多くの企業において、パスキーの人気が高まっています。これは、フィッシングのリスクを軽減し、ログインのセキュリティを向上させ、パスワードのみの認証に伴う脆弱性を削減するための実用的な方法です。
しかし、企業が一晩ですべてのパスワードを置き換えることは不可能です。主要なプラットフォーム、ユーザー情報のプロバイダー、ビジネスツール全体でパスキーのサポートが拡大していますが、ほとんどの企業は依然として混在した環境で運用されています。一部のアプリは現在すでにパスキーに対応していますが、他のアプリは依然としてパスワード、2要素認証(2FA)フロー、または管理者ワークフローやアカウント回復のための秘密の質問に依存しています。
したがって、本当の問いは、明日パスワードがなくなるかどうかではありません。お客様の組織が、最も理にかなっているビジネスアカウントからパスキーの導入を今すぐ開始すべきかどうか、そして従業員やITチームに不必要な困難を強いることなく、どのように移行を管理するかということです。
パスキーとは何か、その仕組みについて
パスキーは、従来のパスワードを暗号鍵のペアに置き換えるものです。一方の鍵は公開鍵で、サービスまたはアプリによって保管されます。もう一方は秘密鍵で、ユーザーのデバイスまたは認証情報管理ツール内に保持されます。
パスワードは、ユーザーとサービスの間で共有される秘密です。パスキーは共有秘密モデルを排除し、ログイン情報を取得するために設置された偽サイトではなく、正当なサービスのみと認証を行うように設計されています。
パスキーを使用してサービスにサインインすると、サービスから暗号化チャレンジが送信されます。秘密鍵は、お客様が生体認証方法またはローカルPINでデバイスのロックを解除した後にのみ応答します。鍵がデバイスから離れることはなく、サービスは後に盗まれたり解読されたりする可能性のあるパスワード相当の秘密を保管しません。
パスキーは安全であり、かつ簡単に利用できます。 パスワードを入力する代わりに、ログインしたいアカウントを選択し、Face ID、指紋認証、Windows Hello、またはローカルPINなど、毎日行っているのと同じ方法でデバイスのロックを解除するだけで済みます。
ビジネスにおいて、パスキーにはさらなる考慮が必要です。パスキーは安全で便利ですが、適切な管理が求められます。パスキーは、別のプロバイダーが使用されていない限り、通常はオペレーティングシステムやブラウザに組み込まれた標準の認証情報管理ツールによって作成、保管、管理されます。
パスキーは認証技術であると同時に、管理上の決定事項でもあります。従業員が仕事用のデバイス、共有ワークフロー、複数のSaaSツール間でパスキーを使用する場合、お客様のビジネスにはストレージ、同期、回復、ガバナンスに対する明確なアプローチが必要です。
パスキー対パスワード:企業はどちらを選択すべきか?
