コラム / 認証 / セキュリティ /
パスキー認証を業務システムへ導入する現実 ─ FIDO2/WebAuthn の実装と運用
📖 約11分 / 公開日: 2026/05/21
## 「パスキーを入れたい」相談の前提が、現場と乖離している
2025年後半から「自社サービスにパスキーを入れたい」「業務システムをパスキー対応にしたい」という相談が、月に4〜6件のペースで入ります。話を聞くと、相談者の頭にあるのは Apple や Google の「あの体験」── 指紋や顔認証だけでログインできる、あの軽さです。期待値はそこに固まっている。
現実は違います。業務システムにパスキーを入れるという作業は、「FIDO2 の鍵管理を業務フローに組み込む」というインフラ更改に近く、認証画面を一枚差し替える話ではありません。準備をせずに導入すると、ヘルプデスクの問い合わせが3倍に膨らみ、月末に元へ戻す決定が下る ── これを2件、実際に巻き戻しました。
## 何が技術的に難しいのか
パスキーの実体は WebAuthn の鍵ペアで、秘密鍵が端末(Apple/Google/Microsoft のクラウド同期領域、もしくはハードウェアキー)にロックされた状態で生成されます。ユーザは「鍵を持っている端末」と「生体認証」がそろわないとログインできない。個人ユースではこれが最高に快適ですが、業務利用だと話が一変します。
社内端末を共有している現場 ── コールセンターのシフト交代、製造ラインの作業端末、店舗のレジ、医療現場のナースステーション ── では「端末に鍵を紐づける」という前提が即座に運用不能になります。共有PCで誰のパスキーを登録するのか、シフト交代でどう切り替えるのか、退職時にどう失効させるのか。Entra ID の Temporary Access Pass を併用して逃げる構成が多いですが、結局 SMS OTP や認証アプリを残すことになります。
「全社員にパスキー」という綺麗な絵を最初に経営へ出してはいけません。職種別に「パスキー対応職種」と「対応外職種」を切り分け、対応外には別経路(FIDO2 セキュリティキー、認証アプリ)を残す設計が、現場で機能する形です。
## Entra ID・Okta・Auth0・自社実装、どれで入れるか
業務系 SaaS との統合を最優先するなら Microsoft Entra ID(旧 Azure AD)一択です。Microsoft 365 を導入している組織の標準コースで、追加コストは P1 ライセンス込みなら実質ゼロ、P2 が必要なら月額870円/ユーザ。パスキー対応は2024年から GA、2026年5月時点では条件付きアクセスとの組み合わせも安定しています。
Microsoft 365 を使わない組織、もしくはB2Cで顧客に提供する用途なら Okta CIC(旧 Auth0)か Okta Workforce。Auth0 のパスキー対応は2024年に GA、月額アクティブユーザ7,000人までのB2Cライトプラン(月額35,000円台〜)から導入できます。Okta Workforce はライセンス単価が Entra より高め(月額11 USD〜/ユーザ)ですが、認証フローのカスタマイズ自由度は群を抜きます。
自社実装でパスキーを組み込む案件もいまだに来ますが、本当に推奨しません。WebAuthn の仕様(特に attestation・user verification・residentKey の組み合わせ)を理解せずに作ると、Safari と Chrome で挙動が違う、Windows Hello との相性が悪い、iOS の同期パスキーが他人の iCloud に飛んでしまう ── といった事故が普通に起きます。SimpleWebAuthn ライブラリを使えば実装は楽になりますが、運用上の鍵失効・端末紛失・継承シナリオは自前で設計する必要があります。
## SMS OTP からの移行を急がない
「SMS OTP は危険なので即廃止したい」と相談されることが多いですが、段階を踏まないと現場が崩壊します。実例として、社員200名の組織で SMS OTP を一晩で停止しパスキー専用に切り替えた結果、翌朝ヘルプデスクへの電話が68件、業務開始が2時間遅れた事案がありました。
