IT用語集 2023/12/14

FIDO認証とは？パスワードレスを実現する仕組みとメリットなど

社内システムをはじめとするITシステムの業務利用に加え、近年はSaaSなど外部クラウドサービスを組み合わせて使うことが当たり前になりました。その一方で、従来どおりのID/パスワード中心の認証は、攻撃手法の高度化や利用サービスの増加により、セキュリティと利便性の両面で限界が指摘されるようになっています。

パスワードを「覚える」「入力する」「更新する」運用は、使い回しや漏えいが起こりやすく、結果としてフィッシングなどの攻撃に狙われやすい構造を持ちます。そこで注目されているのが、公開鍵暗号をベースにパスワード依存を減らす「FIDO（ファイド）認証」です。

この記事では、FIDO認証の概要、仕組み（技術的な前提を含む）、FIDO2とパスキーの位置づけ、メリット・注意点、導入・移行の実務ポイントまでを順番に解説します。

FIDO認証とは

FIDO（Fast IDentity Online：ファイド）認証は、パスワードに依存しない（またはパスワード依存を大きく減らす）オンライン認証の普及を目的に、FIDOアライアンスが策定・推進する標準規格群です。特定ベンダーに閉じた方式ではなく、ブラウザ・OS・認証器（Authenticator）・サービスが相互運用できることを重視して設計されています。

FIDOで何が変わるのか

FIDOの本質は、サーバー側に「なりすましに直結する再利用可能な秘密（共有秘密）」を置かない点にあります。パスワード認証は「利用者が知っている秘密をサーバーと共有する」仕組みのため、漏えい・推測・使い回し・フィッシングといった問題を構造的に抱えます。

FIDOでは、サービス側が保持するのは原則として公開鍵であり、利用者側（端末内蔵の認証機能やセキュリティキーなどの認証器）が秘密鍵を保持します。公開鍵は秘密情報ではないため、仮に漏えいしても「それだけでログイン可能になる」性質ではありません。攻撃者が奪いたい“入力される秘密”が存在しないため、フィッシングに強い設計になります。

FIDOは「暗号化」よりも「署名」で理解する

FIDOは「暗号化して復号する」方式ではなく、秘密鍵で署名し、公開鍵で検証する方式（デジタル署名）を中心に動きます。これにより、サービスは「登録済みの鍵を持つ認証器が、いま提示したチャレンジに対して正しく応答した」ことを確認できます。

FIDOアライアンスとは

FIDOアライアンスは、オンライン認証の標準化と普及を目的とする業界団体です。仕様策定に加え、相互運用性を担保するための認証プログラムや、導入を後押しするガイド類の公開も行っています。近年は「パスキー（passkeys）」の普及支援も、重要な取り組みのひとつになっています。

パスワードの問題点

パスワードは導入しやすい一方で、攻撃者の狙い所が明確であり、運用が破綻しやすい要素でもあります。

盗まれる（フィッシング、マルウェア、キーロガー、情報漏えいの転用など）
推測される（辞書攻撃、ブルートフォース、パスワードスプレーなど）
使い回される（別サービス漏えい→同一ID/パスワードで侵入）
増えるほど管理が崩れやすい（紙・付箋・メモアプリ・Excel保管などの温床）
強制変更運用が逆効果になり得る（覚えにくさ→単純化、使い回し、書き留めの誘発）

結果として「弱いパスワード」「使い回し」「再利用」が起こりやすく、攻撃者にとって突破しやすい条件が整ってしまいます。多要素認証（MFA）で補強しても、フィッシングの巧妙化により、ワンタイムコードの窃取やリアルタイム中継など別の問題が残ることもあります。

従来の認証とFIDO認証の違い

従来の認証（パスワード中心）の特徴

従来の方式は、ユーザーが入力したパスワードをサーバー側の情報と照合し、一致すれば認証成功とします。この方式では「入力される秘密」が攻撃対象になり、漏えい時の影響が大きくなります。

サーバー側に秘密が集約されやすい

安全運用のためにパスワードのハッシュ化やストレッチング等の対策は行えますが、どこかに“照合の基準”が存在する以上、漏えい時のリスクはゼロにできません。また、利用者が使い回す限り、単一サービスの漏えいが別サービス侵害に波及します。

FIDO認証（公開鍵暗号のチャレンジ応答）の特徴

FIDO認証では、ユーザー側の認証器が秘密鍵を保持し、サービス側は対応する公開鍵を保持します。ログイン時は、サービスが提示するチャレンジ（使い捨ての要求）に対して認証器が署名し、サービスは公開鍵で署名を検証します。

秘密鍵がネットワークに出てこない

重要なのは、秘密鍵がサーバーにもネットワークにも出てこないことです。パスワードのように「入力される秘密」を盗む攻撃（典型的にはフィッシング）に対して構造的に強くなります。

フィッシングに強い理由（技術的な要点）

FIDO2（WebAuthn）では、認証要求が「どのWebサイト（オリジン）に対するものか」という文脈と結びつきます。攻撃者が偽サイトで認証を誘導しても、正規サイト向けの認証として成立しにくい設計になっています。つまり、利用者が“入力して渡す秘密”ではなく、正規の文脈に紐づいた署名で成立する点が、耐性の源泉です。

FIDO認証の種類と現在の主流

FIDO関連は大きく「FIDO1系」と「FIDO2系」に分けて理解すると、全体がつかみやすくなります。

FIDO UAF（FIDO1）

UAF（Universal Authentication Framework）は、生体認証などによるパスワードレス認証を想定した仕様です。現在のWeb環境では、主要ブラウザやOSで標準対応が進んだことから、企業導入の主軸はFIDO2やパスキーに移っています。

