Microsoft Edgeのパスワードマネージャーから「マスターパスワード」機能が2026年6月4日付で廃止された。Tom’s GuideのTony Polanco記者がNordVPNのプレスリリースをもとに報じたもので、今後はWindows Hello(指紋認証・顔認証・PIN)を使ったデバイスベースの認証に一本化される。
なぜこの変更が注目されるか
Edgeのパスワードマネージャーはこれまで、保存済みパスワードを「マスターパスワード」で守るオプションを提供してきた。一見すると堅牢に見えるが、この方式にはアキレス腱がある。悪意ある第三者にマスターパスワードを1つ取得されれば、保存中のすべてのパスワードへのアクセスを許してしまうリスクだ。
この変更は、Microsoftが直前に発表した「新規Microsoftアカウントのデフォルトをパスワードレスにする」という方針とも連動しており、同社のパスワードレス戦略が本格的な実装フェーズに入ったことを示している。
海外レビューのポイント
NordPassのエンジニアリングVPであるIgnas Valancius氏はTom’s Guideへのコメントで次のように述べている。「管理するパスワードが増えると、使い回しや些細な変化(文字の入れ替えなど)に頼りがちになる。生体認証やPINはその根本的な問題を解決する手段だ」
Tom’s Guideの報道によると、移行後の認証方法は主に3種類となる。
- Windows Hello(指紋・顔認証): デバイス内で処理が完結し、認証データをインターネット経由で送信しない。最もセキュアな選択肢とされている
- PIN: Microsoftアカウントのパスワードとは独立したデバイスローカルの認証。Hello未対応デバイスでも利用可能
- LastPassなど外部パスワードマネージャー: 変更に不満なユーザーへの代替手段として、Tom’s Guideはマスターパスワードを維持するLastPassへの移行も言及している
気になる点として、Tom’s Guideは「この変更に不満を持つユーザーがいるだろう」と指摘しており、長年マスターパスワードに慣れ親しんだユーザーからの反発は避けられないとも報じている。
日本市場での注目点
Windows Helloは日本でも広く普及しており、指紋センサーや顔認証カメラを搭載したWindowsノートPCは今や標準的な存在だ。Edge利用者はこの変更に備え、Windows Helloのセットアップが完了しているかを事前に確認しておくことを推奨する。
注意が必要なのは企業環境だ。セキュリティポリシーの都合でWindows Helloを無効化しているケースや、古いハードウェアで生体認証センサーを搭載していないPCが残っている組織では、PINへの切り替えや設定の見直しが必要になる場面があるかもしれない。IT管理者は早めに社内環境を確認しておきたい。
なお、EdgeのパスワードマネージャーはMicrosoft アカウントと連携していれば、複数デバイス間でのパスワード同期も引き続き利用できる。
筆者の見解
パスワードレス化の方向性そのものは正しい。使い回しや単純な変化パターンが招く脆弱性は、数えきれないほどのセキュリティ事故の根本にある問題であり、デバイスベース認証への移行は筋のいい判断だ。
Microsoftがこのタイミングで決断したことについては「もっと早く踏み切れたはず」という思いもなくはないが、ここで強制移行に踏み切ったこと自体は評価したい。ユーザーの反発があることを織り込んだうえで、より安全な仕組みへと誘導する姿勢は、パスワード管理の課題に対して「禁止で縛る」のではなく「安全な手段を標準にする」というアプローチとして一貫している。
ただ、企業環境での移行摩擦をどう丁寧にサポートするかは今後の課題として残る。Windows Hello未対応デバイスが現役で動いている組織、あるいはBYOD環境での扱いをMicrosoftが明確にガイドすることが、この変更の定着を左右するポイントになりそうだ。Microsoftには、こういった地道な移行支援こそ正面から取り組んでほしいと感じる。
出典: この記事は Microsoft is killing the master password in Edge browser today — here’s how it will work now の内容をもとに、筆者の見解を加えて独自に執筆したものです。