トレンド解説

FIDO2とは? 特徴やパスワードレス認証の仕組みについて解説

アイキャッチ
目次

パスワードはさまざまな場面で本人認証のために用いられていますが、昨今のサイバー攻撃の手法において、パスワードに頼った認証環境は侵入の糸口とされやすく、危険視されています。そのため、パスワードを使わない「パスワードレス認証」が注目されるようになりました。そんなパスワードレス認証を実現するための技術のひとつが「FIDO2(ファイド2)」です。これからの認証の仕組みにおいて、FIDO2の存在は欠かせないものとなっていくでしょう。

この記事では、FIDO2の概要や特徴、FIDO1.0との違い、FIDO2が実現するパスワードレス認証の仕組みについて解説します。 

FIDO2とは

FIDO2は、パスワードレス環境の実現を推進する団体である「FIDOアライアンス」が2018年に発表した、FIDO認証における最新の技術規格です。主にWeb上での認証において用いられ、パスワードを使わずに正しい利用者の確認を行うことを目的としています。パスワードを用いる従来の認証方法では、機密情報(パスワード)をサーバー側にも保存する必要がありますが、FIDO2は「公開鍵暗号方式」を用いることで、機密情報をサーバー側に保存しない仕組みを実現しています。これにより、パスワードが持つさまざまな課題を解決できるものとして、活用が広がることが期待されています。

そもそもFIDO認証とは

FIDO認証とは、FIDOアライアンスが制定している認証規格の名称です。FIDO2の前身となるFIDO1.0が2013年に発表され、FIDO1.0を踏襲した新しい規格としてFIDO2が2018年に公開されました。

FIDO認証はパスワードがもつさまざまな問題を解決できるとして、近年普及が進んでいます。そのあたりの概要については、こちらの記事もぜひご覧ください。

「FIDO認証とは? パスワードレスを実現する仕組みとメリットなど」

パスワードレス認証とは

その名の通り、パスワードを用いない認証技術や仕組みのことです。パスワードの代わりに指紋や顔などの生体情報を用いる「生体認証」や、スマートフォンや専用のセキュリティキーを用いる「デバイス認証」などによって実現することができます。

前述のとおり、パスワードを用いる認証はセキュリティ上の課題が多く、サイバー攻撃の多様化・巧妙化が進むなかで対策が必要とされています。その解決策のひとつとして、パスワードレス認証などのより安全な認証セキュリティ環境を導入することが考えられます。 

FIDO1.0からFIDO2への進化

FIDO認証は大きくFIDO1.0とFIDO2に分けられます。ここでは、FIDO2が登場した背景と、FIDO1.0との違いについて見ていきましょう。 

FIDO2登場の背景

FIDO2(パスワードレス認証)が必要とされる背景としては、次のようなパスワードが持つ課題を解決することが求められているためです。 

 ・ID/パスワードの流出や盗取
 ・パスワード管理の破たん
 ・ユーザーの利便性の低下

パスワードを利用する認証方法は、ユーザー側・サーバー側の両方でID/パスワードを管理しなければなりません。そのため、ユーザーによる情報漏えいにも、サーバー側がサイバー攻撃等を受けることによる情報漏えいにも対応せねばならず、ID/パスワード情報をまったく漏らさずに運用しつづけるのは非常に困難であるといえます。

また、近年では一人で複数のサービス・システムを利用する機会が増え、サービスごとに多くのパスワードを管理しなければならなくなりました。そのため、管理が煩雑で対応しきれなくなっているケースが多く見られます。さらに、ログインの都度パスワードを入力する必要があり、ユーザーの利便性も低下します。 

これらの問題を根本的に解決する方法としては、そもそもパスワードを利用しないこと、つまり、パスワードに頼った認証環境から脱却することが最も効果的です。そのための技術としてFIDO認証が登場し、より汎用的に利用できるようにFIDO2が発表されました。

FIDO1.0とFIDO2の違い

FIDO1.0には、「FIDO UAF」と「FIDO U2F」の2種類が存在します。

 ・FIDO UAF:生体認証によるパスワードレス認証を実現する認証プロトコル
 ・FIDO U2F:強固な二要素認証を実現するための認証プロトコル

FIDO2は上記のFIDO1.0を統合・拡張した認証プロトコルです。FIDO1.0では専用のソフトウェアやハードウェアが必要でしたが、FIDO2ではそれらが必要ありません。生体認証も普段利用しているスマートフォンなどをAuthenticator(認証器)にすることで対応できます。

また技術的な要素としては、FIDO2ではWebAuthnとCTAPを利用する点がFIDO1.0との大きな違いです。これらの技術的な要素については、後ほど詳しく解説します。

FIDO2の特徴

FIDO2の主な特徴として、次の3点が挙げられます。

 ・パスワードを用いずに認証できる
 ・認証情報をサーバー側に保存しない
 ・既存のデバイスを認証装置として流用できる(場合が多い)

