近年、パスワードを用いた認証システムの脆弱性が顕著になり、
不正アクセスや機密情報の流出といったセキュリティインシデントが増加しています。
フィッシングやパスワードリスト攻撃、流出したIDとパスワードを使った
クレデンシャルスタッフィング攻撃などにより、多くのユーザーが被害を受けています。
このような状況で、
パスワードに依存しない、より安全で利便性の高い認証方式として、
注目を集めているのが パスキー認証です。
本記事では、SPIRALのマイエリア機能を利用したパスキー認証について、
仕組みの解説から実際の設定方法までを解説します。
この記事を読むことで、以下が可能になります。
・パスキー認証の基本的な仕組みとメリットを理解できる
・SPIRAL管理画面でのパスキー認証の設定手順が分かる
※本文中には一部セキュリティ関連の専門用語が登場しますが、用語の解説は記事末尾の「参考情報」にまとめています。
※2026年6月17日(水)に実施されたSPIRAL ver.1のアップデート(ver.1.14.13)により、
名称を「FIDO認証」から「パスキー認証」に変更しています。
不正アクセスや機密情報の流出といったセキュリティインシデントが増加しています。
フィッシングやパスワードリスト攻撃、流出したIDとパスワードを使った
クレデンシャルスタッフィング攻撃などにより、多くのユーザーが被害を受けています。
このような状況で、
パスワードに依存しない、より安全で利便性の高い認証方式として、
注目を集めているのが パスキー認証です。
本記事では、SPIRALのマイエリア機能を利用したパスキー認証について、
仕組みの解説から実際の設定方法までを解説します。
この記事を読むことで、以下が可能になります。
・パスキー認証の基本的な仕組みとメリットを理解できる
・SPIRAL管理画面でのパスキー認証の設定手順が分かる
※本文中には一部セキュリティ関連の専門用語が登場しますが、用語の解説は記事末尾の「参考情報」にまとめています。
※2026年6月17日(水)に実施されたSPIRAL ver.1のアップデート(ver.1.14.13)により、
名称を「FIDO認証」から「パスキー認証」に変更しています。
パスキー認証とは?
パスキー認証とは、国際的に標準化が進んでいるパスワードレス認証方式です。
最大の特徴は、パスワードを使用しない認証方式である点です。
昔から認証はパスワードによるものがほとんどで、それが一般的になっています。
パスワードは個人が自由に設定できて便利ですが、安易な文字列でパスワードを組んでしまうと推測されたり、
のぞき見やフィッシング詐欺などによって盗まれたりする場合があります。
パスキー認証はパスワードの脆弱性をカバーできる認証方法の1つです。
※サービスによってはパスワード認証と併用される場合もあります。
最大の特徴は、パスワードを使用しない認証方式である点です。
昔から認証はパスワードによるものがほとんどで、それが一般的になっています。
パスワードは個人が自由に設定できて便利ですが、安易な文字列でパスワードを組んでしまうと推測されたり、
のぞき見やフィッシング詐欺などによって盗まれたりする場合があります。
パスキー認証はパスワードの脆弱性をカバーできる認証方法の1つです。
※サービスによってはパスワード認証と併用される場合もあります。
パスキー認証の方法
パスキー認証の基本的な仕組み(概要)
ここでは、実装や運用を理解するために必要な範囲で仕組みを解説します。公開鍵暗号技術をベースに動作しており、ユーザーのデバイスに保存された秘密鍵とWebサイトに登録された公開鍵のペアを用いて認証を行います。
ユーザーがWebサイトにログインする際、デバイスに保存された秘密鍵を用いて、Webサイトから送られてきた「チャレンジ」と呼ばれるランダムなデータにデジタル署名を作成します。
Webサイトは、受信したデジタル署名と登録済みの公開鍵を用いて署名を検証することで、ユーザーの正当性を確認します。
分かりやすく例を挙げると、以下のようなやり取りをしています。
秘密鍵:自分だけが持つ印鑑
公開鍵:誰でも見れる印鑑の証明書
チャレンジ:Webサイトから送られてきた手紙
デジタル署名:手紙に押した印鑑
1.ユーザー登録
ユーザーがWebサイトにアカウントを登録する際、FIDO2対応の認証デバイスを用いて、秘密鍵と公開鍵のペアを生成します。
