Microsoftの自動有効化と事例から見えるパスワード後の認証設計

2026年4月2日 2026年4月3日

maruyama

ニュース原文：https://securityboulevard.com/2026/03/passkeys-hit-critical-mass-microsoft-auto-enables-for-millions-87-of-companies-deploy-as-passwords-near-end-of-life/

パスキーはこれまで「次世代の認証方式」として語られてきましたが、2026年春の動向は市場が新たなフェーズへ移行したことを示しています。

Security Boulevardが3月末に公開した記事によると、Microsoftが企業向け認証基盤「Microsoft Entra ID」においてパスキー設定の自動有効化を進めており、さらにFIDO Allianceの調査では米英企業の87％がパスキーを導入済み、または導入中であることが判明しました。

企業の認証基盤が、パスワードを前提とした設計から本格的に脱却し始めた状態と言えます。

企業標準インフラへの組み込み

パスキーは、公開鍵暗号方式を用いた認証技術です。利用者の端末側に秘密鍵を保持し、サービス側は公開鍵で検証を行います。ログイン時にはFace ID（顔認証）やTouch ID（指紋認証）、端末PINなどの生体・所持認証を用いるため、文字列をサーバーと共有・照合する従来のパスワード認証とは根本的に構造が異なります。個人向けMicrosoftアカウントにおけるパスキー利用者のサインイン成功率は約98％に達し、パスワード利用時の約32％を大きく上回る実績を残しています。

今回の報道で最も注目すべきは、Microsoft Entra IDの動きです。2026年4月から5月にかけて、独自設定をしていない企業テナントに対してパスキープロファイルの自動有効化が段階的に進められます。

管理者は「synced passkeys（クラウド同期型パスキー）」と「device-bound passkeys（デバイス固定型パスキー）」を区別してプロファイルを制御できるようになり、グループ単位でのきめ細かいポリシー設定が可能になります。個人向けアカウントの「passwordless by default（初期設定でのパスワードレス化）」で先行した流れが、企業向けインフラにも標準仕様として強力に適用され始めました。

87％の導入率と、多様化するパスキーのユースケース

FIDO Allianceの調査が示す「米英企業の87％が導入着手」という数字は、パスキーが実験段階を終えた明確な指標です。消費者側でも少なくとも1つのパスキーを有効にしている割合が69％に達しており、企業は従業員や顧客に対してゼロから新しい認証方式を教育するハードルを越えつつあります。

元記事では、プラットフォームごとの多様なユースケースも紹介されています。GoogleやAmazon、Facebookといった巨大消費者基盤での採用に加え、GeminiやGitHub、TikTokなど、金融から開発基盤、SNSに至るまで幅広い文脈で実装が進んでいます。

中でも特徴的なのがRedditの事例です。Redditはパスキーをボット対策として導入し、「本人が誰か（Identity）」を厳密に特定する用途から、「いま実際に人間が端末を操作しているか（Proof of Personhood）」を確かめる用途へと展開しました。

匿名性を維持しつつ人間の介在を証明するこの手法は、アカウント保護を目的とした従来のログイン強化とは異なる新たな広がりを示しています。

実務の分岐点

普及が進む一方で、実務における実装の難易度は上がっています。Palo Alto Networksの研究が指摘するように、Google Authenticatorなどの「同期型パスキー」基盤では、クラウド側の同期や管理経路が新たな攻撃対象（アタックサーフェス）になり得るというリスクが顕在化しています。パスキーを単に「パスワードより安全」と一括りに評価することは困難です。

企業実務では、利便性の高い「同期型」と、セキュリティ要件の厳しい「デバイス固定型」をどう使い分けるかが勝負になります。Entra IDにおいても、デバイスの真正性を証明するattestation（アテステーション）や、認証器のモデルを識別するAAGUIDを管理者がどう制御し、誰にどのタイプを許可するかが具体的な論点として浮上しています。

ログイン画面の改修から「アカウント回復と信頼」の設計へ

昨今のパスキーの普及を単なる「ログイン体験（UI）の向上」と捉えると、本質を見誤ります。

パスワードが併存する世界では、最終的に「パスワードの再設定」という既存のフローに依存できました。しかしパスワードレス化が本格化すると、端末の紛失や機種変更、復旧時の「本人確認手段」がID基盤の中核課題となります。

どのデバイスを信頼し、紛失時に何をもって本人からの復旧リクエストとみなすのか。これは、より広範なデジタルアイデンティティの設計へと直結します。共有の秘密情報（パスワード）に頼る認証から、端末と暗号署名ベースの検証可能な仕組みへ寄せるこの潮流は、VC（Verifiable Credentials）の実装が直面する「信頼の担保と検証責任の設計」という論点と完全に軌を一にしています。

Microsoftが設定の既定値を動かし、同期型とデバイス固定型のポリシー制御が実務化する現在。

パスキーの実装は、管理者の運用ポリシー設定とアカウント回復フローの再構築を含む、ID基盤全体の抜本的な再設計として捉えるべき段階に突入しています。