結論から言う。Googleにログインするたびに出てくる「パスキーを作成」の通知は、スキップし続けるより設定したほうがいい。パスキーはパスワードより構造的にフィッシングに強く、ログインにかかる時間も半分以下になる。
FIDO Allianceが2026年5月6日に公開したState of Passkeys 2026レポートの数字を引く。パスキーによるサインイン所要時間は平均13.6秒、パスワードは27.5秒。世界で50億個のパスキーが発行済みで、消費者の75%が少なくとも1アカウントでパスキーを有効にしている。もはやニッチな機能ではない。
ただし「設定して終わり」ではなく、バックアップ手段を先に確保する必要がある。筆者は過去に二段階認証アプリのQRコード保存を怠り、スマホが故障してGitHubとAWSに3日間ログインできなくなった。パスキーでも同じ構造の事故は起こり得る。順番を間違えると詰む。
パスキーは何をやっているのか
パスキーはFIDO2/WebAuthn規格に準拠した認証方式だ。内部的には公開鍵暗号方式を使っている。
仕組みはこうなる。パスキーを作成すると、端末内に「秘密鍵」、Googleのサーバーに「公開鍵」がペアで保存される。ログイン時には端末の生体認証(指紋や顔)またはPINで秘密鍵へのアクセスを許可し、サーバー側の公開鍵と暗号的に照合して認証が完了する。パスワードのように認証情報が平文でネットワークを流れることはない。
フィッシングサイトにパスキーを「入力してしまう」事故は原理上起きない。秘密鍵は端末から外部に出ず、正規のドメインでしか認証が成立しない仕様だからだ。偽のGoogleログイン画面を開いても、パスキー認証は発動しない。
SIer時代に、社内基幹システムのアクセス権限がデフォルトで「全社読み取り可」のまま半年間放置されていた事故を経験した。デフォルト設定がどちら側に倒れているかでセキュリティの実質的な強度は決まる。パスキーは「秘密鍵が端末から出ない」という安全側のデフォルトを仕様レベルで組み込んでいる点で、パスワード方式とは設計思想が根本的に異なる。
Googleアカウントへのパスキー設定手順
設定は2分で終わる。
スマホ(iPhone / Android)の場合:
- myaccount.google.com/signinoptions/passkeys にアクセス
- 「パスキーを作成する」をタップ
- 端末の画面ロック(指紋認証・顔認証・PIN)で本人確認
完了だ。iPhoneならiCloudキーチェーン、AndroidならGoogleパスワードマネージャーにパスキーが保存される。
パソコン(Windows / Mac)の場合:
- 同じURLにブラウザでアクセス
- 「パスキーを作成する」をクリック
- Windows HelloまたはTouch IDで認証
パソコンとスマホの両方で作成しておくと、片方が使えなくなってももう一方でログインできる。
なお、Googleは2023年10月にパスキーを個人アカウントのデフォルトオプションに昇格させ、Google アカウント ヘルプでは「可能な場合はパスワードをスキップする」設定が標準でオンになっている。あの「パスキーを作成」通知が頻繁に出るのは、Googleがパスワードからの移行を積極的に促しているためだ。
スマホが壊れたらログインできなくなるのか
パスキー導入で最も多い不安がこれだろう。答えを先に書く。複数端末にパスキーを作っておけば問題ない。
iPhoneで作ったパスキーはiCloudキーチェーン経由で、同じApple IDに紐づくiPadやMacに自動同期される。Android端末もGoogleアカウント経由で同期する。1台が壊れても、同じエコシステム内の別端末からログインできる仕組みだ。
ただしiCloudキーチェーンのパスキーがWindows PCに自動で渡ることはない。エコシステムの壁がある。対策は3つだ。
- 複数端末にパスキーを作成する。スマホとパソコンの両方で設定しておく。エコシステムが異なっても、端末ごとに個別のパスキーを作れる
- パスワードは削除しない。パスキーを設定してもパスワードは残る。「可能な場合はパスワードをスキップする」をオンにしていても、パスワード自体は引き続き有効だ。全端末が使えなくなった最悪のケースでもパスワード+2段階認証でログインできる
- FIDO2対応のセキュリティキーを1本持っておく。YubiKeyなどの物理キーがあれば、スマホもPCも使えない状況でもパスキー認証が通る。筆者はYubiKey 5 NFCを自宅に1本保管している
パスキーをまだ設定しなくていいケース
原則として設定を推奨するが、急がなくてもいい状況はある。
- スマホもパソコンも1台しか持っていない場合。バックアップ端末がない状態でパスキーに依存すると、その1台が壊れたときにリカバリの手間が増える。セキュリティキーを購入するか、2台目の端末を確保してから設定するほうが安全だ
- 端末の画面ロックPINを家族と共有している場合。パスキーは端末の画面ロックで認証する。PINを知っている人はパスキー経由でGoogleアカウントにもログインできてしまう。端末共有の場合はパスワード+2段階認証のほうが認証経路を分離できる
- iOS 15以前・Android 8以前を使っている場合。パスキーはiOS 16以降、Android 9以降、Windows 10以降が対応要件だ。古いOSではそもそもパスキーを作成できない
なおMicrosoftも2025年5月から新規アカウントのデフォルトをパスキーに切り替えており、FIDO Allianceの2026年5月発表ではGoogleアカウントでのパスキー利用者が8億アカウントを超えた。パスワードからパスキーへの移行はGoogleに限った話ではなく、業界全体の流れである。遅かれ早かれ対応が必要になる。
FAQ
パスキーを設定したらパスワードは使えなくなる?
使える。パスキーを設定してもパスワードは削除されない。Googleアカウントのセキュリティ設定で「可能な場合はパスワードをスキップする」をオフにすれば、従来どおりパスワードでログインできる。パスキーとパスワードは併用する認証手段であり、どちらか一方しか使えないわけではない。
指紋や顔のデータがGoogleに送信されることはある?
ない。Googleセーフティセンターの公式説明によれば、生体認証データは端末内でのみ処理される。パスキーの秘密鍵へのアクセスを許可するためだけに端末上で使われ、Googleのサーバーには一切送信されない。
iPhoneからAndroidに機種変更したらパスキーはどうなる?
iCloudキーチェーンに保存されたパスキーはAndroid端末に自動同期されない。機種変更後のAndroid端末で同じGoogleアカウントのパスキーを新規作成する必要がある。旧端末が手元にある間にパスワードでもログインできることを確認しておくのが確実だ。
パスキーを削除したくなったら?
Googleアカウントの「セキュリティ」→「パスキーとセキュリティキー」から個別に削除できる。削除してもアカウント自体には影響なく、パスワードログインに戻るだけだ。
参考文献
- パスワードの代わりにパスキーでログインする — Google アカウント ヘルプ
- パスキーのパスワードレス認証 — Google セーフティ センター
- Passkey Index 2025 — FIDO Alliance, 2026年5月
- FIDO Alliance Reports Accelerating Global Passkey Adoption on World Passkey Day 2026 — BusinessWire, 2026年5月6日
