「またパスワードを忘れてしまった…」「使い回しは危険と言われるけど、サービスごとに複雑なパスワードを覚えるのは無理」そんな悩みを抱えていませんか?
この記事では、パスキー(Passkey)の設定方法と安全な運用術について、主要3サービス(Google・Apple・Microsoft)の具体的な手順から、スマホ紛失時のバックアップ戦略、複数デバイスでの使い方まで詳しく解説します。
💡 パスキーは「家の鍵」、パスワードは「合言葉」
従来のパスワードは、秘密の「合言葉」を相手に伝える方式でした。しかし合言葉は盗み聞きされるリスクがあります。パスキーは「鍵と錠前」の関係です。あなたのスマホが「鍵」を持ち、サービス側は「錠前」だけを持ちます。鍵は外に出ないので、盗まれる心配がありません。偽のサイト(錠前がない場所)では鍵が反応しないため、フィッシング詐欺も防げます。
この記事を読めば、パスワード管理の9割が不要になる方法がわかります。2026年現在、Google、Apple、Microsoft、Amazon、PayPal、GitHubなど主要サービスが標準対応しており、今が移行のベストタイミングです。
注:パスキーはパスワードの完全な置き換えではなく、併用も可能です。この記事では段階的な移行方法を中心に解説していますが、すべてのサービスで対応しているわけではないため、状況に応じてパスワードマネージャーとの併用も検討する必要があります。
⚠️ 重要な前提
パスキーを安全に使うには、バックアップ設定が必須です。iPhoneユーザーはiCloudキーチェーン、AndroidユーザーはGoogleパスワードマネージャーを有効にしないと、スマホ紛失時にログインできなくなる可能性があります。設定手順は本記事のH2-4で詳しく解説します。
パスキーで実現する「パスワードゼロ生活」とは
パスキーは、指紋認証や顔認証だけでログインできる次世代の認証技術です。まずは、従来のパスワード管理の限界と、パスキーがもたらす変化を見ていきましょう。
従来のパスワード管理が抱える3つの限界
多くの人が日常的に直面しているパスワードの問題は、主に以下の3つです。
①覚えきれない
一般的なユーザーは平均100以上のオンラインアカウントを持っています。それぞれに異なる複雑なパスワードを設定すると、記憶は不可能です。メモやパスワードマネージャーに頼らざるを得ません。
②使い回しは危険
「覚えられないから同じパスワードを使い回す」という選択は、一つのサービスから情報が漏れた瞬間に、すべてのアカウントが危険にさらされます。実際、2025年のデータ侵害インシデントの約65%がパスワードの使い回しに起因しています。
③流出リスク
パスワードはサービス側のサーバーにも保存されるため(暗号化されていても)、サーバーがハッキングされれば流出する可能性があります。また、フィッシングサイトに入力してしまうと、直接攻撃者の手に渡ります。最近のフィッシング詐欺の手口については、【AI詐欺対策ガイド】で詳しく解説しています。
パスキーで変わる3つの体験
パスキーは、これらの問題を根本から解決します。
①入力ゼロでログイン
パスワードを入力する代わりに、スマホの指紋認証やFace ID、PCの顔認証などで本人確認が完了します。「パスワードを思い出す」という作業が消えます。Windows 11ではWindows Helloと連携してさらに快適に使えます。
②フィッシング詐欺が無効化
パスキーは特定のサイト(ドメイン)と紐付けられています。偽サイトでは正しい「錠前」がないため、あなたの「鍵」が反応しません。つまり、見た目がそっくりな偽サイトでも、パスキーは動作せず、被害を防げます。
③サービス側に秘密情報を預けない
パスキーの「鍵」はあなたのデバイスだけが持ち、サービス側は「錠前」(公開鍵)しか持ちません。サーバーがハッキングされても、攻撃者は「錠前」しか手に入らず、それだけではログインできません。
どのサービスから移行すべきか?優先順位の考え方
すべてのアカウントを一度に移行する必要はありません。まずは他のサービスとの連携が多い主要3つから始めることをお勧めします。
最優先:Google/Apple ID/Microsoft
理由:これらのアカウントは、多くの他サービスで「Googleでログイン」「Appleでサインイン」などの連携機能に使われます。ここを守れば、連鎖的に他のサービスも守られます。
所要時間:各2~3分
次の優先:銀行・決済サービス
理由:金銭的な被害に直結するため、セキュリティ強化の効果が大きいです。PayPal、Amazon、楽天など、パスキー対応済みのサービスから順次移行しましょう。
所要時間:各3~5分
