小規模
- 広告予算
- 月1,000万円未満
簡易導入向け
Auth0・Firebase AuthenticationなどのIDaaSが提供するパスキーオプションを追加するだけで対応可能なケースが多いです。カスタム開発コストを抑えながらフィッシング対策とログインUX改善を両立できますが、レガシーシステム連携が多い場合は要件定義に時間を要します。
ID/認証(顧客+従業員IAM)2022年誕生
パスキー
パスキーとはFIDO Alliance・W3CのWebAuthn仕様に基づくパスワードレス認証技術です。デバイスに保存した暗号鍵ペアを用い、生体認証やPINで本人確認するため、フィッシングやパスワード漏洩リスクを構造的に排除できます。
導入おすすめ度 — TOTAL RECOMMENDATION
6.85/ 10.00
●判定: 推奨 — 投資の保護領域。AI 代替リスクは低い
日本導入率
8%
海外導入率
18%
5年成長率 CAGR
+55%
成果が出る月額広告費
¥100万〜
評価
ソリューションそのものの「価値」を 4 軸で評価。各項目は 0-100。
生成AIでの代替確率45
高いほど、AI代替が容易
費用対効果62
平均的な企業が得られる ROI の期待値。
成功確率60
導入プロジェクトが当初目的を達成する確率の目安。
日本市場での実績30
国内導入の歴史・事例の厚み。
導入ハードル — ADOPTION HURDLES
導入時の負担(コスト・期間)。ハードルが高いほど合意形成と予算確保に時間がかかります。
コストの大きさ
18/100
負担: 低い
導入時の初期費用と運用月額の合算感。
導入期間
2-6 ヶ月
期間: 中-長
本格運用開始までの一般的な期間。
浸透期間
4-12 ヶ月
期間: 中-長
社内に定着し成果が出始めるまでの期間。
01概要
パスキーとはFIDO Alliance・W3CのWebAuthn仕様に基づくパスワードレス認証技術です。デバイスに保存した暗号鍵ペアを用い、生体認証やPINで本人確認するため、フィッシングやパスワード漏洩リスクを構造的に排除できます。
編集部の見解
パスキーは2022年5月にApple・Google・Microsoftが同時採用を表明したことで一気に普及フェーズに入りました。それ以前のFIDO2/WebAuthnは「仕様は良いが端末縛りが強くユーザーが使い続けられない」という課題が普及を妨げていましたが、クラウド同期型のパスキーによってその障壁が大きく解消されています。
一方で、日本企業固有の難しさも存在します。社内システムがWindows認証(Active Directory)前提で構築されていたり、顧客向けサービスが数十年来の「ID・パスワード」モデルを前提としていたりするケースが多く、パスキー移行は技術だけでなく業務フロー・カスタマーサポート・ユーザー教育を含む横断的なプロジェクトになります。WeDX編集部としては「パスワードレス化は不可逆なトレンドだが、既存ユーザーの移行体験設計が成否を左右する」と見ています。
02こんなケースに向いている
以下に該当する場合にパスキー導入の検討を推奨します。
- フィッシング被害やパスワードリスト攻撃による不正ログインが顕在化しており、認証セキュリティの強化が急務になっている場合
- ログイン離脱率やパスワードリセット問い合わせ件数が高く、認証体験の改善によるコンバージョン向上を狙いたい場合
- 既存のSMS OTPや時間ベースワンタイムパスワード(TOTP)の運用コスト(SMS費用・ヘルプデスク対応)を削減したい場合
- CIAM(顧客ID管理)またはゼロトラストIDの一環として、多要素認証を段階的にパスワードレスへ移行する計画がある場合
- Apple/Google/Microsoftエコシステムを主要チャネルとするBtoC/BtoEサービスで、プラットフォームのパスキーAPIを活用できる体制がある場合
03成果が出る広告費規模
推奨月額広告費
月額広告費 ¥100万〜
中小〜中堅向け
パスキー導入の費用対効果は、認証トランザクション数・SMS OTPコスト・ヘルプデスク対応工数の3軸で評価することが現実的です。月間アクティブユーザー(MAU)が数万規模以下であれば、既存CIAMやIDaaSのパスキー機能追加で対応でき、初期投資は数百万円〜1,000万円程度に収まるケースがほとんどです。
中堅以上の規模になると、既存のパスワード認証システムとの並行運用期間のコスト、カスタマーサポート体制の見直し、レガシー連携(SAML/OAuth改修)などが発生し、総プロジェクトコストが1,500〜5,000万円規模になることも珍しくありません。この規模では、SMS OTP削減効果(1通あたり数円〜十数円×月間送信数)と不正ログイン損失軽減を合算してROIを試算する必要があります。
