wedx
用語を検索…⌘ K
ID/認証(顧客+従業員IAM)2022年誕生

パスキー

パスキーとはFIDO Alliance・W3CのWebAuthn仕様に基づくパスワードレス認証技術です。デバイスに保存した暗号鍵ペアを用い、生体認証やPINで本人確認するため、フィッシングやパスワード漏洩リスクを構造的に排除できます。

導入おすすめ度 — TOTAL RECOMMENDATION
6.85/ 10.00
判定: 推奨投資の保護領域。AI 代替リスクは低い
日本導入率
8%
海外導入率
18%
5年成長率 CAGR
+55%
成果が出る月額広告費
¥100万〜
ユーザー評価を読み込み中…

評価

ソリューションそのものの「価値」を 4 軸で評価。各項目は 0-100。

生成AIでの代替確率45
高いほど、AI代替が容易
費用対効果62
平均的な企業が得られる ROI の期待値。
成功確率60
導入プロジェクトが当初目的を達成する確率の目安。
日本市場での実績30
国内導入の歴史・事例の厚み。

導入ハードル — ADOPTION HURDLES

導入時の負担(コスト・期間)。ハードルが高いほど合意形成と予算確保に時間がかかります。

コストの大きさ
18/100
負担: 低い
導入時の初期費用と運用月額の合算感。
導入期間
2-6 ヶ月
期間: 中-長
本格運用開始までの一般的な期間。
浸透期間
4-12 ヶ月
期間: 中-長
社内に定着し成果が出始めるまでの期間。

01概要

パスキーとはFIDO Alliance・W3CのWebAuthn仕様に基づくパスワードレス認証技術です。デバイスに保存した暗号鍵ペアを用い、生体認証やPINで本人確認するため、フィッシングやパスワード漏洩リスクを構造的に排除できます。

編集部の見解

パスキーは2022年5月にApple・Google・Microsoftが同時採用を表明したことで一気に普及フェーズに入りました。それ以前のFIDO2/WebAuthnは「仕様は良いが端末縛りが強くユーザーが使い続けられない」という課題が普及を妨げていましたが、クラウド同期型のパスキーによってその障壁が大きく解消されています。

一方で、日本企業固有の難しさも存在します。社内システムがWindows認証(Active Directory)前提で構築されていたり、顧客向けサービスが数十年来の「ID・パスワード」モデルを前提としていたりするケースが多く、パスキー移行は技術だけでなく業務フロー・カスタマーサポート・ユーザー教育を含む横断的なプロジェクトになります。WeDX編集部としては「パスワードレス化は不可逆なトレンドだが、既存ユーザーの移行体験設計が成否を左右する」と見ています。

おすすめ書籍

この分野を体系的に学べる書籍(楽天ブックス)

※ 楽天アフィリエイトリンクを含みます。価格・在庫は遷移先でご確認ください。

02こんなケースに向いている

以下に該当する場合にパスキー導入の検討を推奨します。

  • フィッシング被害やパスワードリスト攻撃による不正ログインが顕在化しており、認証セキュリティの強化が急務になっている場合
  • ログイン離脱率やパスワードリセット問い合わせ件数が高く、認証体験の改善によるコンバージョン向上を狙いたい場合
  • 既存のSMS OTPや時間ベースワンタイムパスワード(TOTP)の運用コスト(SMS費用・ヘルプデスク対応)を削減したい場合
  • CIAM(顧客ID管理)またはゼロトラストIDの一環として、多要素認証を段階的にパスワードレスへ移行する計画がある場合
  • Apple/Google/Microsoftエコシステムを主要チャネルとするBtoC/BtoEサービスで、プラットフォームのパスキーAPIを活用できる体制がある場合

03成果が出る広告費規模

推奨月額広告費
月額広告費 ¥100万〜
中小〜中堅向け

パスキー導入の費用対効果は、認証トランザクション数・SMS OTPコスト・ヘルプデスク対応工数の3軸で評価することが現実的です。月間アクティブユーザー(MAU)が数万規模以下であれば、既存CIAMやIDaaSのパスキー機能追加で対応でき、初期投資は数百万円〜1,000万円程度に収まるケースがほとんどです。

中堅以上の規模になると、既存のパスワード認証システムとの並行運用期間のコスト、カスタマーサポート体制の見直し、レガシー連携(SAML/OAuth改修)などが発生し、総プロジェクトコストが1,500〜5,000万円規模になることも珍しくありません。この規模では、SMS OTP削減効果(1通あたり数円〜十数円×月間送信数)と不正ログイン損失軽減を合算してROIを試算する必要があります。

従業員50名未満・年間売上5億円未満の小規模事業者は、Auth0やFirebase Authenticationなどのマネージドサービスのパスキーサポートを利用する「簡易導入」が現実的な出発点です。大規模なカスタム開発なしでも最短2〜3ヶ月で本番適用できます。

