---
url: 'https://www.corbado.com/ja/blog/hardware-bound-passkeys-consumer-race'
title: 'ハードウェアバウンド・パスキー：普及に向けた本当の競争'
description: '消費者向けハードウェアバウンド・パスキーの競争の勝者は？セキュリティキー、FIDO2スマートカード、暗号資産ウォレットを比較し、なぜハードウェアそのものより「普及」が重要なのかを解説します。'
lang: 'ja'
author: 'Vincent Delitz'
date: '2026-05-19T12:05:23.177Z'
lastModified: '2026-05-19T12:29:28.095Z'
keywords: 'ハードウェアバウンド・パスキー, セキュリティキーとパスキーの比較, YubiKeyパスキー, Arculusスマートカードパスキー, FIDO2スマートカード銀行, 同期型パスキーとデバイスバウンドパスキー'
category: 'Passkeys Strategy'
---

# ハードウェアバウンド・パスキー：普及に向けた本当の競争

## Key Facts

- ハードウェアバウンド・パスキーはNIST AAL3に準拠します。同期型パスキーはクラウド同期により鍵がエクスポート可能になるため、AAL2が上限となります。
- StatCounterによると、iOSとAndroidがモバイルシェアの99%以上を占めています。どちらのOSも、ハードウェアオーセンティケーターを同期型クレデンシャルの1〜3クリック奥に隠しています。
- Yubicoは2008年以来、3000万個以上のYubiKeyを出荷しています。CompoSecureは年間1億枚以上のメタルカードを出荷しています。IDEMIAは年間30億個以上のセキュアエレメントを製造しています。
- FIDO AllianceのAuthentication Barometer 2024によると、消費者向け銀行におけるハードウェアバウンド・パスキーのアクティベーション率は、ローンチから数ヶ月経っても5%未満にとどまっています。
- Ledgerは700万個以上、Trezorは200万個以上のウォレットを出荷しています。暗号資産のセルフカストディは、ユーザーが自らハードウェアを購入する唯一の消費者カテゴリーです。
- 最も強力なハードウェアを持つ企業が競争に勝つわけではありません。ハードウェアと「普及エンジニアリング」およびパスキーオブザーバビリティを組み合わせた企業が勝者となります。

## 1. はじめに：消費者市場の競争を制するのは誰か？

ハードウェアバウンド・パスキーは最も安全なログイン方法ですが、消費者向けアプリでこれを使用している人はほとんどいません。[セキュリティキー](https://www.corbado.com/glossary/security-key)のメーカーや[スマートカード](https://www.corbado.com/glossary/smart-card)のメーカーは長年このフォームファクターを推進してきました。それでも、[FIDO Alliance Authentication Barometer 2024](https://fidoalliance.org/content/research/)によると、消費者向けの[銀行](https://www.corbado.com/passkeys-for-banking)におけるハードウェアバウンド・パスキーのアクティベーション率は、2025年現在でも5%未満にとどまっています。

理由は単純です。[StatCounter](https://gs.statcounter.com/os-market-share/mobile/worldwide)によるとAppleとGoogleがモバイルシェアの99%以上を支配しており、どの種類のパスキーをユーザーに最初に表示するかは彼らが決定するからです。したがって、消費者市場での競争は最強のキーを持つ企業が勝つわけではありません。ハードウェアをソフトウェア、データ、そして流通と組み合わせた企業が勝利するのです。

### 1.1 用語解説：ハードウェアバウンドと同期型パスキー

ハードウェアバウンド・パスキーとは、物理的なセキュアエレメント内に秘密鍵がロックされている[FIDO2](https://www.corbado.com/glossary/fido2)クレデンシャルです。鍵がデバイスから離れることはありません。[同期型パスキー](https://www.corbado.com/blog/device-bound-synced-passkeys)も同じ[FIDO2](https://www.corbado.com/glossary/fido2)暗号を使用しますが、[iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain)、[Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager)、またはサードパーティのマネージャーを通じてクラウド経由でデバイス間に鍵をコピーします。[W3C WebAuthn Level 3仕様](https://www.w3.org/TR/webauthn-3/)では、どちらも同じクレデンシャルタイプとして扱いますが、ストレージポリシーが異なります。業界では、ハードウェアバウンド・パスキーを「[デバイスバウンド・パスキー](https://www.corbado.com/blog/fbi-operation-winter-shield-passkeys)」や「ハードウェアバウンドWebAuthnクレデンシャル」とも呼びます。この記事ではこれらを同義語として使用します。

よくある誤解は、スマートフォンやノートパソコンのセキュアエレメントでバックアップされたパスキーはすべてハードウェアバウンドであるというものです。実際には、[Apple Secure Enclave](https://support.apple.com/guide/security/secure-enclave-sec59b0b31ff/web)と[Android StrongBox](https://source.android.com/docs/security/features/keystore)は、デフォルトで[iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain)や[Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager)を通じて同期するパスキーをホストしているため、クラウドから秘密鍵を復元できます。今日、キーを厳密にローカルに保持している唯一の消費者向けセキュアエレメントは[Windows Hello](https://www.corbado.com/glossary/windows-hello) TPMですが、MicrosoftでさえEdge内で同期へと移行しつつあります。[Windows Hello](https://www.corbado.com/glossary/windows-hello)は追加のハードウェア購入が不要でノートパソコンに内蔵されているため、この記事ではハードウェアバウンドの消費者市場の競争からは除外し、専用のセキュリティキー、FIDO2スマートカード、暗号資産ウォレットに焦点を当てます。

この一つの違い、つまり鍵がハードウェアから外に出るかどうかが、[NIST](https://www.corbado.com/blog/nist-passkeys)の保証レベルからリカバリーフローに至るまで、その後のほぼすべての特性を決定します。[NIST SP 800-63B](https://www.corbado.com/faq/nist-sp-800-63b-supplement-passkey-adoption)では、ハードウェアバウンド・パスキーを最高レベルの[AAL3](https://www.corbado.com/blog/nist-passkeys)と位置づけていますが、同期型パスキーは[AAL2](https://www.corbado.com/blog/nist-passkeys)に制限されています。この1段階のギャップは、所持要素のバインディングを必要とする規制機関（[PSD2](https://www.corbado.com/blog/psd2-passkeys)、[PSD3](https://www.corbado.com/blog/psd3-psr-passkeys)、[NYDFS Part 500](https://www.dfs.ny.gov/industry_guidance/cybersecurity)、RBI 2024、APRA CPS 234など）にとって重要です。

### 1.2 なぜ同期型パスキーがデフォルトになったのか

同期型パスキーがデフォルトの位置を占めたのは、AppleとGoogleが先にリリースし、プロンプトを制御しているからです。Appleは2021年に[iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain)のパスキー同期サポートを追加し、2022年にはGoogleの[Password Manager](https://www.corbado.com/blog/passkeys-vs-password-managers)がそれに続きました。両社ともWebAuthn [Conditional UI](https://www.corbado.com/glossary/conditional-ui)を利用して、自動入力バー内に同期型クレデンシャルを直接表示しています。ハードウェア[オーセンティケーター](https://www.corbado.com/glossary/authenticator)は、どのデフォルトのフローでも1〜3回のクリックの奥に隠されています。

