本記事はサービスの公式サイトへのリンクを含みます。表示内容・対応状況は本記事執筆時点(2026年5月)の情報のため、最新は各公式サイトをご確認ください。
「ログイン画面で “パスキーを使いますか?” って出るけど、よくわからないから無視してる」
「パスワードをいろんなサイトで使い回してる自覚はある。でも全部覚えられないし……」
「“パスワードのいらない時代”って聞くけど、本当にそんなことできるの?」
——その戸惑い、すごく自然なことです。パスキーは2026年になって急に身近になった新しい仕組みで、名前は見るけど中身はよくわからないという人がほとんどです。
でも、じつは——あなたもすでに“その入口”を使っているかもしれません。こんな場面に、心当たりはありませんか?
このうち1つでも「あ、やってるかも」と思ったら——それが、まさにパスキー(や、その仲間にあたる生体認証ログイン)です。むずかしく身がまえなくても、便利さの一部はもう体験ずみ。あとは「それが何なのか」を知るだけです。
この記事では、ITが得意でない人でも「パスキーって何で、なぜ使うと安全で、どう始めればいいか」がスッキリわかるように、専門用語をかみくだいて案内します。
細かい話の前に、いちばん大事な結論から。パスキーとは、パスワードの代わりにログインできる新しい仕組みです。指紋や顔認証、スマホのロック解除(暗証番号など)を使って、文字のパスワードを入力せずにログインできます。
Apple・Google・Microsoftの3社がそろって推進していて、2026年にはAmazon・メルカリ・Yahoo!・GitHubなど多くのサービスが対応済み。報道によると主要サービスのおよそ6割がすでにパスキーに対応しているとされています。「いつか来る未来」ではなく、もう始まっている話なんです。
やりがちなのは「新しい仕組み=難しそう」と身構えること。でもパスキーは覚えることが減って、むしろラクになる仕組みです。指紋や顔でピッと入れる——いつものスマホのロック解除と同じ感覚。新しく暗記するものは何もありません。
「今のパスワードのどこがダメなの?」——そんな疑問はもっともです。ここを理解すると、パスキーのありがたみが一気にわかります。パスワードには、構造的に3つの弱点があります。
つまりパスワードは「本人だけが知っている文字列」で守る仕組みなので、その文字列が誰かに知られた瞬間に破られるという宿命があります。漏えい・使い回し・偽サイト——どれも“知られてしまう”ことが原因です。
そして、この弱点を突く攻撃はいま過去最多のペースで増えています。「自分は気をつけているから大丈夫」——その油断が、いちばん狙われています。
📊 数字で見る、パスワードの限界(2026年最新)
出典:フィッシング対策協議会/日本クレジット協会/Okta Japan「Customer Identity Trends Report 2025」
とくに怖いのが「使い回し」を狙ったリスト型攻撃です。2025年には、闇市場で出回った30億件超のIDとパスワードを使い、機械的にログインを試して携帯回線が勝手に契約された事件も摘発されました。1か所の漏えいが、ドミノ倒しのように他のサービスまで巻き込む——これが、複雑なパスワードでも防ぎきれない理由です。
安心しがちなのが「複雑なパスワードにしてるから大丈夫」という考え。実はどんなに複雑でも、偽サイトに自分で入力したら一発でアウトです。強さより“どこで入力したか”が問題。自分のパスワードが過去に漏れていないかは、パスワード漏えいチェックの記事で確認できます。
ここがこの記事の山場です。でも、たとえ話で考えれば一瞬で腑に落ちます。パスキーは「鍵」と「錠前」の関係でできています。
パスキーを作ると、あなたのスマホの中に「鍵」が、ログインするサービス側に「錠前」が用意されます。ここが決定的に違うポイントです。
ログインのときは、スマホの中の鍵を「指紋や顔認証」で取り出して、錠前にカチッと合わせるイメージ。鍵そのものは一度もネットを流れないので、途中で盗まれることがありません。さらに、その鍵は「本物のサイトの錠前」にしか反応しないよう作られているので、偽サイトに出くわしても鍵が反応せず、被害が起きません。