従業員50名未満・年間売上5億円未満の小規模事業者は、Auth0やFirebase Authenticationなどのマネージドサービスのパスキーサポートを利用する「簡易導入」が現実的な出発点です。大規模なカスタム開発なしでも最短2〜3ヶ月で本番適用できます。
中堅企業
- 広告予算
- 月1,000万〜2,500万円
投資回収可能
MAU数十万規模のサービスではSMS OTP削減効果が年間数百万〜1,000万円以上になるケースもあり、投資回収が見込めます。ただし既存パスワード認証との並行運用、ユーザー移行シナリオ設計、サポート体制整備を含む横断プロジェクトとして計画することが重要です。
大企業
- 広告予算
- 月2,500万〜1億円
大きなリターン
不正ログイン対策・SMS OTP廃止・ヘルプデスク削減の3軸でROIが明確に試算できます。従業員向けとお客様向けの両面でパスキーを展開する場合は、CIAM・IAMの統合ロードマップと合わせて計画することで重複投資を避けられます。
エンタープライズ
- 広告予算
- 月1億円以上
大きなリターン
金融・通信・小売の大手企業では、数百万〜数千万MAUのスケールでSMSOTP廃止効果だけで年間億単位のコスト削減になる試算もあります。ただしリリース後のユーザー移行率が想定を下回るリスクが最大のボトルネックとなるため、段階的ロールアウト戦略が必須です。
FIDO Alliance「2023 Online Authentication Barometer」によると、パスキー対応サービスの利用率は2023年時点でグローバル13〜22%、日本国内はやや低く5〜12%程度と推計されています。SMS OTPのコストはNTTドコモ・KDDI等の法人向けA2P SMS料金を参考にすると1通あたり約5〜15円、月間100万送信であれば月額500〜1,500万円の削減ポテンシャルがあります。パスワードリセット1件あたりのヘルプデスクコストは国内企業調査で平均600〜1,500円とされており、リセット件数削減効果も換算に組み込むことを推奨します。
04成果が出る企業規模
推奨企業規模
50名〜
成長企業向け
小規模
- 従業員
- 500名未満
- 年間売上
- 100億円未満
簡易導入向け
Auth0・Firebase AuthenticationなどのIDaaSが提供するパスキーオプションを追加するだけで対応可能なケースが多いです。カスタム開発コストを抑えながらフィッシング対策とログインUX改善を両立できますが、レガシーシステム連携が多い場合は要件定義に時間を要します。
中堅企業
- 従業員
- 500〜2,000名
- 年間売上
- 100〜1,000億円
投資回収可能
MAU数十万規模のサービスではSMS OTP削減効果が年間数百万〜1,000万円以上になるケースもあり、投資回収が見込めます。ただし既存パスワード認証との並行運用、ユーザー移行シナリオ設計、サポート体制整備を含む横断プロジェクトとして計画することが重要です。
大企業
- 従業員
- 2,000〜1万名
- 年間売上
- 1,000〜5,000億円
大きなリターン
不正ログイン対策・SMS OTP廃止・ヘルプデスク削減の3軸でROIが明確に試算できます。従業員向けとお客様向けの両面でパスキーを展開する場合は、CIAM・IAMの統合ロードマップと合わせて計画することで重複投資を避けられます。
エンタープライズ
- 従業員
- 1万名以上
- 年間売上
- 5,000億円以上
大きなリターン
金融・通信・小売の大手企業では、数百万〜数千万MAUのスケールでSMSOTP廃止効果だけで年間億単位のコスト削減になる試算もあります。ただしリリース後のユーザー移行率が想定を下回るリスクが最大のボトルネックとなるため、段階的ロールアウト戦略が必須です。
05生まれた経緯
パスキーの概念的な前身はFIDO Alliance(Fast IDentity Online)が2012年に設立されたことに遡ります。FIDO2規格(WebAuthn + CTAP)は2018年にW3C勧告となりましたが、当初の「デバイスバインドの認証鍵」モデルは「機種変更のたびに再登録が必要」という運用上の課題からコンシューマー普及が進みませんでした。転機となったのは2022年5月、Apple・Google・Microsoftが「マルチデバイスFIDO認証資格情報(パスキー)」を共同でサポートすると発表したことです。OSレベルでの鍵の同期・クラウドバックアップが実現したことで、利便性と安全性を両立する現在の「パスキー」が形になりました。同年秋にはiOS 16・macOS Venturaでパスキーが正式提供され、2023年5月にはGoogleがGoogleアカウントへのパスキー対応を発表、事実上の標準として定着しています。