[FIDO Alliance Online Authentication Barometer 2024](https://fidoalliance.org/content/research/)によると、世界の消費者の64%がパスキーを認知しており、53%が少なくとも1つのアカウントでパスキーを有効にしています。それらの登録のほとんどは同期型です。

### 1.3 消費者市場の競争が実際に起こる場所

この記事において、「消費者」とはCIAMを指します。銀行、暗号資産取引所、[政府](https://www.corbado.com/passkeys-for-public-sector)の[ウォレット](https://www.corbado.com/blog/digital-wallet-assurance)、クリエイタープラットフォームなどにログインする外部顧客について話しています。すでにハードウェアバウンド・パスキーが支配的である従業員のログイン（ワークフォースID）の話ではありません。興味深い疑問は、次にどのユーザージャーニーが開かれ、どの企業がそこに最初に到達するかということです。

この競争は、消費者が実際に取得する必要がある2つのフォームファクターと、3つの流通経路にまたがっています。

- **フォームファクター**: USBまたは[NFCセキュリティキー](https://www.corbado.com/blog/best-fido2-hardware-security-keys)、および[決済](https://www.corbado.com/passkeys-for-payment)カードに組み込まれたFIDO2[スマートカード](https://www.corbado.com/blog/best-fido2-smartcards)。暗号資産のハードウェア[ウォレット](https://www.corbado.com/blog/digital-wallet-assurance)は、3つ目のニッチなカテゴリーとしてこの両者と並んでいます。
- **流通経路**: 消費者への直接販売、銀行や[政府](https://www.corbado.com/passkeys-for-public-sector)からユーザーに出荷されるデバイス、およびセルフカストディのユーザーによって購入される暗号資産ウォレット。

### 1.4 本記事の要旨

優れたハードウェアは必要ですが、それだけではもはや十分ではありません。最強のチップを持つベンダーが自動的に消費者の普及を獲得するわけではないのです。本当のボトルネックはシリコンより上の層にあります。ブラウザのプロンプト、異なる[Android](https://www.corbado.com/blog/how-to-enable-passkeys-android)スマートフォンのNFCスタック、デバイス紛失後のリカバリー設計、そして消費者への流通です。勝者となるのは、ハードウェアと普及エンジニアリング、そして[パスキーオブザーバビリティ](https://www.corbado.com/blog/authentication-observability)を組み合わせた企業です。

この記事の残りの部分では、歴史、プレーヤー、阻害要因、現実世界のユースケース、そしてエンタープライズから消費者市場へ飛び出そうとするあらゆる企業のための実践的なプレイブックを順を追って解説します。

## 2. ハードウェアオーセンティケーターの歩み

ハードウェアバウンドのクレデンシャルは新しいものではありません。FIDOよりも約30年古いものです。PKIスマートカードは1990年代に[政府](https://www.corbado.com/passkeys-for-public-sector)で導入され、[NIST FIPS 201 PIV標準](https://csrc.nist.gov/publications/detail/fips/201/3/final)によって体系化されました。その後、エンタープライズVPNでRSA SecurIDトークンが登場しました。EMVチップ＆PINカードは2002年に[決済](https://www.corbado.com/passkeys-for-payment)の分野に到達しました。[EMVCo](https://www.emvco.com/about/)の報告によると、現在120億枚以上のEMVカードが流通しており、これは[決済](https://www.corbado.com/passkeys-for-payment)カードのチップが歴史上最大規模で展開されたハードウェア暗号プラットフォームであることを意味します。

IDEMIA、Thales、Infineonによって運営され、年間30億個以上のチップを製造する同じセキュアエレメントのサプライチェーンが、現在FIDO2スマートカード内部のシリコンを製造しています。ハードウェア[オーセンティケーター](https://www.corbado.com/glossary/authenticator)をFIDO2へと導いた3つの業界の変化は、2014年から2018年までのわずか4年間で起こりました。

### 2.1 U2FからFIDO2へ (2014年〜2018年)

[FIDO Alliance](https://www.corbado.com/glossary/fido-alliance)は2014年にFIDO U2Fを立ち上げ、いくつかの[セキュリティキー](https://www.corbado.com/glossary/security-key)ベンダーから最初のハードウェアトークンが出荷されました。Googleは2017年までに89,000人以上の従業員にU2Fキーを展開し、[Krebs on Security](https://krebsonsecurity.com/2018/07/google-security-keys-neutralized-employee-phishing/)によると、その翌年には[フィッシング](https://www.corbado.com/glossary/phishing)関連のアカウント乗っ取りがゼロになったと報告しました。しかし、U2Fはあくまでも第2要素にすぎませんでした。ユーザーは依然としてパスワードを持っており、ハードウェアのタップは単なる追加ステップでした。フォームファクターはエンタープライズ向けのままでした。Googleのスタッフ、[政府](https://www.corbado.com/passkeys-for-public-sector)機関、そして少数の暗号資産取引所向けの小型USBキーです。

2018年の[FIDO2](https://www.corbado.com/glossary/fido2)と[WebAuthn](https://www.w3.org/TR/webauthn-3/)は、U2Fを完全なパスワードレスのフレームワークに変えることでこの状況を一変させました。以前は第2要素をバックアップしていた同じセキュアエレメントが、今ではメインのログインクレデンシャルをバックアップできるようになったのです。

### 2.2 パスキーのブランディングシフト (2022年)

2022年5月、Apple、Google、Microsoft、そして[FIDO Alliance](https://www.corbado.com/glossary/fido-alliance)は共同で、[FIDO Alliance Authenticateカンファレンス](https://fidoalliance.org/expanded-support-for-fido-authentication-in-ios-and-macos/)にて「パスキー」というブランドを発表しました。同期型とデバイスバウンドの両方のFIDO2クレデンシャルについて、消費者が理解できるシンプルで単一の言葉を作ることが目的でした。

[Appleの開発者リリースノート](https://developer.apple.com/passkeys/)によると、Appleは2022年9月に[iOS](https://www.corbado.com/blog/webauthn-errors) 16で[iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain)のパスキー同期を展開しました。Googleは2022年10月に、[Identityブログ](https://blog.google/technology/safety-security/passkeys-google-account/)によると[Android](https://www.corbado.com/blog/how-to-enable-passkeys-android) 9以降でそれに続きました。

[Microsoft](https://www.microsoft.com/)は3社の中で出遅れました。[Windows Helloドキュメント](https://learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/)によると、[Windows Hello](https://www.corbado.com/glossary/windows-hello)は2015年からTPMバウンド、デバイスバウンドのクレデンシャルを提供していましたが、消費者向けアカウントでは何年もの間[デバイス間でパスキーを同期する](https://www.corbado.com/blog/passkeys-sharing)ことができませんでした。Microsoftが消費者向けMicrosoftアカウントにパスキーのサポートを追加したのは2024年5月になってからであり、[Microsoft Edge Password Manager](https://learn.microsoft.com/en-us/deployedge/microsoft-edge-passkeys)での同期型パスキーはさらに遅れ、2025年になりました。したがって、AppleとGoogleが同期型消費者パスキーで2〜3年の先行利益を得たのに対し、Microsoftは現在でも自社ブラウザ内でのデバイス間同期を追いかけている状況です。

