MF Blogs
便利ツール
Web認証の流れを象徴する抽象的なフラクタル模様

記事

Google、Chromeの認証機能群をI/O 2026で解説。パスキーやメール検証プロトコルでログインの摩擦を削減

Googleは2026年5月21日、Chrome for Developersの公式ブログで、Google I/O 2026に合わせたWeb認証の最新機能をまとめて解説しました。パスキーのImmediate UIモード、メール検証プロトコル(EVP)、Digital Credentials APIなど、サインインの摩擦とフィッシングリスクを減らす機能群が紹介されています。

0:00 0:00

Googleは2026年5月21日付のChrome for Developers公式ブログで、Google I/O 2026に合わせたWeb認証の最新機能をまとめて解説しました。サインインを「面倒な作業」から「安全で簡潔な入口」に変えることを目指した内容です。

Web認証を象徴する抽象イメージ

画像引用元: Chrome for Developers

認証の近代化がなぜ重要か

Googleは、雑なサインアップフォームや「パスワードを忘れた」ループ、ログインボタンの羅列といった摩擦の多いフローが、ユーザーを離脱させていると指摘しています。こうしたフローは集中を切らす要因であり、従来のパスワードやワンタイムパスワード(OTP)はフィッシングにも弱いとしています。

認証を近代化することで、システムとユーザーの双方を守りつつ、コンバージョン率の向上にもつながると説明しています。Googleが挙げた例では、pixivはパスキー導入後にログイン成功率99%を達成し、パスワード時代から29ポイント改善したとしています。

アカウント作成を効率化する

Googleは、ユーザーが最初に触れる体験としてアカウント作成の効率化を重視しています。その方法として、Googleなどの信頼できるプロバイダーで登録できる「IDフェデレーション」を主要な手段として推奨しています。

フェデレーションを使うと、ユーザーは名前やメールアドレスを手入力する必要がなくなり、プロバイダーが既に検証済みのため重複した確認も省けます。IDプロバイダーとして振る舞う場合は、ブラウザUIを介してプライバシーを守りつつワンタップのサインインを実現する「Federated Credential Management(FedCM)API」の採用が推奨されています。

メール検証プロトコル(EVP)

新たに紹介されたのが、初期段階の機能である「メール検証プロトコル(EVP)」です。これは、アプリがブラウザを介して検証済みのメールアドレスを直接取得できるしくみです。

利用するには、autocomplete="email-verification-token"属性を持つ隠しフィールドをチャレンジ付きで追加します。ブラウザがメールのドメインを解析し、メール発行元にユーザーがそのメールを管理しているか検証を要求します。検証が成功すると、ブラウザが検証済みのメールクレームを提示し、バックエンドが即座に確認できます。Googleは、EVPによってマジックリンクやメールOTPのような離脱を招く摩擦を、サインイン・サインアップ・パスワードリセットから取り除けるとしています。

Digital Credentials APIで選択的開示

法的な氏名や年齢といった機微な情報については、「Digital Credentials API」が紹介されています。これは、ブラウザの仲介を通じて、ユーザーのウォレットから検証済みデータを「選択的開示」で要求するしくみです。

選択的開示により、たとえば「ユーザーが一定の年齢以上であること」を、実際の生年月日や氏名そのものを受け取らずに確認できます。必要な事実だけを確認し、ユーザーのプライバシーを保てる点が特徴です。

パスキーの「Immediate UIモード」

Googleは、パスキーを単なるパスワードの置き換えではなく、フィッシング耐性を持つシームレスな認証への根本的な転換と位置づけています。Chrome 149からは「Immediate UIモード」が利用可能になりました。

これは、ユーザーがサイトに到達した瞬間に、ブラウザがパスワードマネージャー内の認証情報を確認するしくみです。パスキーやパスワードが利用できる場合、ブラウザがすぐにサインインダイアログを表示します。ユーザーがサインイン方法を選ぶ必要がなくなり、ワンタップに近い体験になるとしています。実装はnavigator.credentials.get()uiMode: 'immediate'を指定する形です。

まとめ:ログインの摩擦をブラウザ側で減らす

今回のChrome for Developersの解説は、Web認証の改善が「個々のサイトの工夫」から「ブラウザが標準機能として支援する領域」へ移りつつあることを示しています。FedCM、EVP、Digital Credentials API、パスキーのImmediate UIモードは、いずれもブラウザが仲介して摩擦とフィッシングリスクを下げる方向で設計されています。

EVPのように一部はまだ実験段階であり、メールプロバイダー側の対応も必要です。Googleはフィードバックを呼びかけており、Web開発者は自分のサービスの認証フローを見直す際の選択肢として、これらの動向を把握しておく価値があります。

Modernize authentication with passkeys, digital credentials, and more
Source Chrome for Developers
Modernize authentication with passkeys, digital credentials, and more

Recap of how to modernize authentication with passkeys, digital credentials, and more, based on the Google I/O 2026 session.

記事

関連する記事

ノートPCの画面にベータを示す歯車バッジとソフトウェア更新の進捗を描いた抽象イラスト
ツール

Apple、macOS 26.6のパブリックベータ1を公開——アプリを『Intel専用』と誤判定する不具合を修正

2026年5月30日 12:20 4分

9to5Macは2026年5月28日、AppleがmacOS 26.6のパブリックベータ1を公開したと報じました。ビルドは25G5028fで、主な変更は一部アプリを誤って『Intel専用』と表示してしまう非推奨通知の不具合修正です。正式版はWWDC後の見込みとされています。

歯車とカレンダー・メールのアイコンを束ねる24時間稼働のエージェントを表す抽象イラスト
AI

Google、24時間稼働の個人エージェント『Gemini Spark』を米国提供——AI Ultra向けに最大15タスク同時実行

2026年5月30日 12:10 4分

9to5Googleは2026年5月29日、Googleが個人向けエージェント『Gemini Spark』を米国のGoogle AI Ultra加入者へ提供開始したと報じました。Workspaceや各種連携アプリ、リモートブラウザと連動してタスクを自動化し、最大15件まで同時実行できるとされています。

予算メーターが上限で止まり、盾とロックのアイコンが支出をせき止める様子の抽象イラスト
ツール

GitHub Advanced Securityに『ハード予算上限』——上限到達でライセンス消費を自動ブロック、想定外の超過を防止

2026年5月30日 12:00 4分

GitHubは2026年5月28日、GitHub Advanced Security(GHAS)にハードな予算上限を設定できる機能を追加したと発表しました。これまでは通知のみのソフト予算でしたが、上限に達すると新たなライセンス消費がブロックされ、想定外の支出を確実に止められるようになります。