約9分で読めます
アイデンティティ保管庫を守るのは同期パスキーかハードウェアキーか
同期パスキーは複数のデバイス間を渡り歩き、ハードウェアキーはデバイスに固定されて物理的に管理されます。WebAuthn PRF が対応していれば、CardanoWall はどちらでもアイデンティティ保管庫を開けます。そして、どちらを選んでも本当のバックアップは Identity Seed のままです。
同期パスキーもハードウェアキーも、どちらも CardanoWall のアイデンティティ保管庫を開けますが、最適化している対象が違います。日常的な選択としては、同期パスキーのほうがたいてい優れています。パスキープロバイダーを通じて、新しいスマートフォンやノート PC にも付いてくるからです。一方、価値の高いアイデンティティには、ハードウェアキーのほうがたいてい向いています。デバイスに固定され、物理的に管理されるためです。
ブラウザー、オペレーティングシステム、認証器のいずれもが WebAuthn PRF 拡張に対応していれば、どちらも保管庫を開くアンロック要素として機能します。そして、いずれの場合も、アンロック要素はあくまで利便性のためのものであって、保管(カストディ)のためのものではありません。本当のアイデンティティは Identity Seed です。
同期パスキーとは
同期パスキーとは、プロバイダーが複数のデバイス間で利用できるようにしたパスキーのことです。
そのプロバイダーは、オペレーティングシステム、ブラウザー、パスワードマネージャー、あるいはプラットフォームのアカウントに組み込まれている場合があります。利点は明らかです。新しいデバイスを手に入れて同じプロバイダーにサインインすれば、パスキーはすでにそこにあります。
CardanoWall にとって、これは日々の利用を簡単にしてくれます。サインインしてパスキーのプロンプトを承認すれば、暗号化されたアイデンティティ保管庫が開きます。Identity Seed を打ち込む必要はありません。
代償としては、パスキーを同期するプロバイダーのセキュリティモデルと復旧モデルをそのまま引き継ぐことになります。そのアカウント保護、複数デバイス間の復旧、そして障害時の挙動が、そのままご自分のものになります。
ハードウェアキーとは
ハードウェアキーとは、物理的な認証器のことです。手に持って使う USB・NFC・BLE のセキュリティキーを指します。
デバイスに固定されたハードウェアキーは、それ自体が新しいコンピューターへ同期することはありません。これでアンロックするには、物理的な鍵が手元になければなりません。それこそが狙いです。置いた覚えのない場所に、認証情報がひそかに存在してしまうことがないのです。
ハードウェアキーは、機密性の高いアイデンティティによく合います。
- 報道機関や内部告発の受け口となるアイデンティティ
- 法務や証拠に関わるアイデンティティ
- 価値の高い企業アイデンティティ
- 本番環境の API やゲートウェイ運用者のアイデンティティ
- コンシューマー向けクラウド同期に依存すべきでない、あらゆるアイデンティティ
代償は運用面にあります。鍵を失えば、別に登録した要素か、Identity Seed に頼ることになります。
実務上の注意点が 1 つあります。ローミング型の USB/NFC キーに対する PRF 対応は、プラットフォームパスキーほど均一ではありません。2026 年初頭の時点で、macOS と iOS の Safari はローミング認証器に PRF データを確実には渡しません。そのため Apple のデバイスでは、プラットフォームパスキーは保管庫の要素として使えても、ハードウェアキーは使えないことがあります。どこでも動くと決めてかからず、頼りにする前にハードウェアキーを試しておくつもりでいてください。
より安全なのはどちらか
それは脅威モデル次第で、唯一の勝者というものはありません。
同期パスキーは、フィッシングやパスワードデータベースの漏えいに対する耐性に優れ、デバイスが壊れたときにアクセスを失う可能性を下げてくれます。ハードウェアキーは、認証情報が存在できる場所をより強く管理できます。物理的な保管、資産の追跡、鍵の取り扱い手順(キーセレモニー)、あるいは共有アイデンティティを誰がアンロックできるかという明確な方針を必要とするチームに適しています。
利便性も管理も、どちらもセキュリティ上の性質です。アクセスを失うこともまた、セキュリティ上の失敗です。最良の選択とは、いざというときに実際に正しく運用できるもののことです。
CardanoWall はそれらをどう使うのか
保管庫を開くアンロック要素として使い、アイデンティティそのものとしては決して使いません。
CardanoWall のアイデンティティは Identity Seed です。これはすべての鍵が導出される 1 つの 32 バイトの秘密です。パスキーやハードウェアキーは、このシードを置き換えるものではありません。それらは、アカウントのためにシードを保持している暗号化された保管庫を開くものです。これによって、シードを毎回打ち直さなくても新しいデバイスでサインインできます。
保管庫は 1 つの age で暗号化された暗号文であり、ご自分の WebAuthn-PRF 要素だけに宛てられています。登録済みのパスキーやハードウェアキー 1 つにつき 1 つのスタンザが対応します。ブルートフォースの対象となるパスワード由来のスタンザもなければ、将来の量子攻撃が狙える公開鍵スタンザもありません。関連する脅威は 256 ビットの対称鍵に対する Grover 型の探索であり、これでもおよそ 128 ビットの実効的な余裕が残ります。サービスは暗号文を保持しますが、それを復号することはできません。ブラウザーでの手続き中に、ある要素が必要な PRF 出力を生成できれば、その要素は保管庫を開けます。生成できないのであれば、CardanoWall はその要素を登録すべきではありません。この設計が何を守るのかについて詳しくは、パスキーがアイデンティティ保管庫を守るしくみをご覧ください。
