FIDO認証とは？ パスワードレスを実現する仕組みとメリットなど

FIDO認証は、パスワードを毎回、入力して本人かどうかを確かめる方式から離れ、端末側に保管した鍵でログインする方式です。社内システムやSaaSの利用が増え、IDとパスワードだけでは守りにくくなったいま、導入を検討する企業が増えています。

この方式では、サーバーにパスワードのような共有された秘密を置かず、端末側で作った鍵の組み合わせを使います。そのため、フィッシングや使い回しによる被害を減らしやすい点が大きな特徴です。

この記事では、FIDO認証の意味、しくみ、FIDO2とパスキーの関係、導入時の注意点、移行を進める際の見方を順に説明します。

FIDO認証とは

FIDO（Fast Identity Online）認証は、パスワードへの依存を減らすことを目的に、FIDOアライアンスが進めている認証の標準です。特定の製品だけで閉じず、ブラウザ、OS、認証器、サービスの間で広く使えることを目指しています。

FIDOで何が変わるのか

いちばん大きい違いは、サーバー側にログインの決め手になる共有された秘密を置かないことです。従来のパスワード認証は、利用者とサーバーが同じ秘密を前提に照合します。これに対しFIDOでは、サービス側は公開鍵を持ち、利用者の側の端末やセキュリティキーが秘密鍵を持ちます。

公開鍵だけではログインできず、秘密鍵は端末や認証器の外へ出ません。攻撃者が「入力された秘密」を盗む場面そのものを減らせるため、フィッシングに強い仕組みとして扱われます。

FIDOは署名のしくみで考える

FIDOは、データを暗号化して元に戻す話というより、秘密鍵で署名し、公開鍵で確かめる流れで理解するとつかみやすくなります。サービスは、いま出したチャレンジに対して、登録済みの鍵を持つ認証器が正しく応答したかどうかを確認します。

FIDOアライアンスとは

FIDOアライアンスは、オンライン認証の標準化と普及を進める業界の団体です。仕様づくりだけでなく、相互に使えるかを確かめる認証プログラムや、導入に役立つ情報の公開も行っています。近年はパスキーの普及も重要なテーマです。

パスワードの問題点

パスワードは導入しやすい反面、盗まれる場面が多く、使い方が崩れやすい弱点があります。

• 盗まれる：フィッシング、マルウェア、キーロガー、漏えい済み情報の悪用など
• 推測される：辞書を使う攻撃、総当たり、パスワードスプレーなど
• 使い回される：別のサービスで漏れた情報がそのまま悪用されやすい
• 数が増えるほど管理が雑になりやすい：紙、付箋、メモアプリ、Excel保管などに流れやすい
• 定期的な変更が裏目に出ることがある：覚えにくさから単純化や書き留めを招きやすい

そのため、弱いパスワードや使い回しが起きやすくなります。二つ以上の要素で確認する方式で補っても、リアルタイム中継型のフィッシングなど、別の攻撃が残ることがあります。

従来の認証とFIDO認証の違い

従来の認証の特徴

パスワード中心の方式では、利用者が入力したパスワードをサーバー側で照合します。この方式では、それ自体が攻撃の的になります。

サーバー側に照合のよりどころが集まりやすい

ハッシュ化やストレッチングで被害を抑えることはできますが、照合に使う材料がサーバー側にある以上、漏えい時の影響をゼロにはできません。さらに、利用者が別のサービスでも同じ情報を使っていると、被害が広がりやすくなります。

FIDO認証の特徴

FIDO認証では、利用者の側の認証器が秘密鍵を持ち、サービス側は対応する公開鍵を持ちます。ログイン時は、サービスが出したチャレンジに対して認証器が署名し、サービスは公開鍵でその署名を確かめます。

秘密鍵がサーバーやネットワークへ出ない

重要なのは、秘密鍵そのものがサーバーへ送られず、通信の途中にも出てこないことです。パスワードのように、入力した秘密を盗む攻撃が成立しにくくなります。

フィッシングに強い理由

WebAuthnでは、資格情報がリライングパーティーIDとオリジンに結び付いて扱われます。正規サイトとは別のドメインで偽の画面を出しても、そのサイト向けの資格情報としては使えません。このドメインとの結び付きが、フィッシングへの強さにつながります。