段階移行の標準形を書きます。1ヶ月目はパスキー登録を任意で開放、登録するとSMSが省略される動線。2〜3ヶ月目は未登録ユーザへ社内アナウンスを段階的に強化し、登録率を80%まで上げる。4〜5ヶ月目は管理職と機密データアクセス権限保持者を強制パスキー化、それ以外は任意のまま。6ヶ月目以降に未登録者の個別フォロー、ヘルプデスクシナリオを完成させてから全体強制。
このスケジュールを「半年もかかるのか」と短縮したがる経営判断に何度も遭遇しましたが、短縮すると例外なくヘルプデスクが燃えます。
## ヘルプデスクの準備こそ最大のコスト
パスキー導入で最も見落とされるのは、ヘルプデスクのシナリオ整備です。「端末を機種変更した」「会社支給PCを返却した翌日に在宅勤務で困った」「指紋センサーが故障した」「家族のスマホでログインしてしまった」── これらに即答できるFAQと、本人確認後にパスキーをリセットできる権限フローが、最低限必要です。
特に厄介なのが「同期パスキー」と「デバイス専用パスキー」の混在問題。Apple ID で同期されたパスキーは新しい iPhone でも自動的に使えるが、Windows Hello で作ったパスキーはそのPCが壊れた瞬間に消える。この差をユーザに説明しきれないと、毎週同じ問い合わせが来ます。事前にユーザ種別を分けて「あなたはこの手順で再登録」とフローを固定化する設計が必要です。
## 監査要件で問われる「FIDO 認証器の認定レベル」
業務システム、特に金融・医療・公共系では、認証器そのものの安全性が監査対象になります。FIDO Alliance が定めた認証器セキュリティレベルが L1(ソフトウェア実装)・L1+・L2(TPM/Secure Element 利用)・L3(耐タンパ)・L3+ の5段階あり、案件によっては「L2以上を必須」と要件に書かれます。同期パスキー(iCloud Keychain、Google Password Manager)は L1 扱いになるため、これだけでは要件を満たさない場合があります。
要件レベルが L2 以上の場合、YubiKey 5 シリーズや SoloKeys、TPM 内蔵 PC の Windows Hello、Apple のセキュアエンクレーブ ── このあたりに限定する必要が出ます。組織内の端末ポリシーで「同期パスキーをブロックし、デバイスバウンドのみ許可」する設定が、Entra ID の認証強度ポリシーで可能です。ここを最初に決めずに走ると、監査段階で全社展開が逆戻りになります。
## ログイン以外への波及効果も計算に入れる
パスキー導入の真の費用対効果は、ログイン画面の体験改善ではなく、隣接する業務フローへの波及で出ます。SMS OTP 認証コストの削減(年商規模で数十万〜数百万円)、ヘルプデスクのパスワードリセット対応削減、フィッシング起因のインシデント対応工数削減 ── このあたりが本丸です。Microsoft の社内データによれば、パスキー導入後のサインイン成功率は98%超、SMS/認証アプリ時代の79%から大幅に改善するという報告が出ています。
逆に、波及効果が出にくいケースもあります。BtoB SaaSで利用頻度が週1回程度のユーザ層では、パスキー登録の手間に対して恩恵が薄く、登録率が30%程度で頭打ちになる事例も見てきました。「全員に強制」が正解の組織と、「希望者のみで十分」が正解の組織が並存している、というのが2026年5月時点の現実です。
## 導入の費用感
参考までに、社員300名規模での Entra ID + 条件付きアクセス + パスキー導入の総額は、ライセンス込みで月額50万円前後、別途構築・社内展開支援で初期費用150〜250万円。B2C 100万MAU で Auth0 を使うと月額13〜18万円が現実値です。「無料の認証規格だから無料で入る」という認識でスタートする組織が多いのですが、運用込みでこの規模になる、というのが実情です。
セキュリティ強化として正しい選択であることは間違いありません。ただし「導入は半年〜1年プロジェクト」と最初に経営合意を取った組織だけが、最終的に良い形に着地しています。導入評価から段階移行設計、ヘルプデスク立ち上げ、社内研修まで、相談を受け付けています。