公開鍵はWebサイトに登録され、秘密鍵はデバイスに安全に保管されます。
2.認証
ユーザーがWebサイトにログインする際、Webサイトは「チャレンジ」と呼ばれるランダムなデータを送信します。
3.署名
ユーザーのデバイスは、チャレンジと秘密鍵を用いてデジタル署名を生成します。
4.検証
Webサイトは受信したデジタル署名と登録済みの公開鍵を用いて署名を検証します。
署名が有効であれば、ユーザーのログインが許可されます。
このようにサーバーとユーザー間でパスワードを共有しない仕組みが、パスキー認証の安全性を支えています。
この仕組みにより、サーバー側から認証情報が漏洩した場合でも、第三者がその情報をそのまま悪用するリスクを大きく低減できます。
パスキー認証のメリット/デメリット
メリット
| No. | 項目名 | 詳細 |
|---|---|---|
| 1 | セキュリティの向上 | ・パスワードレス認証により、フィッシング、パスワード漏洩、パスワード再利用などのリスクを大幅に軽減 ・セキュリティ対策の一部を、認証サービスを提供する事業者側で担えるようになる |
| 2 | 利便性の向上 | パスワードの入力や管理が不要になるため、ユーザーの利便性が向上 |
| 3 | コスト削減 | パスワードのリセットやアカウントのロックに伴うサポートコストを削減 |
| 4 | ユーザーエクスペリエンスの向上 | スムーズなログイン体験を提供することで、ユーザー満足度の向上 |
デメリット
| No. | 項目名 | 詳細 |
|---|---|---|
| 1 | 認証デバイスの必要性 | 利用にあたりセキュリティキーや指紋認証センサーなどの認証デバイスが必要 |
| 2 | デバイス紛失時の対応 | 認証デバイスを紛失した場合、アカウントへのアクセスが困難になる可能性がある ※SPIRALでは管理者によるデバイス管理機能を利用することで、運用面において管理者によるフォローが可能です。 |
SPIRALでの設定方法(作業手順)
以下では、SPIRAL管理画面でパスキー認証を設定する具体的な手順を説明します。
基本的なログイン利用のみであれば、①~③までの設定で完結します。
①マイエリア作成時の設定
②既存マイエリアへの設定
③認証デバイス登録時の状態設定
以下はパスキー認証設定後に各種設定が可能です。
④デバイス管理ページの設定
⑤デバイス登録手続きページの設定
⑥管理者によるデバイス有効化設定
基本的なログイン利用のみであれば、①~③までの設定で完結します。
①マイエリア作成時の設定
②既存マイエリアへの設定
③認証デバイス登録時の状態設定
以下はパスキー認証設定後に各種設定が可能です。
④デバイス管理ページの設定
⑤デバイス登録手続きページの設定
⑥管理者によるデバイス有効化設定
①マイエリア作成時の設定
【目的】この設定では、新しく作成するマイエリアに対して、作成時点からパスキー認証を有効化することができます。
【手順】
①WEBから「マイエリア」をクリックし、「新規作成」を選択
②必要情報を入力し、「パスキー認証」を「使用する」にチェックを入れ新規作成
【この画面でできること】
マイエリア作成時に、パスキー認証を有効化する設定箇所を確認できます。
【画面例】
②既存マイエリアへの設定
【目的】既に作成済みのマイエリアに対して、後からパスキー認証を有効化します。
【手順】
①WEBから「マイエリア」をクリックし、対象のマイエリア名を選択
②「セキュリティ」をクリックし、パスキー認証を「使用する」に変更
【この画面でできること】
既存マイエリアのセキュリティ設定から、パスキー認証を有効化できます。
【画面例】
③認証デバイス登録時の状態設定
【目的】ユーザーが認証デバイスを登録した際の初期状態(有効/無効)を制御します。
【手順】
①WEBから「マイエリア」をクリックし、対象のマイエリア名を選択
②「セキュリティ」→「その他の設定」から、認証デバイス登録時の状態を設定
【この画面でできること】
認証デバイス登録時の初期状態(有効/無効)を設定できます。
【画面例】
★ 運用時の注意点
認証デバイス登録時の状態を「無効」にした場合、
ユーザーがデバイス登録を完了しても、管理者が有効化するまでログインできません。
