近年、パスワードを用いた認証システムの脆弱性が顕著になり、不正アクセスや機密情報の流出、マルウェアの感染などのセキュリティインシデントが増加しています。
フィッシング、パスワードリスト攻撃、流出したIDとパスワードを使った攻撃であるクレデンシャルスタッフィング攻撃などの攻撃手法により、多くのユーザーが被害を受けており、このような状況で、パスワードに依存しないより安全で利便性の高い認証方式として注目を集めているのが FIDO2 です。
FIDO2とは?
FIDO2 (Fast IDentity Online 2) は、パスワードレス認証を実現するためのオープンスタンダード(※公開された技術標準仕様)です。
FIDOアライアンスと W3C (World Wide Web Consortium) によって開発され、公開鍵暗号技術を用いて、より安全でユーザにとって使いやすい認証を可能にします。
FIDO2は、初期のU2F (Universal 2nd Factor) プロトコルを基盤に、W3CのWebAuthnとFIDOアライアンスのCTAP2という2つの主要な仕様を組み合わせることで進化してきました。この進化により、パスワードレス認証の幅広い事例に対応できるようになり、セキュリティと利便性の両立を実現しています。
FIDO2は、従来のパスワード認証に伴う以下のセキュリティ上の課題を解決することを目指しています。
- フィッシング対策:
-
FIDO2は、Webサイトのドメインと認証デバイスを紐づけることで、偽のWebサイトへのログインを防ぎます。
- パスワード漏洩対策:
-
FIDO2は、パスワード自体を保存しません。ただし、その他の機密情報が保存されている可能性があり、リスクが完全に排除されるわけではないことに注意が必要です。
- パスワード使い回しの防止:
-
FIDO2は、各Webサイトに対して異なる認証鍵を生成するため、パスワードの使い回しによるリスクを軽減します。
FIDO2の仕組み
FIDO2は、公開鍵暗号技術をベースに動作します。ユーザーのデバイスに保存された秘密鍵と、Webサイトに登録された公開鍵のペアを用いて認証を行います。
ユーザーがWebサイトにログインする際、デバイスに保存された秘密鍵を用いて、Webサイトから送られてきた「チャレンジ」と呼ばれるランダムなデータにデジタル署名を作成します。Webサイトは、受信したデジタル署名と登録済みの公開鍵を用いて署名を検証することで、ユーザーの正当性を確認します。
この「チャレンジ」と「デジタル署名」の仕組みを、手紙のやり取りに例えてみましょう。
- 秘密鍵: あなただけが持つ印鑑
- 公開鍵: 誰でも見れる印鑑の証明書
- チャレンジ: ウェブサイトから送られてきた手紙
- デジタル署名: 手紙に押した印鑑
ウェブサイトは、証明書(公開鍵)と照らし合わせて、手紙に押された印鑑(デジタル署名)が本物かどうかを確認することで、あなた本人かどうかを判断します。
FIDO2の認証プロセスは、以下の手順で行われます。
- ユーザー登録:
ユーザーがWebサイトにアカウントを登録する際、FIDO2対応の認証デバイスを用いて、秘密鍵と公開鍵のペアを生成します。公開鍵はWebサイトに登録され、秘密鍵はデバイスに安全に保管されます。 - 認証:
ユーザーがWebサイトにログインする際、Webサイトは「チャレンジ」と呼ばれるランダムなデータを送信します。 - 署名:
ユーザーのデバイスは、チャレンジと秘密鍵を用いてデジタル署名を生成します。 - 検証:
Webサイトは、受信したデジタル署名と登録済みの公開鍵を用いて署名を検証します。署名が有効であれば、ユーザーのログインが許可されます。
FIDO2の主要構成要素
FIDO2は、主に WebAuthn と CTAP2 という2つの構成要素からできています。これらの構成要素が連携することで、異なるプラットフォームやデバイス間での相互運用できるようになり、FIDO2の幅広い普及を促進しています。
WebAuthn (Web Authentication)