2025年後半から「自社サービスにパスキーを入れたい」「業務システムをパスキー対応にしたい」という相談が、月に4〜6件のペースで入ります。話を聞くと、相談者の頭にあるのは Apple や Google の「あの体験」── 指紋や顔認証だけでログインできる、あの軽さです。期待値はそこに固まっている。
現実は違います。業務システムにパスキーを入れるという作業は、「FIDO2 の鍵管理を業務フローに組み込む」というインフラ更改に近く、認証画面を一枚差し替える話ではありません。準備をせずに導入すると、ヘルプデスクの問い合わせが3倍に膨らみ、月末に元へ戻す決定が下る ── これを2件、実際に巻き戻しました。
## 何が技術的に難しいのか
パスキーの実体は WebAuthn の鍵ペアで、秘密鍵が端末(Apple/Google/Microsoft のクラウド同期領域、もしくはハードウェアキー)にロックされた状態で生成されます。ユーザは「鍵を持っている端末」と「生体認証」がそろわないとログインできない。個人ユースではこれが最高に快適ですが、業務利用だと話が一変します。
社内端末を共有している現場 ── コールセンターのシフト交代、製造ラインの作業端末、店舗のレジ、医療現場のナースステーション ── では「端末に鍵を紐づける」という前提が即座に運用不能になります。共有PCで誰のパスキーを登録するのか、シフト交代でどう切り替えるのか、退職時にどう失効させるのか。Entra ID の Temporary Access Pass を併用して逃げる構成が多いですが、結局 SMS OTP や認証アプリを残すことになります。
「全社員にパスキー」という綺麗な絵を最初に経営へ出してはいけません。職種別に「パスキー対応職種」と「対応外職種」を切り分け、対応外には別経路(FIDO2 セキュリティキー、認証アプリ)を残す設計が、現場で機能する形です。
## Entra ID・Okta・Auth0・自社実装、どれで入れるか
業務系 SaaS との統合を最優先するなら Microsoft Entra ID(旧 Azure AD)一択です。Microsoft 365 を導入している組織の標準コースで、追加コストは P1 ライセンス込みなら実質ゼロ、P2 が必要なら月額870円/ユーザ。パスキー対応は2024年から GA、2026年5月時点では条件付きアクセスとの組み合わせも安定しています。
Microsoft 365 を使わない組織、もしくはB2Cで顧客に提供する用途なら Okta CIC(旧 Auth0)か Okta Workforce。Auth0 のパスキー対応は2024年に GA、月額アクティブユーザ7,000人までのB2Cライトプラン(月額35,000円台〜)から導入できます。Okta Workforce はライセンス単価が Entra より高め(月額11 USD〜/ユーザ)ですが、認証フローのカスタマイズ自由度は群を抜きます。
自社実装でパスキーを組み込む案件もいまだに来ますが、本当に推奨しません。WebAuthn の仕様(特に attestation・user verification・residentKey の組み合わせ)を理解せずに作ると、Safari と Chrome で挙動が違う、Windows Hello との相性が悪い、iOS の同期パスキーが他人の iCloud に飛んでしまう ── といった事故が普通に起きます。SimpleWebAuthn ライブラリを使えば実装は楽になりますが、運用上の鍵失効・端末紛失・継承シナリオは自前で設計する必要があります。
## SMS OTP からの移行を急がない
「SMS OTP は危険なので即廃止したい」と相談されることが多いですが、段階を踏まないと現場が崩壊します。実例として、社員200名の組織で SMS OTP を一晩で停止しパスキー専用に切り替えた結果、翌朝ヘルプデスクへの電話が68件、業務開始が2時間遅れた事案がありました。