この2つのカテゴリだけでも対応すれば、日常のログインの約9割がパスワード不要になります。
【3分で理解】パスキーの仕組みを「鍵と錠前」で解説
技術的な詳細は最小限に、パスキーがどうやって安全性と利便性を両立しているのかを理解しましょう。
従来のパスワードは「合言葉方式」だった
従来のパスワード認証は、「秘密の合言葉を知っている人だけが入れる」仕組みでした。
あなたが「password123」という合言葉を設定すると、サービス側もその合言葉(を暗号化したもの)を保存します。ログイン時に合言葉が一致すれば本人確認完了です。
問題点:
- 合言葉を誰かに盗み見られる(フィッシング)
- サービス側のサーバーから合言葉が漏れる(データ侵害)
- 同じ合言葉を使い回すと、一箇所の漏洩で全滅
パスキーは「鍵と錠前」で成立する
パスキーでは、あなたのデバイス(スマホやPC)が「鍵」を持ち、サービス側は「錠前」だけを持ちます。
登録時の流れ:
ログイン時の流れ:
- サービスが「この錠前を開けられるか?」と挑戦状を送る
- あなたのデバイスが「鍵」で応答を作成
- サービスが「錠前」でその応答を確認し、正しければログイン成功
重要なのは、「鍵」は絶対にデバイスの外に出ないことです。ネットワーク上を流れるのは「応答」だけで、鍵そのものは盗めません。
なぜフィッシング詐欺が効かないのか
偽サイトを訪れた場合を考えてみましょう。
偽サイトは本物のサービスの「錠前」を持っていません(持っているのは本物のサーバーだけ)。あなたのデバイスの「鍵」は、正しい錠前にしか反応しないように設計されています。
つまり、見た目がどんなに似ていても、ドメイン(URL)が違う偽サイトでは、パスキーが動作せず、ログインできません。パスワードのように「うっかり偽サイトに入力してしまう」事故が起きないのです。
💡 技術的な詳細を知りたい方へ
パスキーはFIDO2という国際標準規格に基づいており、公開鍵暗号方式を利用しています。より深い技術的な仕組みを知りたい方は、こちらの【パソコン用語集】で暗号化技術の基礎を学べます。
主要3サービスでパスキーを設定する【実践手順】
ここからは、実際にパスキーを設定する具体的な手順を解説します。各サービスとも所要時間は2~3分です。
設定前に確認すること
- スマホまたはPCが生体認証(指紋/顔/PIN)を設定済みか
- iPhoneならiOS 16以上、AndroidならAndroid 9以上か
- iCloudキーチェーン(iPhone)またはGoogleパスワードマネージャー(Android)が有効か(後述のバックアップ戦略で詳しく解説)
Googleアカウントでパスキーを設定する手順
Googleアカウントは、Gmail、YouTube、Google Driveなど多くのサービスへのログインに使われます。
iPhoneでの設定:
Androidでの設定:
基本的な流れは同じですが、認証方法が指紋認証またはPINコードになります。Androidの場合、Googleパスワードマネージャーに自動的に保存されます。
所要時間:約2分
Apple IDでパスキーを設定する手順
Apple IDは、iCloud、App Store、Apple MusicなどすべてのAppleサービスの入り口です。
iPhone/iPadでの設定:
注意:Apple IDのパスキーは、2要素認証(2FA)が有効になっている必要があります。まだ設定していない場合は、同じ画面で「2ファクタ認証」を有効にしてから進めてください。詳しくは【二段階認証設定ガイド】をご覧ください。
所要時間:約3分(2FA設定済みの場合は2分)
Microsoftアカウントでパスキーを設定する手順
MicrosoftアカウントはOutlook、OneDrive、Office 365、Xboxなどで使用されます。
PC・スマホ共通の設定:
Windows PCでの補足:Windows 10(22H2以降)またはWindows 11では、Windows Helloと連携してパスキーが保存されます。顔認証カメラや指紋リーダーがあれば、それをそのまま使えます。Windows 11の詳しい設定方法は【Windows 11初期設定ガイド】をご覧ください。
所要時間:約2分
設定完了後の確認
- 一度ログアウトして、パスキーでログインできるか試す
- 「パスワードでログイン」オプションも残っているか確認(バックアップ用)
- 次のセクションで解説するバックアップ設定を必ず行う
スマホ紛失・機種変更で困らないバックアップ戦略
パスキーの最大のリスクは、デバイスを失くすとログインできなくなることです。このセクションは記事の中で最も重要です。必ず実践してください。
⚠️ 絶対に忘れないでください