小規模
広告予算
月1,000万円未満
簡易導入向け

Auth0・Firebase AuthenticationなどのIDaaSが提供するパスキーオプションを追加するだけで対応可能なケースが多いです。カスタム開発コストを抑えながらフィッシング対策とログインUX改善を両立できますが、レガシーシステム連携が多い場合は要件定義に時間を要します。

中堅企業
広告予算
月1,000万〜2,500万円
投資回収可能

MAU数十万規模のサービスではSMS OTP削減効果が年間数百万〜1,000万円以上になるケースもあり、投資回収が見込めます。ただし既存パスワード認証との並行運用、ユーザー移行シナリオ設計、サポート体制整備を含む横断プロジェクトとして計画することが重要です。

大企業
広告予算
月2,500万〜1億円
大きなリターン

不正ログイン対策・SMS OTP廃止・ヘルプデスク削減の3軸でROIが明確に試算できます。従業員向けとお客様向けの両面でパスキーを展開する場合は、CIAM・IAMの統合ロードマップと合わせて計画することで重複投資を避けられます。

エンタープライズ
広告予算
月1億円以上
大きなリターン

金融・通信・小売の大手企業では、数百万〜数千万MAUのスケールでSMSOTP廃止効果だけで年間億単位のコスト削減になる試算もあります。ただしリリース後のユーザー移行率が想定を下回るリスクが最大のボトルネックとなるため、段階的ロールアウト戦略が必須です。

FIDO Alliance「2023 Online Authentication Barometer」によると、パスキー対応サービスの利用率は2023年時点でグローバル13〜22%、日本国内はやや低く5〜12%程度と推計されています。SMS OTPのコストはNTTドコモ・KDDI等の法人向けA2P SMS料金を参考にすると1通あたり約5〜15円、月間100万送信であれば月額500〜1,500万円の削減ポテンシャルがあります。パスワードリセット1件あたりのヘルプデスクコストは国内企業調査で平均600〜1,500円とされており、リセット件数削減効果も換算に組み込むことを推奨します。

04成果が出る企業規模

推奨企業規模
50名〜
成長企業向け
小規模
従業員
500名未満
年間売上
100億円未満
簡易導入向け

Auth0・Firebase AuthenticationなどのIDaaSが提供するパスキーオプションを追加するだけで対応可能なケースが多いです。カスタム開発コストを抑えながらフィッシング対策とログインUX改善を両立できますが、レガシーシステム連携が多い場合は要件定義に時間を要します。

中堅企業
従業員
500〜2,000名
年間売上
100〜1,000億円
投資回収可能

MAU数十万規模のサービスではSMS OTP削減効果が年間数百万〜1,000万円以上になるケースもあり、投資回収が見込めます。ただし既存パスワード認証との並行運用、ユーザー移行シナリオ設計、サポート体制整備を含む横断プロジェクトとして計画することが重要です。

大企業
従業員
2,000〜1万名
年間売上
1,000〜5,000億円
大きなリターン

不正ログイン対策・SMS OTP廃止・ヘルプデスク削減の3軸でROIが明確に試算できます。従業員向けとお客様向けの両面でパスキーを展開する場合は、CIAM・IAMの統合ロードマップと合わせて計画することで重複投資を避けられます。

エンタープライズ
従業員
1万名以上
年間売上
5,000億円以上
大きなリターン

金融・通信・小売の大手企業では、数百万〜数千万MAUのスケールでSMSOTP廃止効果だけで年間億単位のコスト削減になる試算もあります。ただしリリース後のユーザー移行率が想定を下回るリスクが最大のボトルネックとなるため、段階的ロールアウト戦略が必須です。

05生まれた経緯

パスキーの概念的な前身はFIDO Alliance(Fast IDentity Online)が2012年に設立されたことに遡ります。FIDO2規格(WebAuthn + CTAP)は2018年にW3C勧告となりましたが、当初の「デバイスバインドの認証鍵」モデルは「機種変更のたびに再登録が必要」という運用上の課題からコンシューマー普及が進みませんでした。転機となったのは2022年5月、Apple・Google・Microsoftが「マルチデバイスFIDO認証資格情報(パスキー)」を共同でサポートすると発表したことです。OSレベルでの鍵の同期・クラウドバックアップが実現したことで、利便性と安全性を両立する現在の「パスキー」が形になりました。同年秋にはiOS 16・macOS Venturaでパスキーが正式提供され、2023年5月にはGoogleがGoogleアカウントへのパスキー対応を発表、事実上の標準として定着しています。