ビジネスにおけるパスキーの主なセキュリティ上の利点は、攻撃者がパスワードベースのシステムで最も依存しているいくつかの脆弱性を排除できることです。
パスワードは脆弱である可能性があり、ブルートフォース攻撃によって容易に推測される恐れがあります。また、脆弱なパスワードは仕事用アカウントと個人用アカウントの間で使い回されることもあります。さらに、フィッシングや傍受の対象となったり、サードパーティの侵害によって流出したりすることもあります。企業が強力なパスワードポリシーを施行したとしても、根本的なパスワードモデルには依然として認証情報盗難の余地が残されています。
パスキーはそのモデルを改善します。認証は共有秘密ではなく暗号鍵のペアに紐付けられているため、従業員が偽のログインページに入力するパスワードも、攻撃者が盗んで他で使用できる再利用可能な認証情報も存在しません。パスキーは、そのパスキーが作成された正当なサービスとのみ認証を行うため、本物のログインページを模倣するように設計されたフィッシング攻撃に対して耐性があります。
また、盗まれた認証情報データベースによるリスクも軽減されます。パスワードベースの環境では、データ侵害によってパスワード関連のデータが流出し、後に解読されたり、認証情報の詰め合わせ攻撃(クレデンシャルスタッフィング)に再利用されたりする可能性があります。パスキーの場合、サービス側には公開鍵のみが保管され、これを使用してユーザーが保持する秘密鍵を再現することはできません。これにより、大規模な認証情報盗難が攻撃者にとって極めて無意味なものになります。
ビジネスにおいて、これは実質的なセキュリティ向上につながります。パスキーは、フィッシングに関連するアカウント侵害を減らし、パスワードの使い回しによるリスクを下げ、管理者、財務チーム、人事、役員などの高リスクなユーザー情報の保護を強化できます。
ただし、認証が強化されたからといって、適切なアクセス管理が不要になるわけではありません。企業には依然として、信頼できるデバイス、明確なユーザー情報ポリシー、インシデント対応プラン、およびロールベースのアクセス制御が必要です。パスキーは認証レイヤーの回復力を高めますが、単独の修正策としてではなく、より広範なセキュリティモデルの一部として最も効果を発揮します。
ビジネスにおけるパスキー導入の現状
ビジネスにおいて、市場は明らかに試験的な段階を過ぎています。この変化は、エンタープライズの導入データにすでに現れています。2025年初頭、FIDO Alliance(新しいウィンドウ)は、米国と英国で調査された組織の87%がパスキーを導入済み、または導入プロセス中であると報告しました。また、47%はすでに少なくとも一部の従業員に導入を完了しています。パスキーを使用している組織のうち、62%がサインイン成功率の向上を報告し、58%がユーザーエクスペリエンスの改善を報告、50%がパスワードやアカウント回復に関連するITコストの削減に役立ったと回答しています。
パスキーは、今日のビジネス、特にユーザー情報レイヤー、メール環境、および価値の高い管理ワークフローにおいて実行可能な選択肢です。しかし、実際のSaaSスタックにおけるすべてのアプリが、完全なパスキー導入の準備ができていると想定するには、まだ十分ではありません。
多くのビジネスツール、レガシーなエンタープライズアプリ、ベンダーポータル、ニッチなSaaS製品は、依然としてパスワード、MFAパターン、またはパスキーを完全にサポートしていない回復モデルに依存しています。主要なプラットフォームがパスキーのサポートを提供している場合でも、そのサポートがすべてのワークフロー、フォールバックパス、または管理シナリオにシームレスに適用されるとは限りません。
したがって、2026年における導入状況は「移行期」であると理解するのが最善です。パスキーは現実的で価値があり、ますます主流になりつつありますが、ほとんどの企業にとってハイブリッド認証が依然として運用の現実です。
ビジネス向けパスキーのハイブリッドモデルを採用する方法
運用の現実は、今後の進むべき道がパスワードからの完全な決別ではないということです。それは、利用可能な場所ではパスキーを、パスワードが依然として必要な場所では強力なパスワードセキュリティを組み合わせるハイブリッドモデルです。
完全にパスワードレスな環境は、特に企業がデバイス、ユーザー情報システム、アプリへのアクセスを厳密に制御している、より管理された環境であれば可能です。しかし、これはほとんどの組織にとって標準的な状況ではありません。