ハードウェアベンダーは、4大企業によるこの大規模なリブランディングがセキュリティキーやスマートカードの需要を押し上げることを期待していました。しかし、そうはなりませんでした。[FIDO Alliance Barometer](https://fidoalliance.org/content/research/)によると、消費者向けの新規登録のほぼすべてを同期型パスキーが吸収したのです。

### 2.3 2つのトラックへの分岐

それから18ヶ月以内に、エコシステムは明確に2つのトラックに分かれました。消費者トラックは同期型パスキーが支配的となり、AppleとGoogleが自社のマネージャーを中心にデフォルトのフローを構築しました。一方エンタープライズトラックではハードウェアバウンド・パスキーが支配的であり、IT部門が従業員のID管理のためにセキュリティキーや[FIDO2スマートカード](https://www.corbado.com/blog/best-fido2-smartcards)を購入しています。[FIDO Alliance](https://www.corbado.com/glossary/fido-alliance)は、このエンタープライズ市場におけるハードウェア[オーセンティケーター](https://www.corbado.com/glossary/authenticator)の年間支出を10億米ドル以上と評価しています。

ハードウェアベンダーが消費者市場を諦めたわけではありません。本当の疑問は、彼らにまだ信頼できる道が残されているのか、それともOSレイヤーが彼らを完全に閉め出してしまったのかということです。

## 3. 消費者市場の競争に参加しているのは誰か？

2つのフォームファクターがスペースを争っています。セキュリティキーは、愛好家や企業への直接販売をリードしています。スマートカードは、銀行を通じた最大の流通チャネルを持っています。[EMVCoの統計](https://www.emvco.com/about/)によると、毎年15億枚以上のEMVカードが発行されています。

競合するベンダーは2つの陣営に分かれます。[セキュリティキー](https://www.corbado.com/glossary/security-key)メーカーは、USBやNFCキーをエンドユーザーや企業に直接販売します。[スマートカード](https://www.corbado.com/glossary/smart-card)とセキュアエレメントのメーカーは、銀行が発行するチップやカードを製造します。それぞれの陣営が異なる単価の問題に直面しており、どちらも単独では消費者流通のギャップを解決できていません。

### 3.1 セキュリティキーのフォームファクターをリードするのは誰か？

このセグメントでは複数のセキュリティキーメーカーが競争しています。現代のセキュリティキーは通常、USB-A、USB-C、NFC、Lightningを介してFIDO2、FIDO U2F、スマートカードPIV、OpenPGP、OTPをサポートしており、デバイス上に指紋センサーを追加しているものもあります。以下の表は、消費者およびエンタープライズ市場における最も関連性の高いベンダーの概要です。

| **ベンダー** | **本社** | **注目製品** | **コネクター** | **特徴・強み** |
| --- | --- | --- | --- | --- |
| [Yubico](https://www.yubico.com/) | スウェーデン / 米国 | YubiKey 5, YubiKey Bio, Security Key | USB-A, USB-C, NFC, Lightning | 最大のD2Cブランド、幅広いプロトコルサポート |
| [Feitian](https://www.ftsafe.com/) | 中国 | ePass, BioPass, MultiPass | USB-A, USB-C, NFC, BLE | 世界的なユニット数で最大の競合、Google TitanのOEM |
| [Token2](https://www.token2.com/) | スイス | T2F2, Bio3 | USB-A, USB-C, NFC | 手頃な価格、PIN+および生体認証対応のバリエーション |
| [Google](https://cloud.google.com/titan-security-key) | 米国 | Titan Security Key | USB-C, NFC | Googleの高度な保護機能のアンカー、Feitianが製造 |
| [OneSpan](https://www.onespan.com/) | 米国 | DIGIPASS FX1 BIO | USB-A, USB-C, NFC, BLE | 銀行向け、オプションの指紋センサー |
| [Identiv](https://www.identiv.com/) | 米国 | uTrust FIDO2 | USB-A, USB-C, NFC | エンタープライズおよび政府機関向けスマートカードの歴史 |
| [Kensington](https://www.kensington.com/) | 米国 | VeriMark Guard | USB-A, USB-C | 生体指紋リーダー、メインストリーム小売流通 |

各メーカーの価格ページによると、単一のデバイスのコストは40〜80米ドルであり、エンタープライズ環境では管理可能ですが、消費者規模での導入の障壁となります。この価格設定に伴うNFC、リカバリー、流通の問題については、セクション4で詳しく説明します。

### 3.2 スマートカードのフォームファクターをリードするのは誰か？

[スマートカード](https://www.corbado.com/glossary/smart-card)メーカーは、銀行が発行するFIDO2セグメントで競争しています。ベンダーの状況はカードメーカーとチップサプライヤーに分かれています。[CompoSecure](https://www.compositionusa.com/)（[Arculus](https://www.arculus.co/) FIDO2製品を出荷）、[IDEMIA](https://www.idemia.com/)、NagraID、[Feitian](https://www.ftsafe.com/)、TrustSECなどのカードメーカーはFIDO2カード自体を製造しています。チップサプライヤーである[IDEMIA](https://www.idemia.com/)、[Thales](https://www.thalesgroup.com/)、[Infineon](https://www.infineon.com/)の3大セキュアエレメントメーカーは、ほとんどのカードに内蔵されるセキュアエレメントを製造しています。[IDEX Biometrics](https://www.idexbiometrics.com/)は、スマートカードを[生体認証スマートカード](https://www.corbado.com/blog/best-fido2-smartcards)に変えるオンカード指紋センサーを供給しています。

カード[発行者](https://www.corbado.com/glossary/issuer)への流通は、既存の[決済](https://www.corbado.com/passkeys-for-payment)カードのサプライチェーンを通じてすでに解決されています。課題は、単価のプレミアムを吸収するよう[発行者](https://www.corbado.com/glossary/issuer)を説得し、NFCタップがデバイス間で確実に機能するようにすることです。

FIDO2スマートカードは、メタルまたは生体認証カード本体のベースコスト5〜15米ドルに加えて、2〜5米ドルのコストが上乗せされます。[Juniper Research 2024](https://www.juniperresearch.com/)によると、生体認証決済カードは2027年までに世界で1億4000万枚を超えると予測されています。

