パスキー認証とは?仕組みとSMS認証との違いを解説

公開日:2026/07/10  執筆者:福島 竜司

パスキー認証とは?仕組みとSMS認証との違いを解説

生成AIの進化など、さまざまな技術の進歩に伴い、セキュリティの脅威は増しています。一方、ITサービスは膨大に増え、合計で数十単位のアカウントを所持しているという方も多いのではないでしょうか。

そこで、ログイン情報を適切に守るために「パスキー認証」が重要になります。今回は分かりやすく、またSMS認証など他の認証方法との違いも分かりやすく解説していきます。


Cuenote FCで成果が見える
メールマーケティングを
Cuenoteシリーズ契約数2,800以上、業界最高水準の継続率99.6%(2024年1月~12月実績)

Cuenote FCはハイスピードな大量配信を得意としながら、効果測定や自動処理も可能で大手企業にも選ばれるメール配信システムです。メールマーケティング機能も豊富で、配信数上限はなく送り放題です!

詳しくはこちら »



パスキー認証とは?

パスキーは、デバイスに登録している指紋・顔などの生体認証やPINコードを用いて認証を行う技術を指します。FIDO(ファイド)アライアンスという団体とWeb技術で有名なW3Cという団体が協力して策定したWeb認証標準に基づいて実現されたものです。
従来アカウントごとに設定していたパスワードが不要になり、セキュリティレベルの向上が期待できます。

パスキー認証の仕組み

パスキー認証は、パスキーの登録を行ったデバイスにて、指紋・顔やPINコードなどの認証を行うことで、認証が完了します。仕組みを理解するために、登録・認証の二つの軸で解説します。

  1. パスキーの登録
  2. ログイン時のパスキー認証

①パスキーの登録

パスキーは「秘密鍵」「公開鍵」という2つの鍵が用いられます。パスキーを登録する際には、登録するユーザーのデバイスに2つの鍵を作成します。秘密鍵はデバイスで保管し、公開鍵はパスキーを利用するサービス提供者のサーバーに送信して、アカウントとその情報を紐づけます。

パスキー登録の段階では、メール認証やSMS認証、メールアドレスとパスワードなど従来の認証を用いることが一般的です。

②ログイン時のパスキー認証

ログインを試みると、サービス提供サーバーから認証要求が届きます。指紋や顔の生体認証・PINコードなどパスキー認証を実行します。認証が取れると、秘密鍵で認証要求に対してデジタル署名して、サービス提供者側にそのデータを送信します。

サービス提供サーバーにある公開鍵を用いて、署名を検証します。確認が取れると無事ログイン成功になります。

パスキー認証のメリット

パスキー認証は、以下のようなメリットがあります。

パスワード認証による不正アクセスや負荷を除外できる

従来使用されてきたパスワード認証は、パスワードが流出してしまうこと、推測されやすいものなどによって、不正アクセスされるリスクが高い傾向にあります。また、ユーザー側がパスワードを忘れてしまうという不便さもありました。

対してパスキー認証で生体認証を活用すれば、忘れることはありません。

フィッシング詐欺の防止に役立つ

フィッシング詐欺は、実在するサイトになりすまして、不正にログイン情報を取得する手法が一般的です。パスキー認証を用いたログイン方法は、パスキー登録を行っている上で、生体認証を活用します。

なりすまされたサイトに気付かず、いつも通りログインを試みた場合には、ドメインが一致しないため動作しません。うっかり、フィッシングサイトにログイン情報を渡してしまうというリスクを大きく低減できます。

パスキー認証のデメリット

ユーザーがパスキーを利用するまでの手間がある

パスキーは登録対応をする必要があり、この登録にもパスワードやSMS認証などを用いるなど、設定に手間がかかります。またスマートフォンなど登録デバイスを買い換えた時などの移管も対応が必要になります。