実際には、チームはいまだにサードパーティのツールやサービスが混在した環境に依存しています。パスキーをすでにサポートしているものもあれば、回復、管理者業務、レガシーなワークフローのために、いまだにパスワードや代替の認証情報に完全に依存しているものもあります。
より現実的な導入モデルが必要です。企業は、パスワードベースのままであるシステムを保護し続けながら、リスクを有意義に軽減できる場所、特に価値の高い環境やフィッシングの標的になりやすい環境にパスキーを導入する必要があります。同様に重要なのは、従業員にとって一貫性があり、監視やガバナンスにギャップが生じない方法で、両方のモデルを管理することです。
パスキーはまだ一般的ではないため、パスワード管理は依然として不可欠です。ビジネス用パスワードマネージャーは、もはや単にパスワードを保管するだけの場所ではありません。どちらの制御も失うことなく、企業がある認証モデルから別のモデルへの移行を管理できるように支援する層となります。
企業にとって、パスキーの導入は単に認証技術の問題だけではありません。それは、組織全体で認証情報がどのように保管され、同期され、回復され、管理されるかという問題でもあります。
ビジネス向けパスワードレス認証の詳細
ほとんどの企業は、パスワードからパスキーへの移行を一段階で行っているわけではありません。企業は、今日パスキーを使用できるアカウントもあれば、いまだにパスワード、レガシーなログインフロー、または代替の認証情報に依存しているアカウントもあるという、混在した環境を管理しています。そのため、認証情報の管理は簡素化されるどころか、より複雑になっています。
そのような文脈において、ビジネス用パスワードマネージャーの役割は変化し始めています。もはやパスワードを保管するためだけの場所ではありません。デバイス、ブラウザ、オペレーティングシステム間で、パスワードベースとパスキーベースの両方のアクセスを、安全かつ一貫した方法でチームが管理できるように支援する層となっています。
Proton Pass for Businessは、組織がパスワードとパスキーの両方をサポートできるよう支援します。これにより、同じペースで対応する準備ができていないシステムへの制御を失うことなく、最新の認証へと移行するための実用的な方法を企業に提供します。
ITチームにとって、それは使いやすさの観点だけでなく、ガバナンスの観点からも重要です。ポリシーの適用、2要素認証の強制、監査ログ、プロビジョニング、役割ベースの共有制御はすべて、この移行の一部となります。
これこそが、パスキーの導入を単なるログイン体験のアップグレードではなく、より広範な運用上の意思決定にする理由です。従業員が個人のデバイスやデフォルトのコンシューマー向けツールを使用して断片的な方法でパスキーを作成・管理すると、ビジネスにおいて回復プロセスの一貫性が失われ、可視性が弱まり、所有権が不明確になる可能性があります。管理されたプラットフォームは、IT部門が監視を維持しながら導入をサポートする方法を提供することで、こうした事態を回避するのに役立ちます。
企業に常にアクセスの管理が必要な理由
ほとんどのビジネスシステムでパスキーがサポートされる将来においても、組織にはアクセスの管理層が依然として必要です。パスワードがなくなったからといって、アクセスを管理するという課題がなくなるわけではありません。
企業には、デバイス間で認証情報を保管・同期し、従業員がデバイスへのアクセスを失った場合の回復を管理し、認証情報を共有または委任する方法を制御し、人々が組織に加わったり、役割を変更したり、退職したりする際のアクセスに関する可視性を維持するための一貫した方法が依然として必要です。
そのシナリオでは、エンタープライズパスワードマネージャーの価値は、単にパスワードを保管することから、IT部門がより管理され、安全で、統制のとれた方法でパスキーベースのアクセスを管理できるように支援することへと移行します。
パスキー実装への第一歩
すべてのアカウントが同じペースで移行する必要はありません。パスキーは、侵害された場合に最大のリスクを生じさせるアカウントに対して実装されるべきです。
- 管理者アカウントは通常、最も明確な最優先事項です。これらのアカウントのいずれかがフィッシングに遭ったり悪用されたりすると、その影響は一人のチームメンバーのアカウントをはるかに超えて及ぶ可能性があります。
- 財務チームもまた、詐欺、支払いのリダイレクト、役員へのなりすましの標的になりやすいため、初期の重要な優先事項となります。
