パスワードの終わりが、静かに始まっている

Microsoftが「World Password Day(世界パスワードデー)」に合わせて、パスワードレスサインインとパスキー(Passkey)の採用を強力に推し進めている。「パスワードはもう十分ではない」という同社のメッセージは、単なるマーケティングではなく、現実の脅威状況を直視した宣言だ。フィッシング、クレデンシャルスタッフィング、ブルートフォース——これらの攻撃の大部分がパスワードを起点としている。そのパスワードをゲームから外すことが、認証セキュリティの根本的な改善につながる。

パスキーとは何か——仕組みをざっくり理解する

パスキーはFIDO2/WebAuthn標準に基づく認証技術で、ざっくり言えば「公開鍵暗号を使ったパスワード不要のログイン」だ。

ユーザーがパスキーを登録すると、デバイス側に秘密鍵、サービス側に公開鍵が保存される。ログイン時は、デバイスの生体認証(顔・指紋)やPINで秘密鍵を使った署名を生成し、サービス側がそれを公開鍵で検証する。この仕組みには二つの大きなメリットがある。

フィッシング耐性: 秘密鍵はデバイスの外に出ないため、偽サイトに誘導されても認証情報を盗まれない。

サーバー漏洩リスクの排除: サービス側に保存されるのは公開鍵のみ。仮にデータベースが漏洩しても、攻撃者は何もできない。

MicrosoftはすでにMicrosoftアカウントへのパスキーサポートを実装しており、今回の発表はその普及加速と、エコシステム全体でのパスワードレス推進を意図したものだ。

Microsoftが今これを推す背景

World Password Dayは毎年5月の最初の木曜日に設定されているが、ここ数年で各社のスタンスが「パスワードを強化しよう」から「パスワードをなくそう」へと明らかにシフトしている。

Apple、Google、Microsoftの三社がFIDOアライアンスを通じてパスキーの相互運用性を推進してきた結果、主要なOS・ブラウザでのサポートが揃いつつある。iCloud Keychain、Google パスワードマネージャー、Windows Helloいずれもパスキーを扱える環境が整っている。

インフラが揃ったいま、Microsoftが「普及のアクセル」を踏むタイミングとして今年のWorld Password Dayを選んだのは、ある意味必然的な流れだ。

日本企業・IT管理者が今すぐ確認すべきこと

パスキー推進の波は、日本のエンタープライズ環境にも確実に押し寄せてくる。特に以下の点を早急に確認しておきたい。

Entra ID(Azure AD)のパスワードレスポリシー確認 Microsoft Entra IDはFIDO2セキュリティキーやWindows Helloによるパスワードレス認証をすでにサポートしている。認証方式ポリシーでパスキー(FIDO2)が有効になっているか確認し、パイロット展開を検討する価値がある。

条件付きアクセスとの組み合わせ パスキー単体でなく、条件付きアクセスポリシーと組み合わせることで「デバイス準拠 × フィッシング耐性のある認証」という二重の保証が得られる。ゼロトラストアーキテクチャの観点からも、これが現時点でのベストプラクティスだ。

ユーザー教育の準備 技術的な移行より、ユーザーへの説明が実は一番のハードル。「指紋やPINでログインできる」という体験の良さを先に伝えることで、抵抗感を大幅に下げられる。

レガシーアプリのプロトコル対応確認 Basic認証やNTLM認証に依存した古いアプリがある場合、パスワードレス移行の障害になる。棚卸しを先に済ませておくことが重要だ。

筆者の見解

セキュリティの話は得意分野ではないが、このトピックは別だ——パスキーはゼロトラストの文脈で語るべき、構造的に正しいアプローチだと思う。

VPNで境界を守るという発想がすでに時代遅れであるように、「強いパスワード+MFA」で終わりという発想もそろそろ限界に来ている。パスキーはフィッシング耐性という点で、従来のMFAより一段上の保証を与えてくれる。これは「より複雑なパスワードルール」ではなく、ゲームのルールそのものを変える話だ。

Microsoftがこの方向で本気を出しているのは、素直に評価したい。Entra IDのパスワードレス機能は実際に使えるレベルに仕上がっており、エンタープライズ向けの展開フローも整備されてきている。「やる力はある」ということは証明されつつある。

問題は普及スピードだ。日本の大企業の現場では、FIDO2対応のセキュリティキー購入の稟議、レガシーシステムの改修、ヘルプデスクへの問い合わせ増加への対応——そういったコストが積み重なって「まだパスワードでいい」という判断が続きやすい。

だが、これは「いつかやる」ではなく「どこまで先送りできるか」の問いに変わりつつある。フィッシング攻撃が年々巧妙化し、AIを使った標的型攻撃が当たり前になる時代に、パスワードを守り続けることのコストは静かに上昇し続けている。

移行の第一歩として、まず自社のMicrosoftアカウントと個人のスマートフォンでパスキーを試してみることをお勧めする。技術を自分で体験してから導入を検討する、それが一番の近道だ。

出典: この記事は Microsoft says passwords are no longer enough as it pushes passkeys の内容をもとに、筆者の見解を加えて独自に執筆したものです。