MFA は、依然として social engineering に弱い面があります。利用者がコードを読み上げたり、通知を許可したりする余地があるからです。NIST SP 800-63B でも、phishing-resistant authentication を区別して考える必要が示されています。

その意味でパスキーは、MFA の一種として雑に理解するより、偽サイトに秘密を入力しない前提へ寄せる認証と見た方が実務的です。既存の クレデンシャルスタッフィングとは？ や MFA未適用アカウントとは？ が示すように、攻撃者は常に弱い認証経路を狙います。passkey の価値は、その弱い経路を一部の高権限アカウントから先に減らせることにあります。

企業導入でつまずきやすいポイント

企業導入で最も多い失敗は、passkey を UI の改善案件のように扱うことです。利用者体験の向上は重要ですが、セキュリティ上の主眼は攻撃面を減らすことにあります。したがって、導入判断では「どの業務システムへ先に適用するか」「高権限アカウントをどう先行移行するか」「弱い fallback をいつまで残すか」を先に決める方が失敗しにくくなります。

もう一つ大きいのは端末対応差分です。会社貸与端末、BYOD、共有端末、VDI、業務ブラウザ制約など、実際の利用環境はきれいにそろっていません。ここを確認しないまま始めると、「一部の管理者だけは従来認証」「特定部門だけは SMS 例外」という運用が固定化しやすくなります。すると passkey の導入そのものは進んでいても、最も狙われやすい例外経路が残ることになります。

回復手段が弱いと、導入後も social engineering に負けます

セキュリティ上の本当の難所は、本人確認と回復手段です。端末を紛失した、社員が異動した、役員アカウントを引き継ぐ、という場面では必ず例外が発生します。このときに「ヘルプデスクへ電話すれば解除できる」「SMS へ戻せる」「メールリンクで再登録できる」といった弱い回復経路が残っていると、攻撃者はそこを狙います。つまり passkey 本体が強くても、回復手段が弱ければ全体としてはまだ弱いのです。

既存の コールバックフィッシングとは？ や BECとは？ が示すように、攻撃者は人を通じて例外を引き出します。passkey 導入では、本人確認の方法、ヘルプデスクの解除権限、管理者アカウントの回復フローまで含めて設計しなければ、狙われやすい穴は残ります。

高権限アカウントから先に入れる方が効果を感じやすいです

全社一斉導入が理想に見えても、実務では高権限アカウントから始めた方がよいケースが多いです。管理者、経理承認者、IdP 管理者、外部公開サービスの運用者など、攻撃者が乗っ取ると被害が大きい利用者層へ先に passkey を入れると、防御効果がはっきりします。そのうえで一般利用者へ広げる方が、例外経路の管理も整理しやすくなります。

逆に、一般利用者からだけ導入して管理者を後回しにすると、移行途中の長い期間、最も狙われるアカウントだけ古い認証が残ることがあります。導入順序は UX だけでなく、被害が大きいアカウントから攻撃面を減らす観点で決めるのが合理的です。

導入時に見落としやすい設計論点

パスキーの導入設計で見落としやすいのは、IdP 側のポリシーと業務アプリ側の認証フローが一致していないことです。SaaS では passkey を受け付けるが、自社アプリの一部は旧認証のまま、という状態は珍しくありません。この差分があると、利用者は複数の認証方式を覚え続ける必要があり、結局は弱い経路へ依存します。

また、端末貸与ポリシーがそろっていない組織では、passkey の保存先や共有端末の扱いも論点になります。共有端末や作業者交代が多い現場では、個人端末前提の設計をそのまま持ち込めません。だからこそ、導入記事ではなくセキュリティ記事として passkey を扱うときは、どの利用者類型へ、どの認証方式を、どの例外条件で許すかを明文化する必要があります。

FIDO Alliance の enterprise 向け資料でも、rollout は技術だけでなく運用・教育・回復手段を一体で考えるべきと整理されています。パスキーは方式として強くても、導入設計が曖昧だと「一部では使えるが、結局パスワードも残る」状態へ戻りがちです。強い方式を強いまま使うには、例外の期限と縮小計画まで先に決める必要があります。

