パスキーとは？スマホで始める安全ログイン設定と対応サービス

フィッシング詐欺の被害が高止まりするなか、金融分野でも「フィッシングに耐性のある認証」の導入が強く求められるようになっています。2026年1月のフィッシング報告件数は202,350件で、対策の重要性は引き続き高い状況です。そこで注目されているのが、パスワードに代わる新しいログイン方式であるパスキーです。詳しくはフィッシング対策協議会の月次報告をご確認ください。

• パスキーとは何か、パスワードとどう違うのかがわかる
• なぜフィッシング詐欺に強いのかを初心者向けに理解できる
• iPhone・Androidで始める手順と、国内対応サービスの確認ポイントがわかる

本記事では、パスキーとは何かを出発点に、フィッシング詐欺に強い理由、iPhone・Androidでの設定方法、国内サービスでの使われ方までをわかりやすく解説します。（専門知識は不要です！）

パスキーとは？まず知っておきたい結論

パスキーは、パスワードの代わりに端末のロック解除を使って本人確認する認証方式です。

パスキーとは、パスワードの代わりにスマホやPCの画面ロック解除を使ってログインする仕組みです。顔認証、指紋認証、または端末のPINで本人確認を行い、サイトやアプリ側にはパスワードそのものを送らない方式が採用されています。

FIDO Allianceは、パスキーを公開鍵暗号に基づくフィッシング耐性のある認証方式として案内しています。技術用語は難しく見えますが、利用者の感覚としては「覚える文字列を減らしながら、偽サイトにも強くする」認証と考えるとわかりやすいでしょう。詳しくはFIDO Allianceのパスキー解説でも確認できます。

GoogleはGoogleアカウントでのパスキー利用について、パスワードやSMSコードよりフィッシングに強い方法として案内しています。詳しくはGoogle公式ヘルプをご確認ください。Appleでも、パスワードアプリとiCloudキーチェーンを通じて、パスキーをApple製デバイス間で管理できると案内しています。詳しくはAppleのパスワードアプリ案内をご確認ください。

結論から言うと、パスキーはパスワードを使い回さず、偽サイトに情報を渡しにくい点が大きな強みです。2026年時点では、まずGoogleアカウントやApple Accountのような主要アカウントから設定を始め、その後に金融・証券・会員サービスへ広げていく進め方が現実的です。

パスキーがフィッシング詐欺に強いのはなぜか

パスキーは、正規のサイトやアプリに結び付いた認証情報を使うため、偽サイトで悪用されにくいのが強みです。

フィッシング詐欺では、本物そっくりのログイン画面に誘導し、利用者が自分でIDやパスワード、SMS認証コードを入力してしまうことが大きな問題です。パスキーはこの流れに対して強く、正規サイトと結び付いた鍵を使うため、偽サイトで同じように悪用しにくい構造になっています。

こうした背景から、金融分野でもパスキーのようなフィッシング耐性のある多要素認証が重視されています。金融庁も、証券会社の不正アクセス対策として、パスキー認証などのフィッシングに耐性のある多要素認証の導入が進められていると注意喚起しています。詳しくは金融庁の注意喚起ページをご確認ください。

なお、フィッシングSMSの具体的な見分け方やブロック方法は、当サイトのフィッシングSMS詐欺の見分け方とブロック方法でも詳しくまとめています。パスキーは有効な対策ですが、怪しいメッセージ自体を見抜く力も引き続き重要です。

スマホでパスキーを始める前に確認したいこと

始める前に、端末のロック設定と保存先の条件を確認しておくと、あとで迷いにくくなります。

パスキーは便利ですが、使い始める前にいくつか前提条件を確認しておくとスムーズです。ここでつまずきやすいのは、iPhoneとAndroidで保存先や必要な設定が少し違うことです。

iPhoneでは、Apple公式案内によると、パスキーを保存・同期して使うためにiCloudキーチェーンが使われます。詳しい条件はAppleのパスキーに関する案内で確認できます。

Androidでは、Google Password Managerを通じてパスキーを保存・管理する使い方が中心です。AndroidやChromeでの利用方法はChromeでパスキーを管理する方法で確認できます。

