FIDO2完全ガイド:パスワードレス認証を実現する次世代標準の仕組み

FIDO2完全ガイド:パスワードレス認証を実現する次世代標準の仕組み IT用語・PC用語辞典
FIDO2完全ガイド:パスワードレス認証を実現する次世代標準の仕組み

「パスワードを忘れた」「複雑なパスワードを考えるのが面倒」「フィッシング詐欺でIDが盗まれた」。 長年、インターネット利用者を悩ませてきたこれらの問題を根底から解決する技術、それが FIDO2(ファイドツー) です。

Apple、Google、Microsoftなどのテック巨人がこぞって推進するこの技術は、認証の常識を「記憶」から「所持・生体」へと塗り替えようとしています。本記事では、FIDO2の仕組みと、なぜそれが最強のセキュリティ対策と言われるのかを解説します。

FIDO2とは何か

FIDO2は、FIDOアライアンスとW3C(Web技術の標準化団体)が策定した、パスワードを使わずに安全にログインするための技術規格の総称です。

従来のパスワード認証が抱える限界

従来の認証は、サーバーとユーザーが「同じパスワード(秘密)」を共有していることが前提でした。しかし、これには致命的な弱点があります。

  • サーバー攻撃: 企業からパスワード情報が漏洩すれば終わり。
  • フィッシング: ユーザーが偽サイトにパスワードを入力してしまえば終わり。
  • リスト型攻撃: 使い回しにより、他サービスの漏洩被害が波及する。

FIDO2は「サーバーに秘密(パスワード)を送らない」ことで、これらのリスクを構造的に排除します。

FIDO2を構成する2つの技術規格

FIDO2は、単一の技術ではなく、以下の2つの規格が連携して動作します。

1. WebAuthn (Web Authentication)

  • 役割: Webブラウザ(Chrome, Edgeなど)とWebサーバーの間をつなぐAPI。
  • 標準化: W3Cによって標準化されており、Webサービス側がJavaScriptを使って「生体認証使っていいですか?」とブラウザに命令を出す仕組みです。

2. CTAP (Client to Authenticator Protocol)

  • 役割: PCやスマホ(クライアント)と、認証を行うデバイス(認証器)の間をつなぐプロトコル。
  • 動作: WebAuthnからの命令を受け取り、USBキーやスマホの生体認証センサーを動かして認証処理を行います。

FIDO2の認証フロー(仕組みの図解)

FIDO2の核心は「公開鍵暗号方式」です。サーバー側には「公開鍵(誰に見られてもいい鍵)」だけを置き、ユーザーの手元(デバイス内)に「秘密鍵(絶対外に出さない鍵)」を持ちます。

登録フェーズ(最初の設定)

  1. ユーザーが認証器(指紋など)で本人確認を行う。
  2. 認証器の中で「秘密鍵」と「公開鍵」のペアが生成される。
  3. 「公開鍵」だけがサーバーに送られ、保存される。(秘密鍵はデバイスから一歩も出ない!)

認証フェーズ(ログイン時)

  1. チャレンジ: ログインしようとすると、サーバーから「このランダムな文字列(チャレンジ)に署名して」という指示が来る。
  2. 本人確認: デバイス側で「指紋」などで本人確認を行い、ロックを解除する。
  3. 署名: デバイス内の「秘密鍵」を使ってチャレンジに署名(暗号化)し、サーバーに送り返す。
  4. 検証: サーバーは保管していた「公開鍵」を使って署名を検証。「確かに秘密鍵を持っている本人だ」と確認できればログイン成功。

なぜ安全なのか? ネットワーク上を流れるのは「署名データ」だけであり、パスワードや秘密鍵そのものは一切流れません。途中で通信を盗聴されても、攻撃者は何もできないのです。

認証器(Authenticator)の種類

FIDO2で「鍵」の役割を果たすデバイスには、大きく2種類あります。

1. プラットフォーム認証器(内部認証器) PCやスマホに最初から内蔵されているものです。

  • Windows Hello: 顔認証や指紋認証。
  • Touch ID / Face ID: MacやiPhoneの生体認証。
  • Android: 指紋センサーや画面ロック解除。

2. ローミング認証器(外部認証器) USBやNFC、Bluetoothで接続して使う、持ち運び可能な専用デバイスです。

  • YubiKey (Yubico社): 企業で広く使われるセキュリティキー。
  • Titan Security Key (Google社): Google純正のキー。

スマホが認証器になる「パスキー」 最近のトレンドである「パスキー (Passkeys)」は、FIDO2の技術を使い、スマホ自体を認証器として利用します。秘密鍵をクラウド(iCloudキーチェーンやGoogleパスワードマネージャー)で同期することで、スマホを買い替えても鍵を引き継げる利便性を実現しています。

導入のメリット

フィッシング耐性の確立(最強のメリット) FIDO2は、認証時に「正しいドメインか?」を厳密にチェックします。 例えば、本物の google.com と偽の g00gle.com は別のドメインとして扱われます。偽サイトで指紋認証を行っても、ブラウザが「ドメインが違う」と判断して署名を拒否するため、フィッシング詐欺に遭うこと自体が技術的に不可能になります。

ユーザー体験(UX)の向上 「大文字・小文字・記号を含めて12文字以上」といった複雑なパスワード入力は不要です。スマホを見るだけ、指を置くだけでログインが完了します。

運用コストの削減 情シス部門への問い合わせNo.1である「パスワード忘れ対応」が激減します。

FIDO2/パスキー導入における課題と対策

デバイス紛失時のリカバリー 秘密鍵が入ったスマホやキーを紛失するとログインできなくなります。

  • 対策: 複数のデバイス(PCとスマホなど)を登録しておく、またはバックアップ用のYubiKeyを用意しておく。パスキーならクラウド同期で復元可能。

クロスプラットフォーム対応の現状 以前は「iPhoneで登録した鍵でWindowsにログインする」のが困難でしたが、現在はQRコード読み取り(ハイブリッド転送)により、OSの壁を超えた認証がスムーズになりつつあります。

企業環境での利用 Active DirectoryやMicrosoft Entra ID (旧Azure AD) もFIDO2に対応しています。社内システムへのログインを完全にパスワードレス化する企業が増えています。

まとめ

FIDO2は、単なる「便利なログイン方法」ではありません。インターネットの黎明期から続いてきた「パスワード」というセキュリティの脆弱な土台を、暗号技術によって強固なものへと作り変える革命です。

「記憶(パスワード)」に頼る時代は終わり、「所持と生体(FIDO2)」によるパスワードレスの時代が、すでに始まっています。

タイトルとURLをコピーしました