段階移行の標準形を書きます。1ヶ月目はパスキー登録を任意で開放、登録するとSMSが省略される動線。2〜3ヶ月目は未登録ユーザへ社内アナウンスを段階的に強化し、登録率を80%まで上げる。4〜5ヶ月目は管理職と機密データアクセス権限保持者を強制パスキー化、それ以外は任意のまま。6ヶ月目以降に未登録者の個別フォロー、ヘルプデスクシナリオを完成させてから全体強制。
このスケジュールを「半年もかかるのか」と短縮したがる経営判断に何度も遭遇しましたが、短縮すると例外なくヘルプデスクが燃えます。
## ヘルプデスクの準備こそ最大のコスト
パスキー導入で最も見落とされるのは、ヘルプデスクのシナリオ整備です。「端末を機種変更した」「会社支給PCを返却した翌日に在宅勤務で困った」「指紋センサーが故障した」「家族のスマホでログインしてしまった」── これらに即答できるFAQと、本人確認後にパスキーをリセットできる権限フローが、最低限必要です。
特に厄介なのが「同期パスキー」と「デバイス専用パスキー」の混在問題。Apple ID で同期されたパスキーは新しい iPhone でも自動的に使えるが、Windows Hello で作ったパスキーはそのPCが壊れた瞬間に消える。この差をユーザに説明しきれないと、毎週同じ問い合わせが来ます。事前にユーザ種別を分けて「あなたはこの手順で再登録」とフローを固定化する設計が必要です。
## 監査要件で問われる「FIDO 認証器の認定レベル」
業務システム、特に金融・医療・公共系では、認証器そのものの安全性が監査対象になります。FIDO Alliance が定めた認証器セキュリティレベルが L1(ソフトウェア実装)・L1+・L2(TPM/Secure Element 利用)・L3(耐タンパ)・L3+ の5段階あり、案件によっては「L2以上を必須」と要件に書かれます。同期パスキー(iCloud Keychain、Google Password Manager)は L1 扱いになるため、これだけでは要件を満たさない場合があります。
要件レベルが L2 以上の場合、YubiKey 5 シリーズや SoloKeys、TPM 内蔵 PC の Windows Hello、Apple のセキュアエンクレーブ ── このあたりに限定する必要が出ます。組織内の端末ポリシーで「同期パスキーをブロックし、デバイスバウンドのみ許可」する設定が、Entra ID の認証強度ポリシーで可能です。ここを最初に決めずに走ると、監査段階で全社展開が逆戻りになります。
## ログイン以外への波及効果も計算に入れる
パスキー導入の真の費用対効果は、ログイン画面の体験改善ではなく、隣接する業務フローへの波及で出ます。SMS OTP 認証コストの削減(年商規模で数十万〜数百万円)、ヘルプデスクのパスワードリセット対応削減、フィッシング起因のインシデント対応工数削減 ── このあたりが本丸です。Microsoft の社内データによれば、パスキー導入後のサインイン成功率は98%超、SMS/認証アプリ時代の79%から大幅に改善するという報告が出ています。
逆に、波及効果が出にくいケースもあります。BtoB SaaSで利用頻度が週1回程度のユーザ層では、パスキー登録の手間に対して恩恵が薄く、登録率が30%程度で頭打ちになる事例も見てきました。「全員に強制」が正解の組織と、「希望者のみで十分」が正解の組織が並存している、というのが2026年5月時点の現実です。
## 導入の費用感
参考までに、社員300名規模での Entra ID + 条件付きアクセス + パスキー導入の総額は、ライセンス込みで月額50万円前後、別途構築・社内展開支援で初期費用150〜250万円。B2C 100万MAU で Auth0 を使うと月額13〜18万円が現実値です。「無料の認証規格だから無料で入る」という認識でスタートする組織が多いのですが、運用込みでこの規模になる、というのが実情です。
セキュリティ強化として正しい選択であることは間違いありません。ただし「導入は半年〜1年プロジェクト」と最初に経営合意を取った組織だけが、最終的に良い形に着地しています。導入評価から段階移行設計、ヘルプデスク立ち上げ、社内研修まで、相談を受け付けています。