テスト環境や段階導入の場合を除き、通常は「有効」を推奨しています。
認証デバイス登録時の状態を「無効」にした場合、
ユーザーがデバイス登録を完了しても、管理者が有効化するまでログインできません。
テスト環境や段階導入の場合を除き、通常は「有効」を推奨しています。
④デバイス管理ページの設定
【目的】管理者またはユーザーが自身の認証デバイスの有効・無効や削除を行うための管理ページを設置します。
【手順】
①WEBから「マイエリア」をクリックし、対象のマイエリア名を選択
②カスタムページまたはメンバー情報ページに、以下のようにデバイス管理ページへのリンクを設定
【この画面でできること】
登録済みの認証デバイスを確認し、有効/無効の切り替えや登録・削除が行えます。
【画面例】
<!-- XXXXは該当の差し替えキーワードを挿入 -->
<a href="%url/rel:fido:mng:XXXXX%" target="_blank">デバイス管理</a>
デバイス管理ページのHTMLソース設定
【目的】デバイス管理ページの表示内容をカスタマイズします。
①WEBからマイエリアをクリックし、パスキー認証設定をした該当のマイエリア名をクリック
②パスキーデバイスページをクリックし、デバイス管理ページのページソースを修正後、変更をクリック
【この画面でできること】
デバイス管理ページのHTMLソースを編集できます。
【画面例】
⑤デバイス登録手続きページの設定
【目的】ユーザーが自身の認証デバイスを登録するための手続きページを設置します。
【手順】
①WEBから「マイエリア」をクリックし、対象のマイエリア名をクリック
②パスキーデバイスページから、デバイス登録手続きページのURL(差替えキーワード)をコピー
③カスタムページやログインページ等にリンクを設定
【この画面でできること】
ユーザーが自身の認証デバイスを登録できます。
【画面例】
デバイス登録手続きページのHTMLソース設定
【目的】デバイス登録手続きページの表示内容をカスタマイズします。
①WEBからマイエリアをクリックし、パスキー認証設定をした該当のマイエリア名をクリック
②パスキーデバイスページをクリックし、デバイス登録手続きページのページソースを修正後、変更をクリック
【この画面でできること】
デバイス登録手続きページのHTMLソースを編集できます。
【画面例】
⑥管理者によるデバイス有効化設定
※この設定は運用ルールを細かく制御したい場合や、セキュリティ要件が厳しい環境での利用を想定した設定です。
【目的】
管理者がユーザーの認証デバイスを制御できるようにします。
【事前準備】
以下の設定が必要です。
・認証デバイス管理用の一覧表作成
・単票の修正
※未対応の場合は、以下手順を参考に作成してください。
一覧表の設定
【目的】認証デバイス管理用の一覧表を作成します。
①WEBから一覧表をクリックし、「一覧表作成」をクリックしてログインに使用しているDBを選択
②作成後、作成した一覧表の「設定」をクリックし、セキュリティをクリック
③「アクセス権限の設定」にて、パスキー認証を設定したマイエリアを選択し保存
④「パスキーデバイス情報管理」にて、「許可する」にチェックを入れ保存
【この画面でできること】
一覧表のアクセス権限・パスキーデバイス情報管理を設定できます。
【画面例】
単票の修正
【目的】認証デバイス管理用の一覧表に紐づく単票をカスタマイズします。
①「認証デバイス管理用の一覧表の設定」にて作成した一覧表をクリックし、単票の「設定」をクリック
②「マイエリア差替えキーワード表示」をクリック
③「パスキーデバイス情報管理関連」に表示されている3つの差替えキーワードを単票内に設定
【この画面でできること】
登録済みの認証デバイスを確認し、有効/無効の切り替えや登録・削除の設定を単票へ設定できます。
【画面例】
カスタムページへの設定
①WEBからマイエリアをクリックし、パスキー認証設定をした該当のマイエリア名をクリック②カスタムページへ差替えキーワード一覧のから「一覧表・単票」内の「差替えキーワード」を選択し設定
※当ページをログイン後TOPに変更したい・別ページから当ページへリンクさせたいなどの場合は別途ご設定ください。
【この画面でできること】
設定した一覧表をカスタムページへ設定できます。
【画面例】
使用方法