初めて設定する場合は、普段から使っているGoogleアカウントやApple Accountのような基盤サービスから始めるのがおすすめです。理由は、設定手順が比較的わかりやすく、今後ほかのサービスでもパスキーに触れる機会が増えたときに理解しやすくなるためです。

iPhone・Androidでパスキーを設定する手順

基本の流れは、端末のロック設定を確認し、対応サービス側で「パスキーを追加」して試す形です。

細かな画面表示は端末やOSのバージョン、サービスごとに異なることがありますが、基本的な流れは共通しています。初心者向けに大まかな進め方を整理します。実際のボタン名や画面差分がある場合は、各公式サポートもあわせて確認してください。

iPhoneで始める基本手順

iPhoneでは、まずiCloudキーチェーンとApple Account側の条件を満たしていることを確認します。そのうえで、対応サイトやアプリのログイン設定画面から「パスキーを作成」「パスキーを追加」などの項目を選び、Face ID、Touch ID、または端末のパスコードで認証します。

1. iPhoneの設定で、Apple Accountのサインイン状態とiCloudキーチェーンの利用状況を確認する
2. 対応サービスのアカウント設定画面を開く
3. 「パスキーを追加」などの項目を選ぶ
4. Face ID、Touch ID、またはパスコードで本人確認する
5. 保存完了後、次回ログイン時にパスキーでサインインできるか試す

Androidで始める基本手順

Androidでも、流れは大きく変わりません。Googleアカウントにログインした状態で、端末の画面ロックとGoogle Password Managerが使える状態にしておき、対応サービス側の設定からパスキーを追加します。

1. Android端末で画面ロック、生体認証、またはPINを設定する
2. Googleアカウントにログインしていることを確認する
3. 対応サービスのセキュリティ設定を開く
4. 「パスキーを作成」「パスキーを追加」などを選ぶ
5. 端末側の認証を行い、保存後にログインを試す

どの順番で設定すると迷いにくいか

最初に全部のサービスで設定しようとすると混乱しやすいため、次の順番が現実的です。

このように段階的に進めると、「どこに保存されたのか」「次回はどうログインするのか」が把握しやすくなります。

パスキーに対応しているサービスは？日本での確認例

日本でも対応例は増えていますが、対応範囲はサービスごとに異なるため、最後は公式案内で確認することが大切です。

2026年時点では、パスキー対応サービスは確実に増えています。ただし、すべての国内銀行やECサイトが同じ形で対応しているわけではありません。Webだけ対応、アプリだけ対応、一部操作のみ対応という違いもあるため、完全一覧として断定するより、代表例と確認方法を押さえるほうが実用的です。

まず基盤として押さえたいのは、GoogleとAppleです。加えて、日本国内ではdアカウントのパスキー認証案内が比較的わかりやすく、スマホを使ったログイン方法のイメージをつかみやすいです。

金融分野では、証券会社の案内としてSMBC日興証券のパスキー認証案内や、東洋証券のパスキー案内などで、パスキー対応や設定方法が確認できます。

つまり、検索で見つけた一覧記事だけで判断するのではなく、最後は必ず各サービスの公式ページで確認することが大切です。今後も対応サービスは増える可能性が高いため、記事執筆時点の代表例として理解しておくのがよいでしょう。

スマホを紛失したらどうなる？復旧と再設定の考え方

同期型の仕組みを使っていれば、端末をなくしても即終了とは限りませんが、復旧手段の確認は必須です。

パスキーについてよくある不安が、「スマホをなくしたらログインできなくなるのでは」という点です。結論としては、同期型の仕組みを使っていれば、端末をなくしたら即終了というわけではありません。ただし、何も準備していないと復旧が面倒になる可能性はあります。

Appleは、iCloudキーチェーンを通じてパスキーを同じApple Accountのデバイス間で利用できると案内しています。Googleも、GoogleアカウントやPassword Managerの仕組みを通じて、複数端末でパスキーを扱う考え方を示しています。サービスによっては再認証や再登録が必要なこともあるため、OS側の同期だけでなく、利用先サービスの復旧方法も確認しておきましょう。

一方で、紛失時には次の3点が重要です。

パスキーはパスワードの使い回しリスクを減らせる反面、復旧の考え方を理解していないと不安が残ります。設定したら終わりではなく、「なくしたときにどう戻るか」まで確認しておくことが重要です。

また、SNSや各種アカウントの乗っ取り対策をまとめて見直したい場合は、当サイトのSNS乗っ取り対策と二段階認証の基本も参考になります。パスキーと既存の認証対策をどう組み合わせるかを整理しやすくなります。

よくある質問（FAQ）