パスキーをデバイスだけに保存していると、スマホ紛失・故障時にアカウントにアクセスできなくなります。必ずクラウド同期(iCloudキーチェーンまたはGoogleパスワードマネージャー)を有効にし、予備デバイスでも登録してください。これを怠ると、復旧に数日~数週間かかる場合があります。
【必須】iCloudキーチェーン or Googleパスワードマネージャーの有効化
パスキーは、クラウドに同期されて初めて安全に使えます。
iPhoneユーザー:iCloudキーチェーンの確認
- 「設定」アプリを開く
- 一番上の自分の名前をタップ
- 「iCloud」→「パスワードとキーチェーン」を選択
- 「このiPhoneを同期」がオンになっているか確認
これがオンになっていれば、パスキーは自動的にiCloudに保存され、同じApple IDでサインインしている他のデバイス(iPad、Macなど)でも使えます。機種変更時の詳しい手順は【iPhone機種変更データ移行ガイド】をご覧ください。
Androidユーザー:Googleパスワードマネージャーの確認
- 「設定」アプリを開く
- 「Google」→「Googleアカウントの管理」をタップ
- 「セキュリティ」タブを開く
- 「パスワードマネージャー」→「設定」で「自動ログイン」がオンか確認
Androidの場合、パスキーはGoogleアカウントに紐付けられ、同じGoogleアカウントでサインインしている他のAndroidデバイスやChromeブラウザでも自動的に使えます。
予備デバイスでパスキーを登録しておく
クラウド同期だけでは不十分です。物理的に別のデバイスでもパスキーを登録しておくことで、二重の安全網を作れます。
推奨パターン①:スマホ+タブレット
メインのiPhoneと、自宅に置いているiPadの両方で同じサービスのパスキーを登録。iCloudキーチェーンで同期されているため、どちらからでもログイン可能。
推奨パターン②:スマホ+PC
Androidスマホと、自宅のWindows PCの両方で登録。スマホを外出先で紛失しても、帰宅後PCからログインして対処できる。
PCでの設定が不安な方は、【新しいパソコンの設定方法】で基本的なセットアップから学べます。
復旧用の電話番号・メールアドレスを最新に保つ
万が一、すべてのデバイスを失った場合の最終手段は「アカウント復旧」です。
Google、Apple、Microsoftいずれも、登録している予備の電話番号やメールアドレスに確認コードを送ることで、本人確認を行う仕組みがあります。
定期的に確認すべき復旧用連絡先
- 予備のメールアドレスが現在も使えるか(半年に1回確認)
- 電話番号が最新か(機種変更時は必ず更新)
- 家族や信頼できる人の連絡先を「復旧用連絡先」に登録(Appleの場合)
注意:復旧用連絡先が古い情報のままだと、パスキーを失った際にアカウントごと失う可能性があります。特に携帯電話番号は、解約後に他人に再割り当てされることがあるため、速やかに更新してください。
複数デバイス・異なるOS間でパスキーを使う方法
「仕事ではWindows PC、プライベートではiPhone」のように、異なるエコシステムを使っている人は多いでしょう。このセクションでは、現実的な運用方法を解説します。
iPhone + Windows PCでパスキーを共有する設定
iPhoneとWindows PCを組み合わせて使う場合、2つの方法があります。
方法①:iCloud for Windowsを使う(推奨)
Appleが提供する「iCloud for Windows」アプリをPCにインストールすると、iCloudキーチェーンに保存されたパスキーをWindows PCでも使えます。
- Windows PCで「Microsoft Store」から「iCloud」アプリをインストール
- Apple IDでサインイン
- 「パスワード」のチェックボックスをオンにする
- 以降、Chrome拡張機能「iCloud Passwords」経由でパスキーが使える
Windows 11の詳しい設定方法は【Windows 11初期設定最適化ガイド】をご覧ください。
方法②:QRコード認証を使う
多くのサービスでは、PC画面にQRコードを表示し、スマホで読み取ることでパスキー認証ができます。
- PCのログイン画面で「パスキーでサインイン」を選択
- 「別のデバイスを使用」または「QRコード」を選択
- iPhoneのカメラでQRコードを読み取る
- iPhoneで生体認証を行うと、PCでログインが完了
QRコード方式は、出先のPCなど一時的に使うデバイスでも安全にログインできる方法です。