心配されがちな「指紋や顔のデータがサービスに送られるんでしょ?」は、よくある誤解です。指紋・顔のデータはスマホの中だけで照合され、外には一切出ません。あくまで“スマホの中の鍵を取り出すための合言葉”として使われるだけ。生体情報がネットを流れることはないので安心してください。
仕組みがわかれば、メリットは自然と見えてきます。編集部が「これは大きい」と考える3つを紹介します。
鍵は「本物のサイト」にしか反応しません。偽サイトにうっかりアクセスしても、鍵が反応しないのでログイン情報を渡しようがありません。詐欺の“入力させて盗む”手口が根本から通用しなくなります。
🎣 関連記事:巧妙化するフィッシング詐欺の見抜き方 →サービス側にあるのは「錠前」だけ。万一サービスから情報が流出しても、そこに鍵は入っていないので、あなたのアカウントは破られません。実際、PayPalはパスキー導入後にアカウント乗っ取りが約70%減ったと公表しています。
🔎 関連記事:自分のパスワードが漏れていないか無料でチェック →長いパスワードを思い出して入力する必要がなし。指紋や顔でピッと一瞬。覚えることが減るので、「使い回し」も自然と卒業できます。
🗝️ 関連記事:使い回し卒業に役立つパスワード管理アプリ比較 →| 観点 | パスワード | パスキー |
|---|---|---|
| 偽サイトでの被害 | 入力すると盗まれる | 鍵が反応せず安全 |
| サービス漏えい時 | 破られる恐れ | 鍵は手元なので無事 |
| 使い回しリスク | あり(連鎖被害) | そもそも文字列なし |
| 覚える手間 | 全サイト分が必要 | 不要(指紋・顔) |
| ログインの速さ | 入力が必要 | 一瞬 |
📈 数字で見る、パスキーの効果
出典:Google/PayPal 公表データ(2025年)
一番刺さってほしいのは①です。フィッシング詐欺は年々巧妙になり、見た目だけで見抜くのは難しくなっています。手口を知りたい人はフィッシングの見抜き方もどうぞ。でもパスキーなら「見抜けなくても被害が出ない」——これが本質的な安心感です。
では実際の始め方です。むずかしくありません。大きな流れはこの3ステップだけです。
まずはGoogleやAmazon、メルカリなど、よく使うサービスにいつものパスワードでログインします。
「セキュリティ」や「ログイン方法」の設定の中に「パスキーを作成/設定する」という項目があります。これをタップ。
スマホのロック解除と同じ操作(指紋・顔・暗証番号)をするだけ。これで鍵がスマホに保存され、次回から指紋や顔でログインできます。
iPhoneなら「iCloudキーチェーン」、Androidなら「Googleパスワードマネージャー」が、作ったパスキーを自動で安全に同期してくれます。だから機種変更しても、同じApple ID/Googleアカウントでログインすれば、パスキーは引き継がれます。
⚠️ 「スマホをなくしたらログインできなくなる?」への備えが大事。パスキーはクラウド同期されるので新しい端末に引き継げますが、念のため①パスワードでのログインも残しておく ②2台目の端末や家族の端末でもログインできるようにしておくと安心です。いきなり全部をパスキーだけにせず、少しずつ移行するのがおすすめです。
最初から全サービスをパスキーにしようとすると挫折します。コツは「いちばん大事な1つ」から始めること。GoogleかApple IDか、お金に関わるサービス——どれか1つをパスキーにしてみて、便利さを体感してから広げれば十分です。
ここまで読むと「パスキーにすれば、もう何も心配いらない」と思えてきます。でも、ここで気を引き締めてほしいことがあります。パスキーが鉄壁にするのは“正面玄関(ログイン)”だけ。攻撃者は、玄関が固いと分かれば「裏口」や「人間の油断」を狙ってきます。パスキーを過信せず、次の3つだけは自分で守りましょう。
パスキー自体は盗めなくても、多くのサービスは「スマホをなくしたとき用」にSMSやメールでの復旧手段を残しています。ここが弱点。電話番号を乗っ取る「SIMスワップ詐欺」でSMSを奪われると、復旧経路から侵入される恐れがあります(英国では1年で約10倍に急増)。SMSだけに頼らず、復旧用メールの保護や、キャリアでのSIM再発行ロック設定を見直しましょう。