ここまでにも解説してきたとおり、FIDO2はパスワードレス認証を実現するための技術規格です。パスワードの代わりに生体情報やデバイス情報を用いて認証します。煩雑なパスワード運用をやめることで、ユーザーは前述したようなさまざまな課題を解決し、セキュリティ性と利便性を高めることができます。 

また、認証情報をサーバー側に保存しないという点も大きな特徴の一つです。FIDO2では「公開鍵暗号方式」を用いることで、サーバー側にパスワード等の認証情報を保存することのない仕組みを実現しています。そのため、サーバー側から認証情報が漏れてしまうといった心配がありません。

「FIDO認証とは? パスワードレスを実現する仕組みとメリットなど」

さらに、FIDO2はWindows/Mac/Android/iOSといった主要OSと、主要ブラウザであるChrome/Edge/Firefox/Safariに対応しており、現在利用中のデバイスをそのまま利用してWebの認証を行える点も重要なポイントです。前述のとおり、FIDO1.0では専用のソフトウェア・ハードウェアが必要でしたが、FIDO2では生体認証などを行うためのAuthenticator(認証器)を備えていれば、既存のデバイスをそのまま利用できます。例えばスマートフォンなら指紋認証や、カメラによる顔認証を利用している方は多いでしょう。ノートPCの内蔵カメラも同様です。それらのAuthenticatorから得た生体情報を用いて認証を行い、Webサービスなどへの安全なログインを実現できるのが「FIDO2」であると捉えることができます。

FIDO2によるパスワードレス認証の仕組み

FIDO2をより深く理解するために、構成要素や認証手順と併せてWebAuthn/CTAPといった重要な技術要素について解説します。FIDO2によるパスワードレス認証の仕組みを理解する上で欠かせない要素であるため、ひとつずつ見ていきましょう。 

FIDO2の構成要素

FIDO2の構成要素は次の4つです。

 ・クライアント
 ・Authenticator(認証器)
 ・サーバー
 ・FIDOサーバー

クライアントは、FIDO2に対応したOS・ブラウザを利用する必要があります。Authenticator(認証器)は生体認証・デバイス認証をするための装置であり、スマートフォン・パソコンに内蔵された読み取り機、もしくは外付けの読み取りデバイスを指します。 

ユーザー側はクライアント・認証器によって認証を行い、サービスを提供するサーバー側ではFIDO2の認証処理を行うFIDOサーバーと連携して認証を行います。クライアント・Authenticator・FIDOサーバー間で、認証情報をやり取りするために用いられるものがWebAuthnとCTAPです。

WebAuthn(Web Authentication)

WebAuthnとは、Web技術の標準化を推進する団体である「W3C」とFIDOアライアンスによって策定されたWebサービスにおける認証技術の仕様です。Web APIとして、FIDO2ではクライアント(ブラウザ)とFIDOサーバー間の情報のやり取りで利用されます。 

CTAP(Client To Authenticator Protocol)

CTAPとは、認証器で読み取った情報をブラウザとやり取りするために用いられる認証技術の仕様です。CTAP1とCTAP2が存在し、FIDO1.0のFIDO U2FではCTAP1が用いられていました。FIDO2では新しいCTAP2を利用してパスワードレスの認証を実現します。

FIDO2の認証手順

FIDO2の基本的な認証の流れは次のとおりです。

  1. クライアントがサービス(サーバー)へログイン要求
  2. サービスがFIDOサーバーに認証開始を要求
  3. FIDOサーバーは認証に必要な付加情報をサービス経由でユーザーへ要求
  4. クライアントはAuthenticatorを用いて付加情報を秘密鍵で暗号化(署名)して応答
  5. FIDOサーバーはクライアントの署名を検証し、結果をサービスへ返信
  6. サービスはFIDOサーバーからの返信をもってログイン可否をユーザーへ返信

FIDOサーバーから送信される付加情報は、ランダムな文字列である「チャレンジコード」であり、クライアントは自身しか持っていない秘密鍵でチャレンジコードを暗号化して返信(レスポンス)します。FIDOサーバー側では対となる公開鍵を持っているため、正しく復号できれば本人を確認できる仕組みです。ネットワーク上を流れるデータにはパスワードや生体情報などが含まれないため、認証情報を盗まれてしまう恐れはほとんどないといえます。 

まとめ

FIDO2はパスワードレス認証を実現する最新のFIDO認証規格であり、主にWeb認証で用いられます。昨今、パスワードの利用はセキュリティリスクが懸念され、また運用性や利便性の観点からも代替手段が求められています。FIDO認証にはおおまかにFIDO1.0とFIDO2が存在しますが、より使いやすく汎用性の高いFIDO2が主流になっていくことでしょう。 

FIDO2はパスワードレス認証の未来を形成する重要な技術であり、セキュリティを高めるだけでなくユーザーの利便性を向上させることにも期待できます。より安全で便利な認証を実現するためにも、FIDO2を積極的に活用してみてはいかがでしょうか。

記事を書いた人

ソリトンシステムズ・マーケティングチーム