### 3.3 ハイブリッドや隣接する分野はどうなっているか？

どちらのフォームファクターにもきれいに収まらない、同じユースケースを巡って競合する製品がいくつかあります。[Ledger](https://www.ledger.com/)は700万個以上のNano[ウォレット](https://www.corbado.com/blog/digital-wallet-assurance)を出荷し、[Trezor](https://trezor.io/)は200万個以上を出荷しています。どちらも暗号資産ストレージの上の副次的な機能としてFIDO2を提供しています。
[Apple Secure Enclave](https://support.apple.com/guide/security/secure-enclave-sec59b0b31ff/web)や[Android StrongBox](https://source.android.com/docs/security/features/keystore)のようなスマートフォンのセキュアエレメントは、技術的にはハードウェアで秘密鍵を保護しますが、AppleとGoogleはデフォルトで[iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain)とGoogle Password Managerを通じてパスキーを同期します。そのため、ユーザーから見える動作はハードウェアバウンドではなく[同期型パスキー](https://www.corbado.com/blog/device-bound-synced-passkeys)となります。[Token Ring](https://www.tokenring.com/)やMojo Visionのリングのようなウェアラブル[オーセンティケーター](https://www.corbado.com/glossary/authenticator)は、公式の声明によると出荷台数が10万台未満にとどまっています。

言い換えれば、消費者市場の競争は実際にはセキュリティキーとスマートカードの二者択一であり、暗号資産[ウォレット](https://www.corbado.com/blog/digital-wallet-assurance)が第3のカテゴリ、ウェアラブルは1%未満の補足に過ぎないということです。

## 4. 消費者の普及を妨げるものは何か？

消費者市場におけるハードウェアバウンド・[パスキーの普及](https://www.corbado.com/blog/passkey-adoption-business-case)を妨げる4つの構造的な逆風があります。OSとブラウザのプロンプトの階層、[Android](https://www.corbado.com/blog/how-to-enable-passkeys-android)におけるNFCの断片化、デバイス紛失後の困難なリカバリー、そして直接販売のコストです。これらはいずれもハードウェアベンダー単独では解決できません。

### 4.1 OSとブラウザの階層

Appleの[AuthenticationServices](https://developer.apple.com/documentation/authenticationservices)はデフォルトでiCloud Keychainを使用します。[リライングパーティ](https://www.corbado.com/glossary/relying-party)が`authenticatorAttachment`を`cross-platform`に設定した場合でも、ユーザーはプラットフォームのシートを先に閉じる必要があります。Googleの[Credential Manager](https://developer.android.com/identity/sign-in/credential-manager)もAndroid上で[Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager)を使用して同じ動作をします。StatCounterによると[SafariとChromeを合わせるとモバイルブラウザシェアの約84%を占める](https://gs.statcounter.com/browser-market-share/mobile/worldwide)ため、実質的に2つのベンダーが消費者向けウェブ全体のプロンプトのUXを設定していることになります。

[StatCounter](https://gs.statcounter.com/os-market-share/mobile/worldwide)の全世界のモバイルシェアと比較したセキュリティキーの集計出荷データに基づくと、99%以上の消費者が専用のセキュリティキーを所有していないため、ブラウザはハードウェアキーのUXに対する投資を怠りがちです。これがフィードバックループを生み出します。UXが悪いと普及率が下がります。普及率が低いと投資が行われません。投資がないとUXが悪いままになります。

### 4.2 AndroidにおけるNFCの断片化

AndroidにおけるNFCの動作はメーカーによって大きく異なります。[Samsung](https://www.corbado.com/blog/samsung-passkeys)、[Xiaomi](https://www.mi.com/global/)、[Oppo](https://www.oppo.com/)、[Google Pixel](https://store.google.com/category/phones)はすべて、[Androidオープンソース](https://source.android.com/)の上に異なるNFCスタックを搭載しています。[Android Issue Tracker](https://issuetracker.google.com/)によると、Android 14のビルドの中には、2024年の数ヶ月間、サードパーティの[パスキープロバイダー](https://www.corbado.com/blog/passkey-providers)のサポートを壊したものさえありました。Pixel 8で正常にタップできるFIDO2スマートカードが、Galaxy S23 Ultraでは失敗し、Xiaomi 14ではまた違った挙動を示すかもしれません。そして、[Google Android互換性プログラム](https://source.android.com/docs/compatibility/overview)のいかなる中央テストプログラムも、消費者に届く前にこれらのリグレッションを検知できません。

### 4.3 リカバリーと紛失

同期型パスキーは、ユーザーが新しいデバイスにサインインしたときに自動的に復元されます。ハードウェアクレデンシャルはそうはいきません。セキュリティキーを紛失したりスマートカードを破損したりしたユーザーは、アカウントのリカバリーや、しばしばセキュリティの低い方法を経由しなければなりません。[Verizonの2024年データ漏えい侵害調査報告書](https://www.verizon.com/business/resources/reports/dbir/)によると、侵害の68%は、クレデンシャルリカバリーの悪用など、悪意のない人的要素が関与しています。[NIST SP 800-63B](https://www.corbado.com/faq/nist-sp-800-63b-supplement-passkey-adoption)もまた、アカウントリカバリーが認証侵害の一般的な経路であると明確に警告しています。したがって、ハードウェアのバインディングはリカバリーチャネルの強度に依存しており、つまり[リライングパーティ](https://www.corbado.com/glossary/relying-party)はシリコンベンダーと同じくらい多くのセキュリティ上の負担を担っていることになります。

### 4.4 流通とコスト

消費者向けセキュリティキーは、メーカーの価格ページによると40〜80米ドルで[販売](https://www.corbado.com/passkeys-for-e-commerce)されています。自分のアカウントが危険にさらされているとは考えていない消費者は、単にお金を払わないでしょう。コストを吸収する銀行や暗号資産取引所はデバイスを無料で提供できますが、その場合、サポートの負担を彼らが負うことになります。[CompoSecureの投資家向け資料](https://ir.compositionusa.com/)など、公開されているスマートカードベンダーの情報開示によると、クレジットカードにバンドルされたスマートカードは、カード1枚あたりの5〜15米ドルの基本コストに2〜5米ドル上乗せされます。

FIDO Alliance Barometerによると、ハードウェアがオプションとして提供されている場合でも、[金融サービス](https://www.corbado.com/passkeys-for-banking)における消費者登録の95%以上を同期型パスキーが占めているのは、これら4つの逆風が理由です。

## 5. ハードウェアバウンド・パスキーが実際に勝つ場所とは？

消費者に専用のハードウェアを持ち歩く正当な理由を与えるカテゴリーが3つあります。[銀行](https://www.corbado.com/passkeys-for-banking)および[決済](https://www.corbado.com/passkeys-for-payment)、暗号資産のセルフカストディ、そして価値の高いアカウントです。それぞれが、強力な推進要因、信頼できる流通経路、摩擦を正当化するのに十分な重大な結果を兼ね備えています。これら3つのセグメント以外では、通常、同期型パスキーが利便性で勝ります。

### 5.1 銀行および決済

銀行は最も自然な流通チャネルです。彼らはすでに物理的なカードを顧客に出荷しています。また、彼らは[PSD2](https://www.corbado.com/blog/psd2-passkeys)、[PSD3](https://www.corbado.com/blog/psd3-psr-passkeys)、[EBAのSCAに関する意見](https://www.eba.europa.eu/regulation-and-policy/payment-services-and-electronic-money)、RBIの[2FA](https://www.corbado.com/blog/passkeys-vs-2fa-security)、[NYDFS Part 500](https://www.dfs.ny.gov/industry_guidance/cybersecurity)、APRA CPS 234などのルールの下で事業を展開しています。これらのルールの多くは、同期型パスキーでは明確に満たせない暗号学的な所持要素を必要としています。