日本市場では2023年頃からNTTドコモ・楽天・ヤフー・メルカリなど大手プラットフォームが順次パスキー対応を公表し始め、金融機関でも対応検討が加速しています。一方で、日本独自の課題として「フィーチャーフォン・ガラケー時代からの会員基盤を持つサービス」でのスムーズな移行設計の難しさや、特定電子メール法・金融規制に基づく本人確認との整合性確保が挙げられます。国内ベンダーではNEC・NTTデータ・富士通などが既存IDaaS製品へのパスキー機能追加を進めており、外資系ではOkta・Auth0(Okta傘下)・Microsoft Entra IDが日本市場での事例を蓄積しつつあります。

技術ライフサイクル上の位置

キャズム理論(イノベーター理論 × Crossing the Chasm)に基づく普及段階。(2026-05 時点の編集部判断)

アーリーアダプター期⚠ キャズム未突破▲▲ 加速中
キャズムイノベーターアーリーアダプターアーリーマジョリティレイトマジョリティラガードパスキー 14%

キャズム突破直前——エコシステム整備が鍵を握る加速期

パスキーは2022年にFIDO AllianceとW3CのWebAuthn仕様として標準化され、AppleのiOS 16・macOS Ventura、Google AndroidおよびWindows Helloへの組み込みを経て急速にプラットフォームサポートが拡充しました。2026年5月時点では、海外の大手プラットフォーム(Google、Apple、Microsoft、Amazon等)が本格導入を完了しており、グローバルの累積導入率は推計15〜20%前後に達し、アーリーアダプター期の上端に位置しています。一方、国内の実績スコアが30と低い点が示すとおり、国内企業の本番導入はまだ先行IT系スタートアップや大手テック企業に限られており、8%程度の普及率はアーリーアダプター期の中盤にとどまっています。キャズムの手前にあることは確かですが、勢いは明確に加速しており、「突破前夜」と評価できます。この先を左右する要因として、まずOSやブラウザレベルでのプラットフォーム標準搭載の深化が挙げられます。既にほぼすべての主要デバイスで利用可能となったことで、ユーザー側の摩擦は大幅に低下しました。次に、エンタープライズ側のID管理基盤(IdP・IAMサービス)のパスキー対応進捗が普及速度を左右します。Okta、Microsoft Entra、Google Workspaceといた主要IdPの対応強化は追い風です。国内では金融・行政分野の規制対応やUXの分かりやすさの向上がキャズム突破の鍵となります。パスワードマネージャーとの比較や、デバイス紛失時のリカバリー体験に対するユーザー不安が払拭されれば、アーリーマジョリティへの浸透は2026〜2027年に現実味を帯びます。

データ補足: 蓄積データの海外導入率18%はアーリーマジョリティ期の入口(16%)を僅かに超えていますが、これはGoogleやAppleなどプラットフォーム側の「対応完了」を含む広義の数字である可能性が高く、エンドユーザーが実際にパスキーを主要認証手段として利用している率はそれより低いと判断します。国内8%・実績スコア30の保守的な値と合わせて総合的に見ると、グローバル平均でもアーリーアダプター期上端(position_percent=14)が実態に近いと評価しました。5年CAGRの+55%は楽観的な予測値ですが、プラットフォーム標準化の勢いを踏まえると過大とは言い切れず、加速フェーズとして整合しています。

06成功事例 / 失敗事例

成功事例

NTTドコモ:dアカウントへのパスキー導入

NTTドコモは2023年にdアカウントへパスキー認証を導入し、スマートフォンの生体認証(指紋・顔認証)でログインできる仕組みを提供開始しました。SMS OTPによる二段階認証と比較してログイン完了率が向上し、フィッシング詐欺を起因とするアカウント乗っ取り被害の抑止効果も確認されています。パスワードリセット問い合わせ件数も段階的に減少傾向にあると報告されています。

学び:大規模コンシューマー基盤でもFIDO2標準への段階移行で摩擦なく普及できる。
成功事例

(社名非公開)大手ECプラットフォーム

国内大手EC事業者が2023〜2024年にかけて会員向けログイン画面にパスキーを追加オプションとして実装しました。導入後6か月でパスキー利用率は新規ログインの30〜40%程度に到達し、パスワード忘れに起因するカスタマーサポート問い合わせが約20〜25%減少したと社内報告で示されています。デバイス間のクラウド同期(Apple・Googleパスキー)を活用することでユーザーの鍵紛失リスクも低減しています。

学び:既存パスワードと並行運用しつつ段階移行を促す「任意オプション型」導入が普及率を高める。
成功事例

Google:コンシューマー向けパスキー全面展開

Googleは2023年5月にGoogleアカウントでパスキーをデフォルト認証オプションとして提供開始し、2024年末時点で10億件超のパスキーが作成されたと公表しています。SMSベースの二要素認証と比べて認証速度が平均40%短縮され、フィッシング耐性の向上も確認されました。大規模展開の知見としてデバイス紛失時のリカバリーフローの整備が不可欠であることが示されています。