- 人事アカウントも、機密性の高い従業員データ、オンボーディングのワークフロー、ユーザー情報関連のシステムに近い場所にあることが多いため、注目に値します。
また、組織内の職務の役割を超えて、ワークフローの観点からリスクへの露出を考えることも役立ちます。パスキーは、従業員が管理デバイスから価値の高いシステムに定期的にサインインし、フィッシングのリスクが現実的な懸念である環境で最も理にかなっています。これには多くの場合、ユーザー情報プラットフォーム、メールエコシステム、クラウドコンソール、その他のセキュリティに敏感な社内ツールが含まれます。
対照的に、低リスクのアプリ、ほとんど使用されないツール、またはベンダーが管理するシステムは、特にサポートがいまだ限定的であったり、回復フローが成熟していなかったりする場合、最初の展開の一部にする必要はないかもしれません。段階的なアプローチは、通常、すべてのシステムに同じタイムラインに従わせようとするよりも良い結果をもたらします。
段階的なパスキー導入プログラムの開始方法
お客様のビジネス環境にパスキーを導入するには、構造化された展開が必要です。目標は、移行期間中、残りの環境の安全性と管理しやすさを維持しながら、最も効果的な場所に強力な認証を導入することです。
実用的な導入計画には、通常、いくつかの主要なステップが含まれます。
- 現在の認証環境をマッピングします。 まず、どのツールがすでにパスキーをサポートしているか、どれがFIDO2やWebAuthnを広くサポートしているか、どれがフィッシング耐性のある認証を強制できるユーザー情報プロバイダーに関連付けられているか、そしてどれが依然としてパスワードのみであるかを特定することから始めます。これにより、パスキーが即座に価値を提供できる場所と、既存のログインフローを維持する必要がある場所を現実的に把握できます。
- パスキーの管理方法を定義します。 これは導入における最も重要な決定の1つです。パスキーをプラットフォーム固有の認証情報マネージャー、サードパーティツール、またはハイブリッドアプローチのいずれで処理するかを決定する必要があります。パスキーもサポートするビジネス向けパスワードマネージャーは、サポートされているアプリとサポートされていないアプリの間での断片化を減らすのに役立つため、ここでは特に価値があります。
- 従業員に新しいサインイン体験の準備をさせます。 チームはパスキーの背後にある暗号化の技術的な説明を必要とはしませんが、実務で何が変わるかを理解する必要があります。これには、サインインがどのように機能するか、どのような回復オプションが存在するか、そして他のシステムで依然として必要となる可能性のあるパスワードとパスキーがどのように併用されるかが含まれます。適切な導入により、安全な行動がシンプルで身近なものに感じられるようになります。
- 移行期間中もパスワードプログラムを強力に保ちます。 パスキーは時間の経過とともにパスワードへの依存を減らす可能性がありますが、その間、強力なパスワードセキュリティの必要性がなくなるわけではありません。企業は依然として、独自のパスワード、適切な場所での2要素認証、安全な共有コントロール、および移行の準備がまだ整っていないシステムの明確なライフサイクルガバナンスを必要としています。
段階的な導入は、パスキーを単独の機能としてではなく、より広範な認証戦略の一部として扱う場合に最も効果的です。パスキーから最大の価値を引き出す企業は、通常、パスキーを段階的に導入し、一元的に管理し、同時に残りの認証情報環境も制御下に置いている企業です。
パスキーに関する一般的なビジネス上の懸念事項
従業員がデバイスを紛失した場合はどうなりますか?
紛失したデバイスがパスキーを保管している唯一の場所である場合、その従業員は、別の登録済みデバイス、バックアップ用の認証器、または承認された回復プロセスを通じてアクセスが回復されるまで、サインインできない可能性があります。パスキーの導入は、フォールバックプランのない単一のデバイスに依存すべきではありません。
企業は、従業員がどのようにアクセスを再開するか、誰が回復を承認できるか、どのアカウントに強力な保護策が必要かを事前に決定しておく必要があります。ビジネス向けパスワードマネージャーは、承認されたデバイス間でパスキーを保管および同期するのに役立ちます。これにより、1台のスマートフォンやノートパソコンへの依存が軽減され、企業はアクセスの継続性をより制御された方法で管理できるようになります。
パスキーは複数のデバイスやオペレーティングシステム間で機能しますか?