ただし、そのデバイス内であれば1度対応してしまえば、パスワード入力や管理の手間が省けるため、ログイン時の負荷は軽減できます。

生体認証等を利用できるデバイスが必要

PINコードを用いたパスキー認証もありますが、基本は生体認証を活用します。そのため、生体認証を活用できるデバイスが必要です。スマートフォンは1人1台持つ時代になっているため、多くの人が利用することは可能でしょう。ただし、1つのアカウントを複数人で共有することは困難です。

パスキー導入までの間のリスクが生じる

パスキーを導入する際には、ユーザーのパスキー登録が必要であるため、急に一括変更は現実的ではありません。事前にアナウンスし、移行期間を経て切り替えが一般的です。この切り替え時には、パスキー認証とそれ以前の認証方法の2つ同時並行になります。

それぞれの認証に対してのフォローが必要になります。

SMS認証との違い

本人認証として活用されるものにはSMS認証もあります。SMS認証とは、登録しておいた携帯電話番号宛てに4~6桁程度のランダムな数字が届き、認証画面に入力することで認証完了となる方法です。

項目パスキー認証SMS認証
認証情報の漏洩リスク認証情報そのものの漏洩リスクが低い。ワンタイムパスワード漏洩の可能性あり。
フィッシング詐欺耐性認証情報入力不要で、リスク非常に低い。フィッシングサイトでのOTP入力リスクあり。
端末紛失時の回復各サービスで認証の再設定が必要。キャリア連絡等で回復可能。

大きな違いとして認証情報があります。パスキー認証は基本認証情報が漏えいすることが低いです。一方、SMS認証は他の認証と比べリスクは低いもののSMSの傍受等で漏えいする可能性があります。また、フィッシング詐欺においてもパスキー認証は認証情報の入力が不要になるため、リスクが抑えられます。

一方、パスキー認証は端末を無くした時にアクセスできなくなる可能性があります。SMS認証も同じですが、キャリアなどに連絡を取りSIMを交換するなどで回復が可能です。パスキー認証の場合は、各サービスに対して認証の切り替えが必要です。ただし、同期機能を利用していれば、新しい端末でもパスキーを利用できる場合があります。

さいごに

金融業界などにおいては、パスキー認証に移行する流れになっています。一方で、そもそも2要素認証に対応していないなど、セキュリティリスクがある場合には、SMS認証の導入も選択肢としてあることでしょう。SMS認証導入をお考えの場合は、Cuenote SMSをご利用ください。

メール配信システム・メルマガ【Cuenote FC】 キューノート エフシー


メール配信システムCuenote FC(キューノートFC)は、会員管理やメール配信後の効果測定をグラフィカルに表示。システム連携用APIなども提供しており、一斉配信からメールマーケティングまで行えます。独自開発のMTA(配信エンジン)とノウハウで、時速1,300万通以上(※)の高速配信を実現し、スマートフォンや携帯にもストレスなく高速・確実にメールを届けます。※クラウド型サービス(ASP・SaaS)の実績値


メール配信システムCuenote FC

この記事の著者

福島 竜司
過去に介護・美容の資格情報メディアにて事業統括責任者としてBtoC・BtoB共にメールマーケティング含めた、マーケティング全般の業務に携わる。 ユミルリンクではマーケターとして、メールマーケティングを中心に、メッセージングマーケティングの研究を行い、多くの記事の執筆・編集を行う。またメールマーケティングに関するウェビナー・展示会などのイベントでのセミナー登壇も行っている。 本記事に関しては、企業の公式サイト・公的機関のデータ・当社が調査したデータと、著者の実績を踏まえて実態に即した内容提供に努めています。
この記事の運営企業

東証グロース上場のユミルリンク株式会社は、20年以上にわたり、メール配信システムをクラウドサービス・ソフトウェアとして提供し、メールに関する専門的な技術や運用ノウハウを蓄積してきました。
メール以外にも、SMS配信サービスWEBアンケート・フォームシステムもクラウドサービスとして提供しています。

Cuenoteシリーズの導入に関して
ご不明な点がございましたら
お気軽にお問い合わせください

ユミルリンク株式会社
受付時間 平日 10:00〜18:00
WEBからのご契約はこちら
ページの先頭へ
多機能・高速・確実に届く!