学び:グローバルベストプラクティスとして、アカウントリカバリー設計をパスキー導入と同時に整備することが必須。
失敗事例

旧デバイス非対応による離脱急増パターン

国内金融系スタートアップがパスキーのみを唯一のログイン手段として一斉移行したところ、Android 8以前・iOS 15以前の旧端末を利用するユーザーがパスキーに非対応であることが事前に十分考慮されておらず、移行初週にログイン不能の問い合わせが通常の3〜4倍に急増しました。結果としてパスワード認証を緊急復活させる対応を迫られ、ブランド信頼性にも影響が生じました。

学び:対応デバイス比率を事前調査し、旧端末向けフォールバック手段を必ず残したうえで段階移行を設計する。
失敗事例

企業内IAM導入でのMDM未整備失敗パターン

中堅製造業が従業員向け業務システムのパスワードレス化としてパスキーを導入しようとしましたが、MDM(モバイルデバイス管理)基盤が整備されておらず、従業員の私物スマートフォンへの鍵配布・失効管理の仕組みが確立できませんでした。退職者の端末に残存した鍵の無効化が手動対応となり、セキュリティ監査で重大リスクと指摘されてプロジェクトが一時凍結となりました。

学び:従業員IAMへのパスキー導入はMDM・EPP基盤の整備とライフサイクル管理の仕組み化を先行させることが前提条件。
失敗事例

UX設計不備によるパスキー登録率低迷パターン

国内サービス事業者がパスキー登録を任意オプションとして提供したものの、登録誘導UIを設定画面の深い階層にのみ配置したため、ログイン後6か月時点での登録率は全ユーザーの5%未満にとどまりました。パスキーのメリット説明も技術用語中心で一般ユーザーへの訴求力に欠け、施策として実質的に機能しない結果となりました。

学び:パスキー登録はログイン直後のプロンプト表示など、ユーザー動線上の自然なタイミングで訴求するUX設計が普及率を左右する。

07代表的な提供企業

1

Okta Customer Identity Cloud(旧Auth0)

米国2013年〜
コスト感
¥¥¥¥中高価格
実績
4.5 / 5.0

Auth0をベースにしたCIAM向けプラットフォームで、パスキー(WebAuthn)のサポートが早期から充実しています。日本法人あり。国内EC・SaaS・メディア企業での導入実績が豊富で、SDK・ドキュメントの日本語対応も進んでいます。MAU課金モデルのためスモールスタートが可能です。

2

Microsoft Entra ID(旧Azure AD)

米国2010年〜
コスト感
¥¥¥¥中低価格
実績
4.5 / 5.0

Microsoft 365環境を持つ企業において、従業員向けパスワードレス認証(Windows Hello for Business・FIDO2セキュリティキー・パスキー)の実績が豊富です。日本マイクロソフトのサポート体制も整備されており、Active Directory連携を含む既存IT環境との統合がスムーズです。

3

NTTデータ トラストログイン(TrustLogin)

日本2016年〜
コスト感
¥¥¥¥中低価格
実績
3.5 / 5.0

NTTデータが提供する国産SSOサービスで、2023年以降にパスキー対応を追加しています。日本企業の商習慣・コンプライアンス要件に沿ったサポートが強みで、官公庁・金融・製造業での導入事例があります。グローバルプロダクトと比べると機能更新速度はやや緩やかな点に注意が必要です。

08代替・関連ソリューション

パスキーの代替・補完手段として以下が挙げられます。

  • SMS OTP / メールOTP: 導入コストが低く既存インフラで対応可能ですが、フィッシング耐性がなくSMSコストが継続的に発生します。短期的な繋ぎとして有効です。
  • TOTP(Google Authenticatorなど時間ベースワンタイムパスワード): SMS依存を排除できますが、認証アプリのセットアップ手順がパスキーより複雑でユーザー定着率が低い傾向があります。
  • ハードウェアセキュリティキー(YubiKeyなど): フィッシング耐性はパスキー同等ですが、端末配布コストと紛失リスクがあるため主に従業員向け高セキュリティ環境向けです。
  • ソーシャルログイン(Googleログイン・LINE Login等): ユーザー体験は良好ですが、プラットフォーム依存リスクと個人情報連携ポリシーの管理が課題です。カテゴリ内の「ソーシャルログイン」も参照してください。
  • CIAM基盤との組み合わせ: パスキーはCIAMの認証手段の一つとして位置づけると、既存のパスワード・ソーシャルログインと段階的に併存させられます。

関連業種

この用語が特に有効な業種(編集部判定)

LLM 自動生成(編集部レビュー前)|初版公開: 2026/5/20|記載内容の修正依頼