WebAuthnは、W3Cによって標準化されたAPIで、WebブラウザとFIDO2認証デバイス間の通信を定義します。WebサイトはWebAuthn APIを用いることで、FIDO2認証をWebサイトに実装することができます。
CTAP2 (Client to Authenticator Protocol 2)
CTAP2は、FIDOアライアンスによって標準化されたプロトコルで、クライアントデバイス (パソコン、スマートフォンなど) と認証デバイス (セキュリティキー、指紋認証センサーなど) 間の通信を定義します。CTAP2により、様々な種類の認証デバイスをFIDO2に準拠させることができます。
FIDO2では、多様な認証デバイスを利用することができます。主な認証デバイスの種類は以下の通りです。
- セキュリティキー: USBやNFCで接続する、小型の物理的なデバイスです。
- 生体認証: 指紋認証や顔認証など、ユーザーの身体的特徴を利用した認証方式です。
- プラットフォーム認証: スマートフォンやパソコンに内蔵された認証機能を利用する方式です
FIDO2とFIDO、パスキー
FIDO2とFIDO
FIDOはUAF(パスワードレス認証)とU2F(二要素認証)を採用する方式でした。これに対しFIDO2は先に述べたようにWebAuthnとCTAP2によるパスワードレス認証の標準規格となっています。
さらにFIDO2では、サイトごとに異なる鍵ペアを生成する公開鍵暗号方式を採用し、フィッシング耐性が向上しています。
また、USBキー主体のFIDO U2Fに比べ、FIDO2ではスマートフォンの生体認証やPCのセキュリティチップなど多様な認証デバイスが利用可能です。これらによりパスワード不要で強固な認証を実現しますが、専用デバイスへの依存や既存サービス移行の課題も残ります。
FIDO2とパスキー
FIDO2は公開鍵暗号を用いたWebAuthnとCTAP2によるパスワードレス認証の規格ですが、パスキーは、FIDO2標準に基づいて構築された、パスワードに代わる新しい認証方法です。クラウド上に鍵を安全に保存しデバイス間で同期可能にした点が特徴です。
通信上パスワードをやり取りしないためフィッシング耐性が高く、秘密鍵は端末またはクラウドに保管されるので漏洩リスクが大幅に低減します。
FIDO2のメリットとデメリット
メリット
- セキュリティの向上:
-
パスワードレス認証により、フィッシング、パスワード漏洩、パスワード再利用などのリスクを大幅に軽減します。FIDO2は、セキュリティの責任をユーザーから認証サービスを提供する事業者に移行することで、人的エラーのリスクを低減します。
- 利便性の向上:
-
パスワードの入力や管理が不要になるため、ユーザーの利便性が向上します。
- コスト削減:
-
パスワードのリセットやアカウントのロックに伴うサポートコストを削減できます。
- ユーザーエクスペリエンスの向上:
-
スムーズなログイン体験を提供することで、ユーザー満足度を高めることができます。
デメリット
- 認証デバイスの必要性:
-
FIDO2を利用するには、セキュリティキーや指紋認証センサーなどの認証デバイスが必要です。
- デバイス紛失時の対応:
-
認証デバイスを紛失した場合、アカウントへのアクセスが困難になる可能性があります。
FIDO2のセキュリティに関する懸念点と課題
FIDO2は、従来のパスワード認証よりも安全な認証方式ですが、いくつかのセキュリティに関する懸念点も指摘されています。
- 認証デバイスの脆弱性:
-
認証デバイス自体に脆弱性が存在する場合、セキュリティリスクとなる可能性があります。
- サプライチェーン攻撃:
-
認証デバイスの製造や流通、供給に至る過程で攻撃が行われる可能性があります。
- ユーザーの認識不足:
-
FIDO2の仕組みや使用方法について、ユーザーの理解が不足している場合、フィッシングなどの攻撃に騙される可能性があります。
FIDO2の普及状況と採用事例
FIDO2は、Google、Microsoft、Facebook、Amazonなどの主要なIT企業によって採用されており、徐々に普及が進んでいます。主要なOSであるWindows 、Android、iOSもFIDO2をサポートしており、FIDO2対応デバイスも増加しています。