FIDO認証の種類と今の主流

FIDO関連は、FIDO UAF、FIDO U2F、FIDO2の流れで見ると整理しやすくなります。いま新しく導入する際の中心はFIDO2です。

FIDO UAF

UAF（Universal Authentication Framework）は、主にパスワードレス利用を想定した初期の仕様です。現在のWeb利用では、企業での導入の中心はFIDO2やパスキーへ移っています。

FIDO U2F

U2F（Universal 2nd Factor）は、既存のパスワードに強い第2要素を足す考え方の仕様です。セキュリティキーを使う考え方は、その後のFIDO2にもつながっています。

FIDO2

FIDO2は、Webで広く使えるようにまとめられた現在の中心となる仕様です。主な要素は、ブラウザやOSから使うWebAuthnと、クライアントと認証器のやり取りを定めるCTAPです。

• WebAuthn：Webサイトやアプリが公開鍵のログイン用の情報を登録、利用するためのAPI
• CTAP：PCやスマートフォンから認証器へ要求を渡すための手順

製品やサービスで「FIDO2対応」「WebAuthn対応」「パスキー対応」と書かれている場合、その多くはこの枠組みで理解できます。

パスワードレスを支えるしくみ

認証器とは何か

認証器は、秘密鍵を持ち、署名を行う役割を担うものです。大きく分けると、次の2つがあります。

• プラットフォーム認証器：スマートフォンやPCに入っている認証の機能を使う
• ローミング認証器：USB、NFC、Bluetoothなどでつなぐ外付けキーを使う

どちらを選ぶかで、使いやすさ、配布や回収の手間、紛失時の影響、使える端末の幅が変わります。企業は、誰がどの端末からどこへ入るのかを基準に選ぶ必要があります。

基本の流れ

1. 利用者が登録またはログインを始める
2. サービスが使い捨てのチャレンジを出す
3. 認証器が端末内の確認を通したうえで、秘密鍵でチャレンジに署名する
4. サービスが公開鍵で署名を確かめる
5. 正しい応答なら認証が通る

指紋や顔の情報はどこで扱われるか

一般的なFIDOの利用では、指紋や顔の情報そのものがサービスへ送られるわけではありません。端末内でロック解除や本人かどうかを確かめることに使われ、サービス側が受け取るのは署名の結果などです。導入時は、使う製品や端末の説明も確認しておくと安全です。

利用者の操作確認と本人確認の違い

FIDOでは、「利用者がいま操作したか」と「その人本人か」を分けて考えます。たとえば、外付けキーのボタン操作は前者、PINや指紋や顔での確認でロックを外して署名する動きは後者です。どこまで求めるかで、運用の重さと安全性が変わります。

パスキーとFIDOの関係

パスキーは、FIDO標準に基づく認証用の情報です。利用者は、端末のロック解除に使うのと同じ操作でWebサイトやアプリへサインインできます。一般的な説明では、FIDO2を利用者に分かりやすい形で使う仕組みとして紹介されます。

複数の端末で使う場合と端末内だけで使う場合

パスキーは、1台の端末だけで使う形と、複数の端末で使える形の両方があります。どちらを選ぶかで、復旧のしやすさと守り方が変わります。

• 端末内で使う形：特定の端末に鍵を置くため、端末の管理がしっかりしていれば堅い。一方で、紛失や故障のときの備えが重要になる
• 複数の端末で使う形：利用者の負担は下がるが、同期に使うアカウントや復旧の手順まで含めて守りを考える必要がある

企業では、使いやすさだけで決めず、復旧時の本人かどうかの確認や管理者の統制まで含めて使う範囲を決めるのが現実的です。

FIDO認証のメリット

1) フィッシングに強い

パスワードのような共有された秘密を前提にしないため、盗まれたログイン情報の再利用やフィッシングによる被害を抑えやすくなります。とくに、入力した秘密を盗むタイプの攻撃に強い点が大きな利点です。