「クレジットカードとしてのスマートカード」という仮説が機能するのは、カードがすでに存在しているからです。[CompoSecureの10-K](https://ir.compositionusa.com/sec-filings)によると、メタルカードを発行する銀行はカード1枚あたり5〜15米ドルを支払います。[Juniper Research](https://www.juniperresearch.com/)の生体認証カードのコスト分析によると、FIDO2を追加すると7〜20米ドルになります。その後、その1枚のカードで、チップ＆PIN、NFCのタッチ決済、ATM引き出し、オンライン[バンキング](https://www.corbado.com/passkeys-for-banking)ログイン、価値の高い[3DSのトランザクション確認](https://www.corbado.com/blog/3ds-webauthn)を処理します。消費者は「ハードウェア[オーセンティケーター](https://www.corbado.com/glossary/authenticator)が必要ですか？」と聞かれることはありません。カードは単に郵送されてくるだけです。

### 5.2 暗号資産とセルフカストディ

暗号資産のユーザーは、すでにハードウェアを持ち歩くという考えを受け入れています。[Ledger](https://www.ledger.com/)は700万個以上のNanoデバイスを出荷し、[企業ページ](https://www.ledger.com/about)によると累積のハードウェア収益が40億米ドルを超えたと報告しています。[Trezor](https://trezor.io/)は200万台以上を出荷しています。セキュリティキーもまた、[Coinbase](https://www.corbado.com/blog/coinbase-passkey)、[Kraken](https://www.kraken.com/security)、[Binance](https://www.corbado.com/blog/binance-passkeys)がすべてFIDO2キーをサポートするなど、暗号資産取引所のMFAにおいて長期にわたるポジションを確立しています。

ハードウェア[ウォレット](https://www.corbado.com/blog/digital-wallet-assurance)にFIDO2を追加するのは追加のエンジニアリング作業です。50,000米ドルのポートフォリオを保護する100米ドルのデバイスは、明らかに持ち歩く価値があります。暗号資産は、ユーザーが自発的にハードウェアを購入する唯一の消費者カテゴリーであり続けています。

### 5.3 価値の高い消費者向けアカウント

より小規模な消費者グループは、アカウントの乗っ取りが取り返しのつかない事態になるアカウントを保護しています。典型的な例は、メインのメール、政府のID[ウォレット](https://www.corbado.com/blog/digital-wallet-assurance)、[YouTube](https://www.youtube.com/)や[Twitch](https://www.twitch.tv/)のクリエイターアカウント、ジャーナリズムのクレデンシャルなどです。Googleの[高度な保護機能プログラム](https://landing.google.com/advancedprotection/)は、この層を「ジャーナリスト、人権活動家、政治キャンペーンスタッフなど、リスクの高いユーザー」と説明しています。

OpenAIも2026年4月にChatGPT向けの[高度なアカウントセキュリティ](https://openai.com/index/advanced-account-security/)プログラムで同じ戦略を取り、約68米ドルで[YubiKey](https://www.corbado.com/glossary/yubikey) C NFCと[YubiKey](https://www.corbado.com/glossary/yubikey) C Nanoの2個パックを[Yubico](https://www.yubico.com/openai-and-yubico/)と共同ブランドで提供しました。このプログラムはパスワード、メール、SMSによるサインインを完全に無効化し、パスキーまたは物理セキュリティキーを要求するもので、ジャーナリスト、選出された役人、反体制派、その他のリスクの高いChatGPTユーザーをターゲットにしています。この追加レイヤーのために68米ドルを支払うユーザーがどれだけいるか判断するのは時期尚早ですが、価値の高い消費者向けアカウントが、暗号資産や銀行以外で自主的なハードウェアの普及を促進できるかどうかについての、これまでで最も明確なテストです。

Ciscoの[2024年サイバーセキュリティ準備状況インデックス](https://newsroom.cisco.com/c/r/newsroom/en/us/a/y2024/m03/cybersecurity-readiness-index-shows-only-3-percent-of-organizations-globally-have-the-mature-level-of-readiness-needed-to-be-resilient-against-modern-cybersecurity-risks.html)でも、成熟したセキュリティ体制を備えている組織はわずか3%であることがわかっています。[GAO 2024年サイバーセキュリティレポート](https://www.gao.gov/cybersecurity)は、連邦政府のサイバーセキュリティリスクのトップ5の1つとしてアカウント乗っ取りを挙げており、この保護を必要とする消費者のプールは当初のジャーナリズムのニッチ市場を超えて大きく広がっています。

## 6. ハードウェア単独では勝てない理由

最高のハードウェアを所有していることが、消費者市場のシェアを保証するわけではありません。ハードウェアベンダーとエンドツーエンドの消費者向け製品との間には、流通、オンボーディング、リカバリー、デバイス間ジャーニー、および測定という5つのギャップがあります。それぞれのギャップには、シリコン設計の枠を超えるスキルが必要です。

1. **流通**: ハードウェア企業は消費者との間に真の直接的な関係を持っていません。理論上は誰でもyubico.comから[YubiKey](https://www.corbado.com/glossary/yubikey)を注文できますが、実際の購入者はセキュリティ専門家、IT管理者、そして少数の愛好家層です。そのチャネルは、ブランド名を聞いたこともなく、50米ドルのオーセンティケーターを自分から探すことのない一般消費者にはスケールしません。銀行、通信会社、小売業者、OSベンダーが消費者との関係を持つ当事者であるため、消費者規模で展開するハードウェアベンダーにはパートナーシップまたはホワイトレーベル契約が必要です。
2. **オンボーディング**: 消費者がパスキーをセットアップするために必要な各ステップで、ユーザーは離脱します。現実世界の銀行の展開では、登録ファネル全体で30〜60%の離脱率が報告されており、これは[Baymard Instituteのチェックアウト放棄率のベンチマーク](https://baymard.com/lists/cart-abandonment-rate)と一致しています。
3. **リカバリー**: リカバリーストーリーのない消費者向け製品は壊れています。リカバリーには、アカウントレベルのシグナル、[身元確認（ID照合）](https://www.corbado.com/blog/digital-identity-guide)、リスクスコアリングが必要であり、これらはすべて[リライングパーティ](https://www.corbado.com/glossary/relying-party)内部に存在します。
4. **デバイス間ジャーニー**: 1人のユーザーがスマートフォン、ノートパソコン、スマートテレビ、車でサインインします。ハードウェアバウンドのクレデンシャルは1つのデバイスにしか存在しません。したがって、行き止まりを避けるためにハードウェアと同期型クレデンシャル間のスマートなルーティングが必要です。
5. **測定**: ハードウェアベンダーは通常、出荷して終わりです。彼らは販売台数とライセンスのアクティベーション数を数えます。WebAuthnのセレモニーが失敗したり、ユーザーがタップを諦めたりするのを見ることはありません。測定がなければ、他の4つのギャップを埋めることはできません。

