Microsoft Edgeがエンタープライズユーザー向けにパスキー(Passkey)のクロスデバイス同期機能を提供開始する。個人向けのパスワードレス認証は以前から整備が進んでいたが、企業環境における「複数デバイス対応」という壁がようやく崩れる。フィッシング耐性が高く、利便性も損なわない次世代認証が、いよいよ職場レベルで普及フェーズに入ろうとしている。
パスキーとは何か、なぜ今重要か
パスキーはFIDO2/WebAuthn規格に基づく認証方式で、公開鍵暗号を使ってパスワードを完全に置き換える。ユーザーはPINや生体認証(指紋・顔認証)でデバイスをアンロックするだけでログインが完了し、パスワードそのものをサーバーに送ることはない。
最大の特徴はフィッシング耐性だ。パスキーは登録されたドメインに厳密に紐付いており、偽サイトには一切反応しない。「それっぽいURLに騙されてパスワードを入力してしまった」という攻撃シナリオがそもそも成立しなくなる。これは理論上の話ではなく、設計レベルで攻撃ベクターを潰しているという意味で根本的な解決策だ。
Enterprise向けクロスデバイス同期の何が変わるのか
個人ユーザー向けにはすでにパスキー同期の仕組みが存在していた。問題は企業環境特有の複雑さだ。
- 複数のPCを使い回すシーン(共有端末、フロア変更、出張など)
- 新デバイスへの移行時に毎回パスキーを再登録する手間
- IT管理者による一元的なポリシー適用の難しさ
これらが障壁となり、企業レベルのパスワードレス移行は思うように進んでこなかった。EdgeのEnterprise向けパスキー同期はこのギャップを埋める。MicrosoftアカウントまたはEntra ID(旧Azure AD)に紐付けた形でパスキーを同期させることで、社員がデバイスを変えても再登録なしでシームレスにログインできるようになる。
実務への影響——IT管理者・エンジニアへのヒント
IT管理者へ:
- IntuneやGroup Policy経由でパスキー使用を強制するポリシー設計が現実的になる段階に来ている
- パスワードリセット対応のヘルプデスクコストが大幅に削減できる可能性がある
- MFAとの組み合わせを段階的移行計画として整理しておくとスムーズ
エンジニアへ:
- 社内Webアプリ側もWebAuthn対応が必要。未対応のレガシーシステムのリストアップを今から始めるべき
- Entra IDのパスワードレス認証ポリシーと組み合わせることで効果が倍増する
- Edgeを標準ブラウザとして管理している環境なら、追加コストなしで恩恵を受けられる
筆者の見解
この機能は正しい方向への投資だと評価している。ゼロトラストの文脈で言えば、「デバイスを信頼するのではなく、アイデンティティを信頼する」という原則とパスキーは完璧に整合している。VPNで社内ネットワークに繋いでいれば安全、という旧来のセキュリティモデルはもう限界を超えている。パスワードという人間側の弱点を「設計として排除する」アプローチは理にかなっている。
「禁止ではなく、安全に使える仕組みを」という観点でも、パスキーは優れた答えだ。複雑なパスワードポリシーを従業員に強制するより、そもそもパスワードを使わせない設計の方が、セキュリティと利便性を同時に高められる。IT部門が「禁止のガードレール」を増やすのではなく、「便利で安全な公式の道」を整備する発想と一致している。
MicrosoftがEntra IDとEdgeのエコシステムを一体で強化しているのは評価できる——あとは、その強さをユーザーが実感できる形で届けきれるかどうかだ。パスワードレス移行は技術的には準備が整ってきた。残るボトルネックは、組織側の移行計画と現場への浸透だろう。今がその計画を本気で立てる時期だと思う。
出典: この記事は Microsoft Edge is finally bringing passkey syncing to enterprise users の内容をもとに、筆者の見解を加えて独自に執筆したものです。