AndroidスマホとChromebookの連携
Googleエコシステム内では、連携が非常にスムーズです。
AndroidスマホでGoogleパスワードマネージャーにパスキーを保存すると、同じGoogleアカウントでサインインしているすべてのデバイスで自動的に使えます。
- Chromebook
- 他のAndroidデバイス(タブレットなど)
- Chromeブラウザ(Windows、Mac、Linux)
特別な設定は不要で、一度パスキーを作成すれば、すべてのデバイスで同期されます。スマホとPCの連携について詳しくは【パソコンとスマホ連携ガイド】をご覧ください。
仕事用PCと個人スマホの使い分け
会社のセキュリティポリシーによっては、私物デバイスの業務利用が制限されている場合があります。
推奨運用:「このデバイスのみ」設定
多くのサービスでは、パスキー作成時に「このデバイスのみに保存」というオプションがあります。
- 個人アカウント:クラウド同期オン(iCloud/Google)
- 仕事用アカウント:「このデバイスのみ」で会社PCに保存
この設定により、会社のアカウント情報を私物デバイスに保存せず、コンプライアンスを守りながらパスキーの利便性を享受できます。法人向けのセキュリティ設定については【法人向けPC初期設定チェックリスト】で詳しく解説しています。
⚠️ 会社のポリシーを必ず確認
企業によっては、パスキー(生体認証)の使用自体が禁止されている場合や、特定のデバイス管理ツール(MDM)との併用が必須の場合があります。勝手に設定せず、必ずIT部門に確認してください。
パスキー移行期のパスワード併用ベストプラクティス
すべてのサービスが今すぐパスキーに対応しているわけではありません。移行期の現実的な管理方法を解説します。
全サービスを一度に移行する必要はない
「パスキーに完全移行しなければ」と焦る必要はありません。段階的な移行が賢い選択です。
このロードマップなら、フェーズ2までで日常の9割のログインがパスワード不要になります。フェーズ3以降は、各サービスがパスキーに対応するタイミングで徐々に移行すればOKです。
パスキー非対応サイトのパスワード管理はどうする?
2026年2月時点で、主要サービスの約60%がパスキー対応済みですが、残り40%はまだパスワードが必要です。
推奨:パスワードマネージャーとの併用
パスキー非対応のサイトには、従来通りパスワードマネージャー(1Password、Bitwarden、LastPass等)を使い続けることをお勧めします。
パスキー対応サイト
管理方法:iCloudキーチェーンまたはGoogleパスワードマネージャー
ログイン:生体認証のみ(パスワード入力なし)
パスキー非対応サイト
管理方法:1Password等のパスワードマネージャー
ログイン:パスワードマネージャーの自動入力
パスワードマネージャーの詳しい選び方と設定方法は、【パスワード管理と二段階認証設定完全ガイド】で解説しています。
パスキー設定後もパスワードは削除しない
パスキーを設定した後も、パスワードは残しておくことを強く推奨します。
理由:
- すべてのデバイスを失った場合の最終手段
- 古いデバイスや他人のデバイスから一時的にログインする必要がある場合
- サービス側のパスキー機能に不具合があった場合のバックアップ
多くのサービスでは、パスキーとパスワードは併存でき、ログイン時に好きな方を選べます。「パスキーを設定したらパスワードを削除しなければ」と考える必要はありません。
よくある質問(FAQ)
Q1: 家族でアカウントを共有している場合、パスキーはどうなる?
A: パスキーは「デバイス+生体認証」が紐付くため、基本的に共有には向きません。
例えば、家族で共有しているNetflixアカウントにパスキーを設定すると、あなたのスマホでしかログインできなくなります。家族全員が使えるようにするには、以下の対応が必要です。
- 推奨:家族用のサブアカウントを作成する(多くのサービスで無料または低コストで可能)
- 代替案:共有アカウントにはパスキーを設定せず、パスワードのまま使い続ける
- 一部対応:iCloudファミリー共有機能を使えば、家族間でパスワード(とパスキー)を共有できるケースもありますが、対応サービスは限定的です
Q2: パスキー設定後に「パスワードでログイン」に戻せる?
A: はい、ほとんどのサービスでパスキーとパスワードは併存可能です。
パスキーを削除したい場合は、各サービスのセキュリティ設定で「パスキーの管理」から該当するパスキーを削除すれば、パスワードログインに戻せます。パスキーを削除しても、パスワード自体は残ります。
Q3: 指紋認証・Face IDが反応しない時はどうする?