だからこそ、ある要素を採用する前に、機能を検出することが重要になります。
PRF 対応がなぜ重要なのか
すべてのパスキーが暗号化された保管庫を開けるわけではないからです。
素の WebAuthn は、ご自分が誰であるかを Web サイトに証明できます。しかし保管庫を開くには、もっと多くのものが必要です。ローカルの暗号文を復号するための鍵素材を、認証器がブラウザーに渡さなければならないのです。その追加の能力こそが WebAuthn PRF 拡張であり、その対応状況はブラウザー、オペレーティングシステム、認証器によってばらつきます。
CardanoWall は、ブラウザー名から推測するのではなく、要素を登録する前に PRF を機能検出します。そして、お使いの環境が PRF を実行できない場合には、シードのみの経路へ案内します。この経路は劣化モードではありません。可搬性のある土台そのものです。Identity Seed は、どのデバイスでも、規格に準拠したどのツールでも、プロバイダーもサービスも介さずに機能します。
一般的なユーザーは何を選ぶべきか
たいていは、同期されるプラットフォームパスキーです。
日常的な個人のアイデンティティであれば、同期パスキーが最良の折り合いです。使いやすく、複数のデバイス間で復旧しやすく、しかもシードを何度も貼り付けずに済みます。妥当な構成は次のようになります。
- Identity Seed をパスワードマネージャーか安全なオフラインの場所に保存する
- 同期されるプラットフォームパスキーを 1 つ追加する
- 複数のデバイスを使うなら、2 つ目の要素を追加する
- 信頼できないマシンで価値の高いアイデンティティを開かない。やむを得ない場合は、何も残さない公共コンピューター用モードを使う
パスキーは利便性です。シードは復旧と可搬性です。どのアンロック要素を選ぶにしても、シードは必ず保存してください。
チームは何を選ぶべきか
ハードウェアキーと、文書化されたシードの保管体制です。
チームは通常、気軽な利便性よりも管理を重視します。チームのアイデンティティは意図的に共有されることもありますが、「意図的な共有」は「ひそかに簡単にコピーできること」と同じではありません。妥当なチーム構成は次のとおりです。
- 別々の責任者が保持する 2 つのハードウェアキー
- 金庫に保管した印刷済みの Identity Seed
- 文書化されたアクセス方針
- 保管担当が変わったときのためのローテーション手順
- 主要なワークフローごとに分けたアイデンティティ
- もう署名すべきでないアイデンティティの無効化
共有アイデンティティについて、正直に言えば 1 つの限界があります。シードを保持する者は誰でも、そのアイデンティティとして署名し復号できてしまう、という点です。ハードウェアキーは、特定のデバイスでの保管庫へのアクセスを守ります。共有されたシードを部分的なものにしたり、取り消し可能にしたりはしません。シードそのものが渡し回されてしまった場合、それに対する管理は失われています。これはシードの性質であって、アンロック要素の性質ではありません。
どれか 1 つを失ったらどうなるか
別の要素を使うか、シードに頼ります。
同期されたデバイスを失っても、別のデバイスにパスキープロバイダーがまだあれば、たいていそのまま続けられます。ハードウェアキーを失った場合は、その要素を取り除いてください。保管庫は残りの要素に対して再暗号化され、古い暗号文は完全に削除されます。すべての要素が失われた場合、Identity Seed が復旧の経路です。そして、それらすべてが失われれば、そのアイデンティティの今後の利用も失われます。しかし、すでに公開されたものはすべて、公開データだけから永久に検証され続けます。
要素の削除は、現在の保管庫に対する本物の失効ですが、遡及的ではありません。これはサービス層での管理であって、タイムマシンではないのです。ある要素が盗まれ、削除する前に使われた可能性があるなら、シードが侵害された可能性がある状況として扱ってください。要素を削除すれば、再暗号化された保管庫を開けなくはできますが、過去の利用を取り消すことはできません。シード侵害が疑われる場合の正しい対応は、リセットではなく、新しいアイデンティティを作って古いものを無効化することです。そのライフサイクル(アクティブ・無効化・削除)は、それ自体が別の話題です。
まとめると
同期パスキーは便利で、複数のデバイス間を渡り歩きます。ハードウェアキーはより管理が効き、置いた場所にとどまります。WebAuthn PRF が利用できるとき、CardanoWall はどちらでも保管庫のアンロック要素として使えます。
日常的な個人利用には、たいてい同期パスキーが正解です。価値の高いアイデンティティやチームのアイデンティティには、PRF が動く範囲であれば、ハードウェアキーが手間に見合う価値を持ち得ます。いずれの場合でも、Identity Seed は保存してください。パスキーは保管庫を開けますが、アイデンティティはシードなのです。
さらに読む
- FIDO Alliance — Passkeys overview: https://fidoalliance.org/passkeys/
- W3C — Web Authentication (WebAuthn) Level 3: https://www.w3.org/TR/webauthn-3/
- Yubico — A Developer's Guide to Deriving Keys with WebAuthn PRF: https://developers.yubico.com/WebAuthn/Concepts/PRF_Extension/Developers_Guide_to_PRF.html