自社製品内でこれら5つのギャップを解決するベンダーは、エンドツーエンドの認証プラットフォームになります。そうしないベンダーはコンポーネントビジネスにとどまり、他社のプラットフォームに販売することになります。

## 7. 本当のレバーとは何か？普及エンジニアリング

普及エンジニアリングとは、ハードウェアバウンド・パスキーと、登録を促進し、すべてのセレモニーを測定し、壊れた経路を回避してルーティングするソフトウェアを組み合わせることです。これらの活動はどれもハードウェアに関するものではありません。消費者市場で勝つためには4つすべてが必要であり、それらは閉じたループとしてのみ機能します。下の図は、4つの活動がどのようにお互いにフィードバックし合うかを示しています。

[FIDO Alliance Authentication Barometer 2024](https://fidoalliance.org/content/research/)によると、消費者の53%が少なくとも1つのアカウントでパスキーを有効にしていますが、規制されたジャーニーにおけるハードウェアバウンドのアクティベーションは依然として5%未満にとどまっています。これは10倍のギャップであり、普及エンジニアリングこそがそれを埋めるものです。[W3C WebAuthnワーキンググループ](https://www.w3.org/Webauthn/)は、このギャップを仕様の問題ではなく展開の問題として扱っています。

### 7.1 ファネルレベルのテレメトリ

ファネルレベルでは、[パスキーオブザーバビリティ](https://www.corbado.com/blog/authentication-observability)によって「ユーザーがサインインをクリックする」から「セッショントークンが発行される」までのすべてのステップが測定されます。その計測機能がなければ、チームは「ユーザーがハードウェアオプションを見なかった」、「ユーザーはそれを見てタップしたがNFCが失敗した」、「ユーザーはセレモニーを完了したが、リライングパーティが結果を拒否した」という違いを見分けることができません。

ファネルのテレメトリにより、実際に重要となる指標（ハードウェアパスキーのアクティベーション率、デバイスごとのハードウェアパスキーの成功率、完了までの時間、ステップごとの離脱率）が得られます。[W3C WebAuthn Level 3仕様](https://www.w3.org/TR/webauthn-3/)は、セレモニーが返すことができる14の異なるエラーコードを定義していますが、[FIDO Alliance Authenticate 2024のデプロイトーク](https://fidoalliance.org/content/event/2024-authenticate-conference/)によると、ほとんどの本番環境のデプロイメントでは5つ未満しか計装されていません。

### 7.2 セッションレベルの診断

単一の認証が失敗した場合、サポートチームは正確に何が起こったのかを確認する必要があります。セッションレベルの診断では、トランスポート（NFC、USB、またはBLE）、CTAPエラーコード、ブラウザ、OSバージョン、デバイスメーカー、およびセレモニー内の各ステップのタイミングをキャプチャします。[FIDO CTAP 2.1仕様](https://fidoalliance.org/specs/fido-v2.1-ps-20210615/fido-client-to-authenticator-protocol-v2.1-ps-20210615.html)は、[オーセンティケーター](https://www.corbado.com/glossary/authenticator)が返すことができる20以上のエラーコードを定義しており、これらは[W3C WebAuthn Level 3仕様](https://www.w3.org/TR/webauthn-3/)の特定のユーザーリカバリーアクションにマッピングされています。

このテレメトリがなければ、サポートエージェントには「ログイン失敗」としか表示されず、アカウントのリカバリーを開始してしまう可能性があります。

### 7.3 デバイスインテリジェントルーティング

一部のデバイスとOSの組み合わせでは、常に問題が発生します。大規模な展開における現実世界のデータによると、[Android Issue Tracker](https://issuetracker.google.com/)や[FIDO Alliance Authenticate 2024のトーク](https://fidoalliance.org/content/event/2024-authenticate-conference/)で文書化されている一般的なパターンでは、個々の壊れた組み合わせで40〜90%の中断率が示されています。

既知の破損した組み合わせではハードウェアオプションを隠し、次に最適なパスにフォールバックするルーティングロジックにより、ユーザーを障害ケースから遠ざけることができます。ただし、このようなルーティングの決定を下せるのは、[OpenSignalデバイスデータベース](https://www.opensignal.com/)で追跡されている約24,000の異なるAndroidデバイスモデル全体にわたって、オブザーバビリティデータが壊れたペアを特定した後でのみです。

### 7.4 発行者との継続的な反復

[アイデンティティプログラムに関するGartnerの調査](https://www.gartner.com/en/information-technology/insights/identity-and-access-management)によると、銀行やフィンテック企業は通常、6〜12ヶ月のサイクルで試験運用と本格展開を実施します。勝者となるプラットフォームは、オブザーバビリティデータを毎週のリリースノート、バグ修正、および着実に向上する成功率へと変換します。四半期ごとのレビューを伴う静的な展開は、継続的な反復に敗北します。

## 8. 結局、消費者市場の競争を制するのは誰か？

純粋なハードウェアベンダーが消費者市場の競争に勝つことはありません。銀行と[発行者](https://www.corbado.com/glossary/issuer)、ソフトウェアレイヤーを構築するハードウェアベンダー、そしてOSプラットフォームという3つのアーキタイプが、消費者向け認証プラットフォームの役割をめぐって競争しています。銀行が現在リードしているのは、物理的な流通を所有しており、[PSD2](https://www.corbado.com/blog/psd2-passkeys)や[NYDFS Part 500](https://www.dfs.ny.gov/industry_guidance/cybersecurity)といった規制のカバー範囲にあるためです。OSプラットフォームは、販売するすべてのスマートフォンやノートパソコンの中にすでにシリコンを搭載していますが、[Apple](https://www.apple.com/)と[Google](https://www.google.com/)がデフォルトでパスキーを同期する限り、それらは同期型パスキーにおける競合相手であり、ハードウェアバウンド・パスキーの競合相手ではありません。

### 8.1 なぜ現在銀行がリードしているのか

銀行は今日、消費者向けハードウェアバウンド・パスキー市場をリードしています。4つの有利な条件が重なっています。1つ目は、すでに物理的なカードを発行していること。2つ目は、[PSD2](https://www.corbado.com/blog/psd2-passkeys)、PSD3、[NYDFS Part 500](https://www.dfs.ny.gov/industry_guidance/cybersecurity)、RBI、および[APRA CPS 234](https://www.apra.gov.au/information-security)による規制のカバー範囲にあること。3つ目は、消費者の信頼を得ていること。そして4つ目は、公開されているスマートカードベンダーの開示情報によると、ポートフォリオ全体で2〜5米ドルの単価プレミアムを吸収できることです。

これら4つの利点を普及エンジニアリングと組み合わせた銀行は、パスキーを有効にした顧客の複数年にわたる維持を確保します。ハードウェア製品を購入してそれで作業が終わったと考える銀行は、過去2年間に業界で報告されてきたのと同じ一桁のアクティベーション率で終わってしまいます。