A: デバイスのPINコードやパスワードでもパスキー認証は可能です。
生体認証が失敗した場合、ほとんどのデバイスで「PINコードを入力」または「デバイスパスワードを入力」という代替手段が表示されます。これは生体認証のバックアップとして機能します。
もしデバイス自体の生体認証機能が完全に故障している場合は、一時的に「パスワードでログイン」を選択し、デバイス修理後に再度パスキーを使えます。デバイスのトラブル対処法は【PCトラブル解決センター】で解説しています。
Q4: 会社のPCでもパスキーを設定すべき?
A: 会社の情報セキュリティポリシー次第です。
私物デバイスの業務利用が禁止されている場合は、「このデバイスのみ」オプションでPC単体にパスキーを登録することを検討してください。ただし、必ず事前にIT部門に確認してください。
企業によっては、特定のデバイス管理ツール(MDM)との併用が必須だったり、生体認証自体が禁止されている場合があります。法人向けのセキュリティ対策については【企業向けセキュリティ・コンプライアンス設定ガイド】をご覧ください。
Q5: どのサイトがパスキー対応しているか確認する方法は?
A: ログイン画面で「パスキーでサインイン」「顔認証/指紋認証でログイン」等の選択肢があるか確認してください。
または、各サービスの「セキュリティ設定」ページを開き、「サインイン方法」や「2段階認証」のセクションで「パスキー」が選択肢にあるか確認できます。
主要なパスキー対応サービス(2026年2月時点):
- Google(Gmail、YouTube等すべてのサービス)
- Apple ID(iCloud、App Store等)
- Microsoft(Outlook、OneDrive、Office 365等)
- Amazon、PayPal
- GitHub、Shopify
- TikTok、Adobe
まとめ:今日から始めるパスキー移行3ステップ
この記事では、パスキーの設定方法とリスク管理について解説しました。
- パスキーは「覚えるもの」から「デバイスが持つもの」への進化
従来のパスワードは「合言葉」方式で漏洩リスクがありましたが、パスキーは「鍵と錠前」方式で鍵がデバイスの外に出ないため、フィッシング詐欺やサーバー侵害に強い仕組みです。2026年現在、主要サービスの約60%が対応済みです。
- 最優先はGoogle/Apple ID/Microsoftの3つ
これらのアカウントは他の多くのサービスと連携しているため、ここを守れば連鎖的にセキュリティが向上します。各サービスとも設定は2~3分で完了し、これだけで日常のログインの約9割がパスワード不要になります。
- 必ずバックアップ設定を行うこと
iCloudキーチェーン(iPhone)またはGoogleパスワードマネージャー(Android)を有効にし、パスキーをクラウド同期させることが絶対条件です。さらに、予備デバイス(タブレットやPC)でも登録し、復旧用連絡先を最新に保つことで、スマホ紛失時のリスクを最小化できます。詳しくは【iPhoneバックアップ完全ガイド】をご覧ください。
- 段階的な移行でOK
すべてのサービスを一度に移行する必要はありません。主要3サービス→銀行・決済→その他の順で進め、パスキー非対応サイトは従来のパスワードマネージャーと併用しましょう。パスキー設定後もパスワードは削除せず、バックアップとして残しておくことを推奨します。
- 異なるOS間でも運用可能
iPhoneとWindows PCの組み合わせでも、iCloud for WindowsやQRコード認証を使えばスムーズに連携できます。仕事用PCでは「このデバイスのみ」設定を使い、個人スマホと分離することでコンプライアンスも守れます。
今日から始める3ステップ:
- バックアップ設定の確認(iCloudキーチェーンまたはGoogleパスワードマネージャー)
- 主要3サービスでパスキーを設定(Google/Apple/Microsoft)
- 予備デバイスでも同じサービスのパスキーを登録
この3ステップで、パスワード管理の負担が劇的に減り、セキュリティも大幅に向上します。
💡 さらに詳しく学びたい方へ
パスキーを含む総合的なセキュリティ対策については、以下の記事もご覧ください:
設定に不安がある方、トラブル時のサポートが必要な方へ:
パソコン設定ガイドでは、「アカウント管理・セキュリティ設定代行サービス」を提供しています。パスキーの設定からバックアップ戦略の構築、機種変更時の引き継ぎまで、専門スタッフがサポートいたします。お気軽にお問い合わせください。
パソコン・iPhone・スマホの初期設定から専門性の高い難しい設定まで「安心」「安全」にPCホスピタルにお任せできます!