はい、可能ですが、その体験はパスキーがどのように保管および管理されているかによって異なります。従業員のデバイス間で同期されたパスキーを許容できる組織もあれば、リスクの高い役割に対して、より厳密に制御された、またはデバイスに紐付いたアプローチを好む組織もあるでしょう。重要な点は、デバイス間での使用は意図的に設計されるべきであり、すべてのチームや環境で同じように機能すると想定すべきではないということです。
一部のアプリがパスキーをサポートし、他のアプリが依然としてパスワードを必要とする場合はどうなりますか?
それが今日のほとんどの企業における現実です。パスキーの採用にあたって、すべてのアプリを一度に移行する必要はありません。実際には、ほとんどの企業が当面の間、サポートされている場所ではパスキーを使用し、準備が整っていないシステムでは強力なパスワード管理を維持するという、ハイブリッド認証モデルを運用することになります。
パスキーによってパスワードマネージャーは不要になりますか?
いいえ、そうではありません。パスキーを多用する環境であっても、企業は依然として、ユーザー、デバイス、システム全体で一貫して認証情報を管理する方法を必要としています。これには、ストレージ、同期、アクセス制御、回復、可視性、およびガバナンスが含まれます。言い換えれば、認証情報の種類が変わっても、認証情報管理の必要性は残ります。
現在、すべてのビジネスシステムでパスキーを使用する準備は整っていますか?
いいえ、整っていません。主要なプラットフォームやユーザー情報プロバイダーを中心にサポートは大幅に拡大していますが、多くのビジネスツールは依然としてパスワード、旧来のMFAフロー、またはフォールバック回復モデルに依存しています。そのため、あまりに早い時期にユニバーサルな導入を強行するよりも、段階的な採用の方がうまくいく傾向があります。
パスキーを使用すれば、より広範なアクセス制御は不要になりますか?
いいえ。パスキーは認証を強化しますが、企業には依然としてデバイスの信頼、役割ベースのアクセス制御、回復プラン、および明確なガバナンスが必要です。パスキーはフィッシングのリスクを軽減し、再利用可能な秘密情報を排除しますが、より広範なセキュリティモデルの一部として最も効果的に機能します。
それでは、お客様の会社はパスワードからの脱却を進めるべきでしょうか?
ほとんどの企業にとって、答えは「はい」ですが、一斉に置き換えるのではなく、段階的な移行を通じて行うべきです。お客様の会社がすでにパスキーをサポートする主要なエンタープライズプラットフォームを利用しており、深刻なフィッシングリスクに直面しており、共有された秘密情報への依存を減らしたいと考えているのであれば、今すぐパスキーの採用を開始する価値があります。
企業にとって、これは通常、より明確な結論へとつながります。即座にセキュリティ上の価値が得られる場所からパスキーの採用を開始し、それ以外については強力な認証情報管理を維持し、安全で適切に管理されたアクセス戦略の中で両方がサポートされるようにします。
パスワードからパスキーへの架け橋を築く
これこそが、最終的にビジネスにおける優れたパスキー採用の姿です。誇大広告でも、全か無かの移行でもなく、最も重要な場所においてフィッシング耐性のある認証へと制御された転換を行うことです。
主要なプラットフォーム全体で、パスキーのエンタープライズサポートが現実のものとなっています。しかし、カバー範囲はまだ不完全であるため、ほとんどの企業にとっては、即時の移行ではなくブリッジ戦略(架け橋となる戦略)が必要となります。
そこに、Proton Pass for Businessが自然な形で適合します。チームが認証情報を安全に管理し、ポリシーを一貫して適用し、最新の認証ワークフローとパスワードベースのシステムの両方をサポートするのに役立ちます。ITチームにとって、アクセス管理、ユーザー情報管理、監視がより容易になります。Proton Passは、中央管理、SCIMプロビジョニング、SSOサポート、監査ログ、保管庫レベルの権限、および会社全体のポリシー制御を提供します。
お客様のビジネスでパスキーを導入し、パスワードのセキュリティを向上させる準備ができている場合は、弊社のビジネスパスワードマネージャーを無料でお試しいただくか、セールスチームまでお問い合わせください。