①ログイン後、該当一覧表から対象ユーザの単票に遷移②下記対応を実施
・デバイスの有効状態が無効になっており有効にしたい:「有効化」をクリック
・デバイスの有効状態が有効になっており無効にしたい:「無効化」をクリック
※デバイスの有効化・無効化以外にも、削除やデバイスの代理登録が可能です。
【この画面でできること】
登録済みの認証デバイスを確認し、有効/無効の切り替えや登録・削除が行えます。
【画面例】
利用例
会員サイトや管理画面のログイン用途などでご利用いただくケースや、
SPIRAL以外ですとGoogleアカウント、Microsoftアカウントなど様々なサービスでパスキー認証を採用しています。
SPIRAL以外ですとGoogleアカウント、Microsoftアカウントなど様々なサービスでパスキー認証を採用しています。
まとめ
・パスキー認証はパスワードに依存しない安全な認証方式
・秘密鍵を端末側で管理し、サーバーと共有しない仕組み
・SPIRALでは、FIDO2に基づくパスキー方式の「パスキー認証」を提供しており、
管理画面から比較的簡単に設定可能
・秘密鍵を端末側で管理し、サーバーと共有しない仕組み
・SPIRALでは、FIDO2に基づくパスキー方式の「パスキー認証」を提供しており、
管理画面から比較的簡単に設定可能
パスキー認証は多くのサービスで利用されていることから、認証のスタンダード候補になるのではないかといわれています。
パスキー認証を取り入れていることが一つのアピールにもなりますので、セキュリティについて検討する際の候補に入れておきましょう。
まずは検証環境でパスキー認証を有効化し、運用フローを確認することをおすすめします。
本記事の手順に沿って設定すれば、管理画面から段階的に導入することが可能です。
SPIRALで会員サイトや管理画面を運用している場合、パスキー認証はセキュリティ強化の選択肢の一つとして検討できます。
パスキー認証を取り入れていることが一つのアピールにもなりますので、セキュリティについて検討する際の候補に入れておきましょう。
まずは検証環境でパスキー認証を有効化し、運用フローを確認することをおすすめします。
本記事の手順に沿って設定すれば、管理画面から段階的に導入することが可能です。
SPIRALで会員サイトや管理画面を運用している場合、パスキー認証はセキュリティ強化の選択肢の一つとして検討できます。
用語解説・参考情報
本文の理解を深めたい方や、より詳しい仕様を確認したい方向けに各用語解説・参考情報をまとめています。
すべての土台となる仕組みです。
・Windows: Windows Hello
・Mac / iPhone: Touch ID・Face ID / パスコード
・Android: 画面ロック(指紋・顔・PIN/パターン)
・主要ブラウザはすべて対応済: Google Chrome、Apple Safari、Microsoft Edge、Mozilla Firefoxなど。
11.マイエリア パスキーデバイスページ
クレデンシャルスタッフィング攻撃とは?仕組みと対策
FIDO2(ファイドツー)
パスワードをなくすための「世界共通のセキュリティルール(規格)」。すべての土台となる仕組みです。
各OSが提供する「認証機能(顔・指紋・PIN)」
FIDO2のルールに沿って、端末そのものが本人を確認する機能です。・Windows: Windows Hello
・Mac / iPhone: Touch ID・Face ID / パスコード
・Android: 画面ロック(指紋・顔・PIN/パターン)
対応ブラウザ(Webサイトとの仲介役)
OSの「認証機能」を呼び出し、Webサイトと安全に通信するための「窓口」です。・主要ブラウザはすべて対応済: Google Chrome、Apple Safari、Microsoft Edge、Mozilla Firefoxなど。
パスキー(Passkey)
上記の「OSの認証機能」と「ブラウザ」を組み合わせて、Webサイトやアプリにログインする「共通の仕組み(暗号データそのもの)」。SPIRALサポートサイト(公式ドキュメント)
3.マイエリア セキュリティ > ②パスキー認証11.マイエリア パスキーデバイスページ
外部参考サイト
セキュリティインシデントとは?クレデンシャルスタッフィング攻撃とは?仕組みと対策