2) 利用者の負担を下げやすい

パスワードを覚える、入力する、更新するといった手間が減るため、ログイン時の負担を下げやすくなります。SaaSが多い環境ほど効果を感じやすくなります。

3) パスワード対応の手間を減らせる

パスワード忘れ、再設定、ロック解除、定期的な変更といった対応を減らせる可能性があります。ただし、その分だけ端末の交換や紛失時の対応が重要になります。

FIDO認証の注意点

1) 認証器の配布と管理が必要

FIDO2は使いやすくなりましたが、現場では認証器の配布、紛失時の対応、交換、退職時の回収、例外時の扱いまで考える必要があります。外付けキーを使う場合は、在庫や予備機の管理も欠かせません。

2) すべての業務アプリが同じように対応しているわけではない

主要なSaaSや認証サービスでは対応が進んでいますが、古い社内アプリではそのまま使えないことがあります。その場合は、SSOやゲートウェイ経由で段階的に移す設計が必要です。

3) 端末の紛失や故障に備える必要がある

パスワードを覚えなくてよくなる代わりに、認証に使う端末やキーが使えないと業務が止まるおそれがあります。予備のキー、別端末の登録、代替のログイン手段、ヘルプデスクの手順を事前に用意しておくことが重要です。

4) 端末への侵害やセッション乗っ取りのリスクは残る

FIDOが強いのは、盗まれやすい入力した秘密の問題です。端末そのものの侵害、マルウェア、セッションの乗っ取り、ブラウザ拡張の悪用などは別の対策が必要です。MDMやEDR、条件付きアクセス、ログ監視などと組み合わせて考える必要があります。

5) 復旧の手順が新たな狙い目になる

パスワードレス化が進むほど、攻撃者はログインそのものより、アカウントの復旧手順を狙いやすくなります。メールだけ、SMSだけのように弱い手順では全体の強さが下がります。復旧時の本人かどうかの確認と承認の流れは、導入前に固めておくべきです。

FIDO認証が向く場面

• 管理者アカウントや特権の操作のように、被害が大きい入口を先に守りたい場合
• SaaSが多く、パスワードの管理の負担を下げたい場合
• フィッシング対策を認証の面から強めたい場合
• リモートアクセスや社外での利用を前提に、より強いログイン方法へ切り替えたい場合

一方で、古い業務アプリが多い環境では、まず認証の基盤やSSO側から整えるほうが進めやすいことがあります。

導入・移行を考えるときのポイント

1) まず対象の範囲を決める

いきなり全社の全アプリを置き換えるより、管理者アカウント、重要なSaaS、特権の操作、リモートアクセスのような高リスク領域から進めるほうが現実的です。最初に、どの入口を優先して守るかを決めます。

2) IdPやSSOと組み合わせて考える

FIDOは単体で完結するより、認証の基盤やアクセス制御と組み合わせたほうが効果を出しやすくなります。既存のSSO構成やSAML認証の利用の状況を踏まえ、IdPログインをFIDO化するのか、各サービスで個別に使うのかを切り分ける必要があります。

3) 復旧の手順を先に決める

端末の紛失、端末の変更、故障、入退社、一時的に使えない場面に耐えられる設計が、導入の成否を左右します。ヘルプデスクの標準の手順、予備の手段を配る方針、本人かどうかを確かめる方法、承認フロー、監査ログの残し方まで、導入前に具体的に決めておくべきです。

4) 認証器は利用場面から逆算して選ぶ

端末内の認証器は使いやすい反面、端末の管理と復旧の設計が重要です。外付けキーは強さと互換性の面で有利な場合がありますが、配布や予備機の運用が課題になります。共有の端末の有無、持ち出しの有無、出張、工場や現場での利用などを基準に選びます。

5) パスキーは復旧時の安全性まで含めて評価する

パスキーは使いやすさを高めやすい一方、その価値は復旧手順の安全性と切り離せません。同期を使う場合でも、アカウント保護、管理者の統制、監査の仕組みまで見て判断する必要があります。

まとめ

FIDO認証は、パスワードが抱える「盗まれる」「使い回される」「管理が崩れる」といった問題を減らすために、公開鍵を使う署名のしくみでログインを行う認証方式です。現在はFIDO2とパスキーが中心になっており、フィッシングへの強さと使いやすさの両方が評価されています。

ただし、導入を成功させるには、認証器の選定、運用、復旧手順、対応できる範囲の見極めが欠かせません。自社の業務環境とリスクに合わせ、優先度の高い入口から段階的に進めることが重要です。