日本市場では2023年頃からNTTドコモ・楽天・ヤフー・メルカリなど大手プラットフォームが順次パスキー対応を公表し始め、金融機関でも対応検討が加速しています。一方で、日本独自の課題として「フィーチャーフォン・ガラケー時代からの会員基盤を持つサービス」でのスムーズな移行設計の難しさや、特定電子メール法・金融規制に基づく本人確認との整合性確保が挙げられます。国内ベンダーではNEC・NTTデータ・富士通などが既存IDaaS製品へのパスキー機能追加を進めており、外資系ではOkta・Auth0(Okta傘下)・Microsoft Entra IDが日本市場での事例を蓄積しつつあります。
技術ライフサイクル上の位置
キャズム理論(イノベーター理論 × Crossing the Chasm)に基づく普及段階。(2026-05 時点の編集部判断)
アーリーアダプター期⚠ キャズム未突破▲▲ 加速中
キャズム突破直前——エコシステム整備が鍵を握る加速期
パスキーは2022年にFIDO AllianceとW3CのWebAuthn仕様として標準化され、AppleのiOS 16・macOS Ventura、Google AndroidおよびWindows Helloへの組み込みを経て急速にプラットフォームサポートが拡充しました。2026年5月時点では、海外の大手プラットフォーム(Google、Apple、Microsoft、Amazon等)が本格導入を完了しており、グローバルの累積導入率は推計15〜20%前後に達し、アーリーアダプター期の上端に位置しています。一方、国内の実績スコアが30と低い点が示すとおり、国内企業の本番導入はまだ先行IT系スタートアップや大手テック企業に限られており、8%程度の普及率はアーリーアダプター期の中盤にとどまっています。キャズムの手前にあることは確かですが、勢いは明確に加速しており、「突破前夜」と評価できます。この先を左右する要因として、まずOSやブラウザレベルでのプラットフォーム標準搭載の深化が挙げられます。既にほぼすべての主要デバイスで利用可能となったことで、ユーザー側の摩擦は大幅に低下しました。次に、エンタープライズ側のID管理基盤(IdP・IAMサービス)のパスキー対応進捗が普及速度を左右します。Okta、Microsoft Entra、Google Workspaceといた主要IdPの対応強化は追い風です。国内では金融・行政分野の規制対応やUXの分かりやすさの向上がキャズム突破の鍵となります。パスワードマネージャーとの比較や、デバイス紛失時のリカバリー体験に対するユーザー不安が払拭されれば、アーリーマジョリティへの浸透は2026〜2027年に現実味を帯びます。
データ補足: 蓄積データの海外導入率18%はアーリーマジョリティ期の入口(16%)を僅かに超えていますが、これはGoogleやAppleなどプラットフォーム側の「対応完了」を含む広義の数字である可能性が高く、エンドユーザーが実際にパスキーを主要認証手段として利用している率はそれより低いと判断します。国内8%・実績スコア30の保守的な値と合わせて総合的に見ると、グローバル平均でもアーリーアダプター期上端(position_percent=14)が実態に近いと評価しました。5年CAGRの+55%は楽観的な予測値ですが、プラットフォーム標準化の勢いを踏まえると過大とは言い切れず、加速フェーズとして整合しています。
06成功事例 / 失敗事例
メルカリ: パスワードレス認証への移行
メルカリは2023年にパスキー対応を公開し、既存のSMS OTP認証とのハイブリッド運用からパスキーへの段階的移行を推進しました。公開情報によると、パスキー登録ユーザーのログイン成功率がSMS OTPより向上し、ログイン所要時間の短縮によるUX改善効果が確認されています。サポートコスト削減および不正ログイン件数の低減についても社内指標で改善が見られたと報告されています。
学び:主要プラットフォームのAPI活用と段階的移行設計が普及率向上の鍵
(社名非公開) 大手通販EC: SMS廃止でコスト削減
国内大手通販ECがMAU約200万のサービスでSMS OTPをパスキーに置き換えるプロジェクトを実施。移行後12ヶ月でパスキー登録率は登録済みユーザーの約35%に達し、月間SMS送信数が約40%削減されました。ヘルプデスクへのパスワードリセット問い合わせも年間換算で約25%減少、SMS費用削減効果だけで年間約600〜800万円相当のコスト削減を実現したとされています。
学び:SMS削減と不正ログイン対策の両面でROI試算を事前に行い経営承認を得ることが重要
Google: パスキーへのグローバル展開
Googleは2023年5月にGoogleアカウントへのパスキー対応を発表し、2023年10月にはデフォルト認証手段としてパスキーを優先するよう変更しました。Googleの公開データによると、パスキーはSMS OTPと比較して認証速度が約2倍速く、セキュリティキー使用時と比べてもユーザー完了率が高いとされています。グローバルで数十億ユーザーへの展開実績は、パスキーのスケーラビリティを実証した最大の事例です。