パスキー対応はまだ約6割。残り4割のサービスは、いまもパスワードが鍵です。ここに使い回しのパスワードが残っていると、せっかくの対策に大きな穴が空いたまま。非対応サービスこそ、強いパスワードと管理アプリでしっかり守る必要があります。
フィッシングの矛先は、技術で破れない分「人間の操作」へ向かいます。偽のサポートや偽メールで「セキュリティ強化のためパスキーを再設定してください」と誘導し、攻撃者の端末を登録させる手口です。設定や登録は必ず公式アプリ・公式サイトの設定画面からだけ。メールやSMSのリンクからは操作しないのが鉄則です(フィッシングの見抜き方もあわせて)。
大事なのは「パスキーは万能ではないが、最強クラスの土台」という捉え方。玄関(ログイン)をパスキーで固め、裏口(復旧経路)と残りのパスワードを管理アプリで固める——この2段構えで、ほとんどの被害は防げます。次の章で、その“もう一方の守り”を見ていきましょう。
「パスキーがあれば、もうパスワード管理アプリはいらないのでは?」——そう思った方もいるはず。これはとても良い質問ですが、答えは「当面はまだ必要」です。理由はシンプルです。
つまり今は「パスキー+パスワード」の二刀流の時代。だからこそ、残るパスワードを使い回しのまま放置せず、安全に保管・自動入力してくれるパスワード管理アプリが、橋渡し役として役立ちます。最近の管理アプリはパスワードもパスキーもまとめて保管・同期できるので、移行期にぴったりです。
編集部がまずすすめるのは 1Password。パスワードもパスキーも一括管理でき、家族プランなら家族全員分をまとめて守れます。
「使い回しを今日でやめたい」方の第一歩にぴったりです。
※リンク先は公式サイトです。料金・無料トライアルの有無は公式でご確認ください。
「入れたものの、そのまま放置…」が一番もったいないパターンです。ここでは1Passwordをはじめ、多くのパスワード管理アプリに共通する基本の流れを5ステップにまとめました。順番にやれば、今日のうちに“使い回し卒業”の入口まで進めます。
スマホとパソコンにアプリを入れ、アカウントを作成。覚えるのはこの“マスターパスワード”1つだけです。これが金庫の合鍵になるので、長め&自分だけがわかるフレーズにしましょう。
ChromeやSafariの拡張機能、スマホの設定で自動入力を有効化。これでログイン画面で勝手にIDとパスワードが入るようになり、毎回打ち込む手間がなくなります。
ブラウザに保存済みのパスワードは、まとめてインポート(取り込み)できます。一つずつ手入力する必要はありません。これで“あちこちに散らばった状態”がひとつの金庫に集まります。
多くのアプリには「使い回し」「過去に漏れた」パスワードを自動で洗い出す機能(1Passwordなら「Watchtower」)があります。まずここを開いて、同じパスワードを何個のサービスで使っているかをチェック。たいていの人が見て驚く、いちばん大事なステップです。
ステップ4で見つかった“使い回し”や“漏えい済み”から優先して変更します。アプリが強力なパスワードを自動生成してくれるので選ぶだけ。パスキーに対応していれば、この機会にパスキーへ切り替えるとさらに安心です。
一度に全部やろうとすると挫折します。ステップ4の「重複チェック」までを今日のゴールにしてOK。危ないものが見えれば、あとは気づいたときに1つずつ変えていけば十分です。
「他のアプリとも比べてから決めたい」という慎重な方は、パスワード管理アプリの比較記事や、無料で人気のBitwardenとの比較もチェックしてみてください。じっくり知りたい人には1Passwordの使い方の完全ガイドも用意しています。
誤解しやすいのは「管理アプリとパスキーはライバル」という捉え方。実は仲間です。管理アプリはパスキーの“保管庫&同期役”にもなってくれます。パスキーで守れるところはパスキー、まだパスワードの所は管理アプリ——役割分担で考えると、移行期もスッキリ進められます。
ここまでお疲れさまでした。冒頭からの要点を、いっしょに整理しておきましょう。