### 8.2 ソフトウェアを構築するハードウェアベンダーはどうか？

2番目のアーキタイプは、ソフトウェアレイヤーも構築するハードウェアベンダーです。いくつかのセキュリティキーおよびスマートカードメーカーがこの移行を開始していますが、彼らが出荷するソフトウェアの種類について正確に把握しておく必要があります。これらの製品のほとんどはIAM、フリート管理、または[アダプティブ認証](https://www.corbado.com/blog/continuous-passive-authentication)プラットフォームであり、消費者の普及ギャップを埋めるために必要なファネルレベルの[パスキーオブザーバビリティ](https://www.corbado.com/blog/authentication-observability)ではありません。

- [Yubico](https://www.yubico.com/)は、セキュリティキーベンダーの中で最も完全なプラットフォームを構築しています。その[YubiKey as a Service](https://www.yubico.com/products/yubienterprise-subscription/)サブスクリプションは、ユーザーごとのライセンス、フリートおよび出荷管理のためのカスタマーポータル、FIDO事前登録、登録アプリとSDK、そしてOkta、Microsoft Entra ID、Ping Identityと統合されたグローバル配信を組み合わせています。この製品は主にエンタープライズ向けの配信およびライフサイクル管理レイヤーであり、消費者の普及を分析するものではありません。
- [Thales](https://cpl.thalesgroup.com/access-management)は、SafeNet eTokenおよびスマートカードハードウェアを、[SSO](https://www.corbado.com/blog/passkeys-single-sign-on-sso)および[アダプティブ認証](https://www.corbado.com/blog/continuous-passive-authentication)を備えたクラウドIdentity-as-a-Serviceプラットフォームである[SafeNet Trusted Access](https://cpl.thalesgroup.com/access-management/safenet-trusted-access)と組み合わせています。
- [OneSpan](https://www.onespan.com/)は、銀行やフィンテックに焦点を当てたDIGIPASSハードウェアを、[OneSpan Cloud Authentication](https://www.onespan.com/products/cloud-authentication)プラットフォームおよびインテリジェント[アダプティブ認証](https://www.corbado.com/blog/continuous-passive-authentication)とバンドルしています。
- [HID Global](https://www.hidglobal.com/)は、Crescendoスマートカードを[HID Authentication Service](https://www.hidglobal.com/services/hid-authentication-service)およびHID Approveモバイルオーセンティケーターとともに出荷しています。
- [CompoSecure](https://www.compositionusa.com/)は、[Arculus](https://www.arculus.co/) FIDO2スマートカードを、コンパニオン[ウォレット](https://www.corbado.com/blog/digital-wallet-assurance)アプリと発行者向けの開発者SDKで拡張しています。

これまでのところ、これらのベンダーのほとんどは依然として収益の大部分をハードウェアから得ています。ソフトウェアスタックをデバイスの配信やIAMから実際のセレモニーレベルの[パスキーオブザーバビリティ](https://www.corbado.com/blog/authentication-observability)へと拡張するベンダーは、エンドツーエンドで普及を推進できます。そうしないベンダーは、コンポーネントサプライヤーとしてエンタープライズの枠の中に閉じ込められたままになります。

### 8.3 OSプラットフォームはどうか？

OSプラットフォームは特別なケースです。ハードウェアは存在します。[Apple Secure Enclave](https://support.apple.com/guide/security/secure-enclave-sec59b0b31ff/web)、[Android StrongBox](https://source.android.com/docs/security/features/keystore)、および[Windows 11](https://www.corbado.com/blog/passkeys-windows-11)の[Plutonチップ](https://learn.microsoft.com/en-us/windows/security/hardware-security/pluton/microsoft-pluton-security-processor)はすべて、彼らが販売するすべてのデバイスの内部に搭載されています。しかし、AppleとGoogleにおけるデフォルトの[パスキーポリシー](https://www.corbado.com/faq/multiple-passkeys-per-account)は同期であるため、消費者が箱から出してすぐに真のハードウェアバウンド・クレデンシャルを得ることはありません。iCloud KeychainとGoogle Password Managerはデバイス間で鍵をコピーするため、ユーザーから見える動作は[同期型パスキー](https://www.corbado.com/blog/device-bound-synced-passkeys)とまったく同じになります。MicrosoftのTPMバウンドのWindows Helloは、依然としてキーをローカルに保持する唯一の消費者向けセキュアエレメントですが、Edgeも同期へと移行しつつあります。また、別途ハードウェアを購入する必要がないため、Windows Helloをハードウェアバウンドの消費者市場の競争から除外しています。

理論的には、Apple、Google、Microsoftは、同期型と同じように洗練されたUXで、プラットフォームバウンドで同期しないパスキーを公開することで、カテゴリーを再定義できる可能性があります。しかし、彼らがそうする計画があるという公式の兆候はありません。同期がデフォルトであり続ける限り、OSプラットフォームは同期型パスキーの競合相手であってハードウェアバウンド・パスキーの競合相手ではありません。そして、専用のセキュリティキーとFIDO2スマートカードだけが、消費者にとっての唯一の現実的なハードウェアの道であり続けます。

### 8.4 実際の競争はどうなっているのか？

実際の競争は「セキュリティキー対スマートカード」ではありません。本当の問いは、ハードウェアが重要な場所において、ソフトウェア、データ、そして普及エンジニアリングを組み合わせた消費者向け認証プラットフォームを誰が構築するのかということです。[FIDO Alliance Authenticate 2024の基調講演](https://fidoalliance.org/content/event/2024-authenticate-conference/)に基づくと、今後3〜5年間で勝者となる可能性が高いのは以下の通りです。

- FIDO2スマートカードを消費者にとってデフォルトの体験にする、3〜5社の大規模銀行や決済ネットワーク。
- 単なるIAMやフリート管理ではなく、実際のセレモニーレベルの分析を備えた認証プラットフォームへの移行に成功した、1〜2社のハードウェアベンダー。
- より強力なアカウント保護と引き換えにユーザーの5〜10%が実際にハードウェアにお金を支払うことを証明できれば、Googleの高度な保護機能やOpenAIの高度なアカウントセキュリティのような価値の高いアカウントプログラム。

純粋なハードウェア企業のままの会社が、消費者市場の競争に勝つ可能性は低いです。彼らは結局、誰かのプラットフォーム内部のシリコンサプライヤーになります。それは健全なビジネスであり、エンタープライズにおける真の強みですが、消費者市場を支配するものではありません。

## 9. 銀行、発行者、製品チームは次に何をすべきか？

[FIDO Allianceのデプロイメントプレイブック](https://fidoalliance.org/content/research/)および[GartnerのIDガイダンス](https://www.gartner.com/en/information-technology/insights/identity-and-access-management)に基づくと、今後12ヶ月以内にハードウェアバウンド・パスキーを評価する製品チームにとって重要な行動は3つあります。ハードウェアが実際に勝てるユースケースを選択すること。すべてのハードウェア展開を普及エンジニアリングと組み合わせること。そして、初日からデータフィードバックループを構築することです。

