Sincronización de passkeys - Compartir credenciales entre dispositivos

Lectura de 2 min aprox.

パスキー同期とは、パスキーの 認証情報 (秘密鍵) をクラウド経由で複数デバイスに配布する仕組みです。 従来のFIDO2 認証では 秘密鍵が単一デバイスに固定されていたため、デバイスの紛失や買い替え時に 認証情報を再登録する手間が大きな導入障壁でした。 2022 年に Apple が iCloud キーチェーンでのパスキー同期を発表したことを皮切りに、 Google と Microsoft も追随し、パスワードレス認証の普及を加速させています。

なぜ同期が必要になったのか

セキュリティキーのような デバイス固定型の FIDO2 認証は、セキュリティ面では理想的ですが、一般ユーザーにとって ハードルが高すぎました。鍵を紛失すればアカウントにアクセスできなくなり、 新しいデバイスを購入するたびに全サービスで再登録が必要です。 この「使いにくさ」がパスワードレス認証の普及を妨げていた最大の要因であり、 同期機能はその解決策として設計されました。

プラットフォーム別の同期方式

いずれのプラットフォームも、同期時にエンドツーエンド暗号化を 適用しています。Apple の場合、iCloud キーチェーンの暗号鍵はデバイス上で生成され、 Apple のサーバーには暗号化済みのデータしか保存されません。 つまり Apple 自身もパスキーの中身を読み取ることはできない設計です。

同期の仕組み - エンドツーエンド暗号化

クラウドプロバイダーのサーバーが侵害されたとしても、暗号化された状態のパスキーデータからは 秘密鍵を取り出せません。ただし、アカウント自体が乗っ取られた場合 (例: iCloud アカウントの パスワードが漏洩し、二要素認証も突破された場合) は、攻撃者が新しいデバイスを追加して パスキーを同期できてしまうリスクがあります。クラウドストレージの アカウント保護が、パスキー同期のセキュリティの土台になっているのです。

クロスプラットフォーム同期の現状と課題

2025 年時点で最大の課題は、プラットフォームをまたいだ同期ができないことです。 iPhone で作成したパスキーは Android には同期されず、その逆も同様です。 FIDO Alliance は「マルチデバイスクレデンシャル」の相互運用性を推進していますが、 各プラットフォームが自社エコシステムへの囲い込みを優先しているのが実情です。

この問題の現実的な回避策として、1Password や Dashlane などのサードパーティ パスワードマネージャーがクロスプラットフォームのパスキー同期に対応し始めています。 これらのツールは OS のパスキー基盤とは独立して動作するため、 Apple デバイスと Android デバイスの間でもパスキーを共有できます。マルチデバイスでのパスワード同期の 記事で、具体的な設定手順を解説しています。

デバイス固定型とのトレードオフ

企業のセキュリティポリシーでは、一般従業員には同期型パスキーを許可しつつ、 管理者アカウントにはセキュリティキーを義務化するハイブリッド運用が増えています。パスキー移行の課題では、 この運用設計の詳細を解説しています。

よくある誤解

「パスキーが同期されるなら、パスワードと同じで漏洩リスクがあるのでは」という 懸念をよく耳にします。しかし、パスキーの同期とパスワードの同期は根本的に異なります。 パスワードはサーバーに送信される「共有秘密」ですが、パスキーの秘密鍵はサーバーに 送信されることがありません。同期されるのはデバイス間のみであり、認証時にはチャレンジへの 署名だけがサーバーに送られます。仮に同期経路が侵害されても、E2EE により 暗号化されたデータからは秘密鍵を取り出せません。パスワードレス認証の関連書籍 (Amazon)で、この仕組みをより深く学べます。

実務での導入判断

パスキー同期を導入する際は、対象ユーザーの利用環境を事前に調査することが重要です。 Apple エコシステムに統一されている組織なら iCloud キーチェーンだけで十分ですが、 BYOD (個人デバイス持ち込み) 環境ではクロスプラットフォーム問題が顕在化します。生体認証のリスクも あわせて評価し、同期型パスキーの本人確認手段として生体認証が適切かどうかを検討してください。