この流れは、利用者が増えるほど価値が高まり、さらなる普及を促進しています。プラットフォームやサービスプロバイダーがFIDO2を採用することで、ユーザーはFIDO2対応デバイスを利用する機会が増え、その結果、より多くのWebサイトがFIDO2を導入するようになるという好循環が生まれています。
しかし、FIDO2の導入には、ユーザー教育や既存システムとの統合など、いくつかの課題も存在します。これらの課題を克服することで、FIDO2は真にパスワードレスな未来を実現するための重要な役割を果たすことができるでしょう。
FIDO2の主な採用事例は以下の通りです。
| 提供会社 | 提供会社 | 実装方法 |
|---|---|---|
| Googleアカウント | FIDO2セキュリティキーを用いた2段階認証 | |
| Microsoft | Microsoftアカウント | Windows 10へのログイン |
| アカウント保護機能 |
FIDO2だけでなく、パスキーやFIDOの導入事例をまとめた記事はこちら
海外&日本のパスキー導入事例39社まとめ|セキュリティ強化とUX改善の最前線
FIDOアライアンスとFIDO2の認定について
FIDO2の認定は、FIDOアライアンスという業界団体によって推進されています。FIDOアライアンスは、Google、Microsoft、Amazon、Appleなどの主要なIT企業やセキュリティ企業が参加する団体で、パスワードレス認証の普及を目的としています。その活動は、FIDO2の仕様策定、認証デバイスの認定、普及促進活動など、多岐に渡ります。
FIDO2の認定は、以下の手順で行われます。
- 要求事項の定義: FIDO2に求められるセキュリティ要件や機能要件を定義します。
- 仕様策定: 要求事項に基づいて、FIDO2の技術仕様を策定します。
- 実装: FIDO2の仕様に基づいて、認証デバイスやソフトウェアが開発されます。
- テストと認定: 開発された認証デバイスやソフトウェアは、FIDOアライアンスの認定プログラムによってテストされ、FIDO2認証を取得します。
FIDO2を使用するためには認定が必要で、すでに認定を受けている企業のサービスを使うと簡単です。
要件を満たすシステム構築は煩雑なため、CapyのようなFIDO2対応サービスを提供している企業に依頼するのも良いでしょう。
FIDO2の最新情報と将来的な発展
FIDO2は、常に進化を続けており、新たな技術や機能が追加されています。例えば、生体認証との連携強化、IoTデバイスへの対応、パスワードレス認証のユースケース拡大などが進められています。
特に注目すべきは、FIDO2がより広範なアイデンティティおよびアクセス管理 (IAM) フレームワーク、身元確認とアクセス管理の仕組みの中で、パスワードレス認証の基盤技術としての役割を担いつつあることです。これにより、FIDO2は、従来のWebサイトへのログインだけでなく、企業内システムへのアクセス、オンラインサービスへの認証など、様々な場面で活用されることが期待されます。
まとめ
FIDO2は、パスワードレス認証を実現する、安全で利便性の高いオープンスタンダードです。フィッシング、パスワード漏洩、パスワード再利用などのリスクを軽減し、ユーザーエクスペリエンスを向上させることができます。主要なIT企業によって採用され、徐々に普及が進んでいるFIDO2は、今後、パスワードレス認証の標準技術として、さらに発展していくことが期待されます。
FIDO2は、セキュリティと利便性を両立させるための重要な技術であり、パスワードに依存した従来の認証システムからの脱却を促す可能性を秘めています。より安全なオンライン環境を実現するために、FIDO2について学び、その導入を検討することをお勧めします。
CapyならFIDO2に準拠した認証システムが簡単に導入できます。
導入費用やランニングコストも抑えられますのでぜひお問い合わせください。
Capyの生体認証へのお問い合わせはこちら
https://corp.capy.me/fido/