認証導線の見直しを ASM診断 PRO で始めるなら

ASM診断 PRO は passkey 自体を発行したり、IdP の認証方式を直接制御したりする製品ではありません。ただ、passkey 導入で重要なのは「どの login page を先に置き換えるべきか」「どの古い認証面を残しているか」を把握することです。外から見える login page、管理画面、古いサポート導線が曖昧なままだと、導入しても弱い認証経路を閉じ切れません。

ASM診断 PRO を使って外部公開資産を棚卸しすると、passkey を優先導入すべき login surface を見つけやすくなります。たとえば、古い SSO 画面、ブランドごとに残ったログインページ、委託先が運用する管理画面、staging の認証導線などは、導入優先度を決める材料になります。つまり passkey のセキュリティは認証方式の話だけでなく、どの公開ログイン面を残しているかの話でもあります。

既存の 会社のログイン画面洗い出しとは？ や 管理画面・開発環境の露出リスクとは？ と合わせて読むと、passkey を導入すべき対象の洗い出しと、残してはいけない古い認証面の整理を一つの流れで考えられます。方式だけを強くするのではなく、公開ログイン面そのものを減らす観点があると、導入効果は大きくなります。

パスキーを入れて終わりにしないためには、外から見える認証導線を見続け、弱い fallback が残っていないかを確認する必要があります。ASM診断 PRO はその起点として、どの login page が今も公開されているかを整理しやすく、移行計画を現実の公開面へ落とし込みやすいです。まずは外から見える認証面をそろえ、どこから古い認証を縮小するかを決めてください。

よくある質問（FAQ）

パスキーを入れればフィッシング対策は終わりですか

いいえ。パスキーは強い方式ですが、弱い fallback、管理者例外、回復手段が残るとそこが狙われます。導入後の運用設計まで含めて考える必要があります。

SMS 認証やメール OTP はすぐ廃止すべきですか

一斉廃止が難しい場合もありますが、無期限で残すのは避けるべきです。残すなら対象、期限、代替手段を明確にし、段階的な縮小計画を持ってください。

高権限アカウントから先に導入する理由は何ですか

攻撃者が最も狙うのは被害を広げやすいアカウントだからです。管理者や承認者から先に passkey へ寄せると、防御効果が分かりやすくなります。

端末紛失時の回復手段で注意すべき点は何ですか

電話一本やメールリンクで簡単に戻せる運用は危険です。本人確認、承認者、再登録手順を事前に定義し、弱い回復経路を常設しないことが重要です。

どの記事と合わせて読むと理解しやすいですか

認証攻撃の背景は MFA未適用アカウント、MFAプッシュ爆撃、クレデンシャルスタッフィング、フィッシング対策 がつながります。

まとめ

パスキーのセキュリティを理解するうえで重要なのは、単なるログインの便利機能ではなく、偽ログイン画面へ秘密を持ち出しにくい認証方式だと捉えることです。パスワード、SMS、メール OTP が人の入力や転送を前提にするのに対し、パスキーはその前提自体を減らせます。そのため、フィッシングや認証情報使い回しに対して強い土台を作りやすくなります。

ただし、方式が強くても運用が弱ければ全体はまだ弱いです。端末紛失時の回復手段、管理者例外、無期限に残る旧認証、端末対応差分を放置すると、攻撃者は結局そこを狙います。だから passkey の導入では、高権限アカウントから優先し、回復 runbook と fallback 縮小計画を先に決める必要があります。導入でつまずく組織ほど、「どの login 面を先に置き換えるか」「どの弱い認証経路をいつ閉じるか」を明文化した方が前に進みます。

さらに、passkey の導入効果を高めるには、外から見える認証面そのものを見直すことが欠かせません。公開 login page、古い admin 画面、委託先の認証導線が残っていれば、強い方式を一部へ入れても攻撃面は残ります。方式の強さ、運用の強さ、公開面の整理、この三つをそろえて初めて、パスキーは実務のセキュリティ強化として機能します。まずは外から見える認証導線を洗い出し、どこから passkey へ寄せるべきかを確認するところから始めてください。