学び:プラットフォーム標準としての位置づけが普及の最大加速要因
(社名非公開) 大手小売: 移行率低迷で効果限定的
国内大手小売チェーンがアプリログインへのパスキー導入を試みたものの、ローンチから6ヶ月でパスキー登録率が全ユーザーの8%にとどまり、当初計画の30%を大幅に下回りました。主因は「パスキーとは何か」をユーザーに説明するオンボーディング設計の不備と、Android旧端末(OS 8以前)への非対応による対象外ユーザーの多さにありました。SMSコスト削減効果も見込みの1割程度にとどまり、プロジェクト継続を縮小する判断がなされています。
学び:ユーザー教育・対応端末の事前調査・段階的移行計画がなければ移行率は想定を大きく下回る
(社名非公開) 金融機関: 規制対応で開発が長期化
国内地方銀行がインターネットバンキングへのパスキー導入を計画したところ、金融庁ガイドライン上の本人確認要件(電子署名・本人確認書類との連携)とFIDO2標準の実装方法の整合性確保に想定以上の時間を要し、当初6ヶ月の計画が18ヶ月超に延長されました。特に「デバイス紛失時のアカウント回復フロー」が規制要件を満たす形で設計できず、法務・システム・業務の三部門調整に工数が集中しました。
学び:金融規制との整合性確認と回復フロー設計を最初期のスコープに含めることが必須
デバイス依存設計による社内展開の混乱
従業員向けゼロトラスト移行の一環としてパスキーを社内システム認証に採用した企業で、BYODポリシーの不備から個人デバイスの鍵が社内管理外になるケースが続出しました。退職者のデバイスに残存するパスキーをリモートで無効化する手順が整備されておらず、セキュリティ監査で指摘を受けた事例です。MDM(モバイルデバイス管理)との統合設計と鍵失効ポリシーが後付けになったことが根本原因でした。
学び:デバイス管理ポリシー・MDM連携・鍵失効フローはパスキー設計と同時に策定することが不可欠
07代表的な提供企業
1
Okta Customer Identity Cloud(旧Auth0)
米国2013年〜
- コスト感
- ¥¥¥¥中高価格
- 実績
- 4.5 / 5.0
Auth0をベースにしたCIAM向けプラットフォームで、パスキー(WebAuthn)のサポートが早期から充実しています。日本法人あり。国内EC・SaaS・メディア企業での導入実績が豊富で、SDK・ドキュメントの日本語対応も進んでいます。MAU課金モデルのためスモールスタートが可能です。
2
Microsoft Entra ID(旧Azure AD)
米国2010年〜
- コスト感
- ¥¥¥¥中低価格
- 実績
- 4.5 / 5.0
Microsoft 365環境を持つ企業において、従業員向けパスワードレス認証(Windows Hello for Business・FIDO2セキュリティキー・パスキー)の実績が豊富です。日本マイクロソフトのサポート体制も整備されており、Active Directory連携を含む既存IT環境との統合がスムーズです。
3
NTTデータ トラストログイン(TrustLogin)
日本2016年〜
- コスト感
- ¥¥¥¥中低価格
- 実績
- 3.5 / 5.0
NTTデータが提供する国産SSOサービスで、2023年以降にパスキー対応を追加しています。日本企業の商習慣・コンプライアンス要件に沿ったサポートが強みで、官公庁・金融・製造業での導入事例があります。グローバルプロダクトと比べると機能更新速度はやや緩やかな点に注意が必要です。
08代替・関連ソリューション
パスキーの代替・補完手段として以下が挙げられます。
- SMS OTP / メールOTP: 導入コストが低く既存インフラで対応可能ですが、フィッシング耐性がなくSMSコストが継続的に発生します。短期的な繋ぎとして有効です。
- TOTP(Google Authenticatorなど時間ベースワンタイムパスワード): SMS依存を排除できますが、認証アプリのセットアップ手順がパスキーより複雑でユーザー定着率が低い傾向があります。
- ハードウェアセキュリティキー(YubiKeyなど): フィッシング耐性はパスキー同等ですが、端末配布コストと紛失リスクがあるため主に従業員向け高セキュリティ環境向けです。
- ソーシャルログイン(Googleログイン・LINE Login等): ユーザー体験は良好ですが、プラットフォーム依存リスクと個人情報連携ポリシーの管理が課題です。カテゴリ内の「ソーシャルログイン」も参照してください。
- CIAM基盤との組み合わせ: パスキーはCIAMの認証手段の一つとして位置づけると、既存のパスワード・ソーシャルログインと段階的に併存させられます。
関連業種
この用語が特に有効な業種(編集部判定)