【Okta】企業で Passkey はアリ?ナシ?採用前に整理したい判断ポイント

» Okta » 技術
テクニカルサポート

はじめに

こんにちは、ネクストモード株式会社 テクニカルサポート担当です。

最近、Passkey (パスキー)という言葉を日常生活でもよく耳にするようになりました。証券会社がセキュリティ強化のために Passkey に対応したというプレスリリースを目にした方も多いのではないでしょうか。

今回は、企業で Okta の認証に Passkey を利用すべきかという観点で、私の考えをまとめてみました。

 

Passkey とは?

Passkey は、FIDO2 と WebAuthn という認証標準技術から発展した新しい認証方式です。従来の FIDO2 は物理セキュリティキーなどの専用デバイスが必要でした。しかし、専用ハードウェアのコストやデバイス紛失リスクにより、エンタープライズ企業以外ではほとんど普及しませんでした。2022年に登場した Passkey は、専用ハードウェアが不要になり、これらの課題を解消しています。

Passkey の大きな特徴は、認証情報がデバイスに紐づかず、クラウド同期できる点です。スマートフォンや PC など複数のデバイス間で認証情報を共有でき、デバイスを紛失しても他のデバイスからログインを継続できます。Apple、Google、Microsoft などの主要プラットフォームでは、それぞれのクラウドサービス(iCloud Keychain、Google Password Manager、Microsoft Account など)を通じて Passkey が同期されます。

この仕組みにより、生体認証(指紋認証や顔認証)や PIN 入力といった簡単な方法で、パスワードレスかつ高セキュアな認証を実現できます。専用デバイスの購入や管理が不要なため、一般消費者にも受け入れやすく、高いセキュリティを確保できる点が魅力です。

 

Okta で Passkey は利用可能?

Okta では Security > Authenticators から FIDO2 (WebAuthn) を追加して定義することで利用できます。

2026年2月時点では、Early Access 機能として Passkey 向けの機能を強化した『Passkeys Rebrand』を有効にすると、『Passkeys (FIDO2 WebAuthn)』と表示されます。

Authenticatorsの一覧画面です。

 

企業で Passkey を利用すべきか?

企業で Passkey を利用すべきかという問いに対して、私は「現時点では慎重に検討すべき」という立場です。私の推奨案は以下です。

第1選択肢は Okta Verify の利用です。Okta Verify が利用できない限定的なケースでは、第2選択肢として物理セキュリティキーの検討をおすすめします。

なお、第3選択肢として一部のユーザーに Passkey を許可することも技術的には可能ですが、ここでは詳細に触れません。ゆきなわさんが記事を執筆予定とのことなので、ぜひご期待ください!

 

第1選択肢:Okta Verify の利用を推奨

Okta の Device Trust や Device Assurance といった付加価値機能は、FastPass(Okta Verify)による認証が前提となっている点が最大の推奨理由です。

Passkey についてはクラウド同期される仕組みのため、同期先の vault (保管庫)が侵害されると不正アクセスのリスクが生じます。同期先を Okta 配下にすると「金庫の鍵を金庫の中に入れる」状態になり、必要な時にアクセスできない問題が発生します。また、Okta 以外の場所に同期すると企業の管理範囲外となる可能性があります。同期先はユーザー任せで管理者が関与できないため、コントロールが困難です。

 

第2選択肢:物理セキュリティキーの検討

コールセンターなど制約のある環境で FastPass(Okta Verify)が利用できない場合は、物理セキュリティキーを活用した FIDO2(WebAuthn)の利用を検討しましょう。

物理セキュリティキーはクラウド同期されず、デバイスが物理的に管理されるため紛失時の対応が明確です。この点で、企業のセキュリティポリシーに適合しやすいというメリットがあります。ただし、デバイスの購入コストや配布・管理の手間が発生するため、運用面での検討が必要です。

 

物理セキュリティキーのみを利用するため設定

Okta には、クラウド同期型の Passkey の利用をブロックするためのEarly Access機能があります。下図のように『Block synced passkeys for FIDO2 (WebAuthn) Authenticators』を有効にすることで、物理セキュリティキーのみを利用できるようになります。

Early Acess画面でPasskeyをブロックするオプションを有効にしている画面です。

 

まとめ

これまで見てきたように、Passkey は FIDO2 WebAuthn から発展した歴史があり、Okta でも基本的にそれらは同じ Authenticator として扱われます。Passkey は一般消費者向けにはメリットがある一方、企業や組織内では考慮すべき点があります。

特に、Okta の Device Trust や Device Assurance は FastPass(Okta Verify)の利用が前提です。そのため、Passkey を含む FIDO2(WebAuthn)の採用には慎重にならざるを得ません。

FastPass(Okta Verify)が利用できない場合は、物理セキュリティキーを前提とし、Passkey をブロックすることをおすすめします。

その際、Device Trust や Device Assurance の適用を除外する必要があるため、適用範囲を絞り込んだ専用ルールをポリシーに組み込む必要があることにも留意が必要です。

新しい技術が必ずしもすべての企業にとって最適解とは限りません。自社の環境やセキュリティポリシーを踏まえ、慎重に検討することが大切です。本記事が皆様の判断の一助となれば幸いです。

SaaSバナー_Okta