1. **適切なユースケースを選択する**: 価値の高い[トランザクション確認](https://www.corbado.com/blog/3ds-webauthn)、規制されたジャーニーでの[ステップアップ認証](https://www.corbado.com/glossary/step-up-authentication)、リスクの高いセグメントのリカバリーなどです。一般的な消費者向けログインにハードウェアを無理に押し込まないでください。
2. **ハードウェアと普及エンジニアリングを組み合わせる**: 計装、[ネイティブアプリ](https://www.corbado.com/blog/native-app-passkeys)の[エラー処理](https://www.corbado.com/blog/native-app-passkey-errors)、デバイスインテリジェントルーティング、そして[同期型パスキー](https://www.corbado.com/blog/device-bound-synced-passkeys)のベースラインに対する明示的な測定です。
3. **データループを早期に構築する**: ロールアウト後ではなく、最初のパイロットでファネルのテレメトリを出荷します。どのAndroidメーカー、どの[iOS](https://www.corbado.com/blog/webauthn-errors)バージョン、どのブラウザの組み合わせがタップの成功を妨げているかを確認するチームは、数週間で反復改善できます。それを行わないチームは推測に頼るしかなく、サポートチケットを待たなければなりません。

ハードウェアベンダーにとって、メッセージはさらに明確です。会社がコンポーネントサプライヤーにとどまるのか、それともプラットフォームを構築するのかを決定してください。どちらも実行可能です。完全にコミットせずに両方をやろうとすると、プラットフォームへの投資が資金不足に陥り、シリコンのロードマップが散漫になります。

## 10. 結論

ハードウェアバウンド・パスキーは依然として、[NIST AAL3](https://pages.nist.gov/800-63-3/sp800-63b.html)に達し、クラウドアカウントの侵害を生き延び、[PSD2](https://www.corbado.com/blog/psd2-passkeys)、[PSD3](https://www.corbado.com/blog/psd3-psr-passkeys)などの規制の最も厳格な解釈を明確に満たす唯一の消費者向けクレデンシャルタイプです。技術は確実です。シリコンは強力です。標準は成熟しています。

技術だけではできないことは、消費者の普及を勝ち取ることです。AppleとGoogleはOSとブラウザのレイヤーを制御しています。銀行と発行者は消費者の流通を制御しています。ハードウェアベンダーはシリコンを制御しています。消費者市場での競争は、普及を推進し、すべてのセレモニーを測定し、ギャップを回避するソフトウェアプラットフォームを通じて、この3つすべてを組み合わせた企業が勝利します。

勝利の方程式は、ハードウェアに[パスキーオブザーバビリティ](https://www.corbado.com/blog/authentication-observability)と継続的な普及エンジニアリングを加えたものです。これら3つすべてを出荷するベンダーまたは[発行者](https://www.corbado.com/glossary/issuer)が、次の10年間の消費者向けプレイブックを書くことになります。それ以外の企業はすべて、他社のプラットフォームにコンポーネントを販売するだけです。

## よくある質問

### 消費者にとってのハードウェアバウンド・パスキーと同期型パスキーの違いは何ですか？

ハードウェアバウンド・パスキーは、セキュリティキー、FIDO2スマートカード、または内蔵TPMチップなどの物理的なセキュアエレメント内に秘密鍵を保持します。鍵がそのハードウェアから外に出ることは決してありません。同期型パスキーは、iCloud Keychain、Google Password Manager、またはサードパーティのマネージャーに存在し、クラウドを通じてデバイス間でコピーされます。ハードウェアバウンド・パスキーは秘密鍵をエクスポートできないため、NIST AAL3に達します。同期型パスキーはクラウドの同期経路によって鍵が復元可能になるため、AAL2が上限となります。この1段階の保証のギャップは、銀行、政府、ヘルスケアの規制機関にとって非常に重要です。

### パスキーが普及しているにもかかわらず、ハードウェアセキュリティキーが消費者に広く普及していないのはなぜですか？

StatCounterによると、AppleとGoogleは99%以上の消費者が使用するOSとブラウザを制御しています。両社ともWebAuthnプロンプトにおいて、自社の同期型クレデンシャルマネージャーを優先しています。AppleのAuthenticationServicesやAndroidのCredential Managerのドキュメントによれば、ハードウェアオーセンティケーターはどのデフォルトのフローでも1〜3回のクリックの奥にあります。AndroidでのNFCの動作はスマートフォンのメーカー間で断片化しており、Conditional UIはデフォルトで同期型クレデンシャルに設定されています。その上、ほとんどの消費者はサービスから強制されない限り、別のオーセンティケーターに40〜80米ドルを支払うことはありません。

### 消費者にとってハードウェアバウンド・パスキーを正当化できるユースケースは何ですか？

消費者に十分な動機を与えるカテゴリーが3つあります。1つ目は銀行と決済で、PSD2、PSD3、インドのRBI、オーストラリアのAPRA CPS 234がすべて強力な顧客認証を義務付けています。2つ目は暗号資産とセルフカストディで、鍵の紛失が資金の喪失を意味し、LedgerとTrezorはすでに900万台以上のデバイスを出荷しています。3つ目は、メインのメール、政府のIDウォレット、クリエイターアカウントなどの価値の高いアカウントで、乗っ取りが取り返しのつかない事態になる場合です。Googleの高度な保護機能プログラムと、2026年4月に約68ドルでYubiKeyの2個パックと共同ブランドで提供されたChatGPT向けのOpenAIの高度なアカウントセキュリティは、どちらもこの層をターゲットにしています。これら3つのカテゴリー以外では、通常、同期型パスキーが勝ります。

### FIDO2スマートカードは、消費者向けハードウェアパスキーの競争においてどのような位置づけですか？

CompoSecure（10-Kの提出書類によると年間1億枚以上のメタル決済カードを出荷し、ArculusをFIDO2製品として提供している）やIDEMIAなどのスマートカードメーカーは、FIDO2クレデンシャルをホストできるセキュアエレメントを備えたNFCスマートカードを構築しています。消費者はすでにクレジットカードを持ち歩いているため、そのカードにハードウェアバウンド・パスキーを追加すれば、別のデバイスは不要になります。銀行、ネオバンク、暗号資産カストディアンは、認証、決済、ステップアップを1つのフォームファクターに統合できます。難しいのは、iOSやAndroidのブラウザ間でNFCタップを確実に機能させることと、カード1枚あたり2〜5米ドルのコストプレミアムを吸収するよう発行者を説得することです。

### 消費者向けハードウェアバウンド・パスキー市場で実際に勝者となるには何が必要ですか？

優れたハードウェアは必要ですが、それだけでは不十分です。勝者は、信頼できるハードウェアのフォームファクターと、登録や認証のすべてのステップを測定し、壊れたデバイスとOSの組み合わせを回避し、不正行為やサポートコストが低下していることを発行者に証明するインテリジェンスプラットフォームを組み合わせます。ファネルレベルのパスキーオブザーバビリティがなければ、ベンダーや銀行は、FIDO Alliance Authenticate 2024のデプロイトークで記録されているパターンのように60%のユーザーがNFCタップを諦めていることや、W3C WebAuthn Level 3仕様にあるようにConditional UIがプロンプトを静かに飲み込んでしまったことに気づくことができません。競争は、どのキーが最も強力なチタンシェルを持っているかではなく、データとソフトウェアによって決まります。