FIDO U2F（FIDO1）

U2F（Universal 2nd Factor）は、パスワードに対する強固な追加要素としてセキュリティキー等を使うことを想定した仕様です。考え方や運用の多くは、FIDO2（WebAuthn/CTAP）へ引き継がれています。

FIDO2（現在の中核）

FIDO2は、Webでの相互運用を強く意識した標準規格群で、代表的な構成要素としてWebAuthn（Web側API）とCTAP（クライアントと認証器のプロトコル）が位置づけられます。

WebAuthn：ブラウザやOSが提供するAPIを通じて、サービスが公開鍵資格情報（Public Key Credential）を登録・認証するための枠組み
CTAP：PC/スマホなどのクライアントから、認証器（外付けキーやプラットフォーム認証器）へ要求を渡すためのプロトコル

企業の認証基盤やSaaSで「FIDO2対応」「WebAuthn対応」「パスキー対応」と表現されるものは、多くがこの枠組みで理解できます。

パスワードレスを実現するFIDO認証の仕組み

認証器（Authenticator）とは何か

認証器とは、秘密鍵を保持し、署名を実行する主体です。形態としては大きく次の2つに分かれます。

プラットフォーム認証器：スマートフォンやPCのOSに内蔵される認証機能（生体認証、PIN等）を使う
ローミング認証器：USB/NFC/Bluetooth等で接続する外付けセキュリティキーを使う

どちらを採用するかで、利便性、配布・回収、紛失時の影響、利用できる端末の制約が変わります。企業は「誰が」「どの端末で」「どこへ」アクセスするのかを踏まえて選択します。

FIDO認証の基本フロー（概念）

利用者がサービスで登録（またはログイン）を開始する
サービスはチャレンジ（使い捨ての検証用データ）を提示する
認証器が、利用者のローカル認証（指紋・顔・PIN等）を経て、秘密鍵でチャレンジに署名する
サービスは登録済みの公開鍵で署名を検証する
検証できれば「登録済みの認証器を持つ利用者」として認証が成立する

生体情報はどこで扱われるか

FIDO認証の一般的な実装では、生体情報そのものがサービスへ送られるのではなく、端末（認証器）内部で本人確認に使われます。サービスが受け取るのは署名結果などであり、生体の原データを収集する設計ではありません。とはいえ、製品・実装・運用条件により説明が揺れる場合があるため、導入時は仕様確認が必要です。

ユーザー検証（User Verification）とユーザー存在確認（User Presence）

FIDOでは「利用者が操作した」ことの確認（存在確認）と、「本人である」ことの確認（検証）が区別されます。たとえば、外付けキーでボタンを押すのは存在確認、PINや生体認証でロック解除して署名するのは本人確認に相当します。企業要件では「本人確認（検証）必須」にするかどうかが、セキュリティ強度と運用を左右します。

パスキー（passkeys）とFIDOの関係

近年よく見かける「パスキー」は、FIDO2（WebAuthn/CTAP）を利用者に分かりやすい体験として提供する呼称・取り組みとして使われることが多い言葉です。実務上は「FIDO2で実現するパスワードレス（またはパスワード依存の大幅削減）」を指すことが多く、導入・普及に向けた情報もそろっています。

同期型（マルチデバイス）と端末内（シングルデバイス）の考え方

パスキーは「複数端末で使える」体験が注目されますが、その実現方法によりリスクモデルや運用が変わります。

端末内（シングルデバイス）中心：特定端末内の認証器に秘密鍵を保持する。端末の管理が強ければ堅牢だが、紛失・故障時の復旧設計が重要になる
同期型（マルチデバイス）を含む運用：複数端末で同一アカウントに近い体験を提供できる。利便性が上がる一方、同期基盤（アカウント保護、端末管理、復旧手段）の設計が重要になる

企業としては「利便性の最大化」と「復旧経路の安全性（アカウント乗っ取り耐性）」を両立させる観点で、採用範囲を決めることが現実的です。

FIDO認証のメリット

1) フィッシング耐性を含むセキュリティ強化

パスワードのような共有秘密を前提にしないため、漏えい・使い回し・フィッシングなど、パスワード起因のリスクを大幅に低減できます。特に「認証情報を入力させて盗む」タイプの攻撃に対して、構造的な強さがあります。

2) ユーザーの利便性向上

パスワードの記憶・入力・更新に伴う手間が減り、ログイン体験が改善します。多数のSaaSを使う環境ほど「小さな手間の総量」が大きいため、業務効率やストレス軽減の効果が積み上がりやすくなります。

3) パスワード運用の工数を下げやすい

「パスワード忘れ」「リセット」「ロック解除」「定期変更」といった運用を、方針次第で減らせます。ただし、運用負荷がゼロになるわけではなく、代わりに「端末紛失・交換時の復旧」が重要課題になります。

FIDO認証のデメリット・注意点

1) 認証器と運用設計が不可欠

FIDO2は標準化が進み導入しやすくなりましたが、実務上は認証器の配布・紛失・交換・退職時回収・例外対応などの運用設計が不可欠です。特に外付けセキュリティキー採用時は在庫・配布・予備・破損対応まで含めた設計が必要になります。

2) 対応サービス・対応範囲に差がある

主要SaaSや認証基盤では対応が進む一方、すべての業務アプリが同じレベルで対応しているとは限りません。レガシーな社内アプリでは、SSO経由、プロキシ/ゲートウェイ経由、段階移行など別途の移行設計が必要になることがあります。

3) 端末紛失・故障時の影響が大きくなり得る

「パスワードを覚えない」代わりに、「認証に使う端末やキーが使えない」ケースへの備えが必須です。予備手段（バックアップキー、別端末登録、代替ログイン手段、ヘルプデスク手順、復旧ポリシー）を用意しないと、業務停止につながりやすくなります。

4) 端末侵害・セッション奪取など別系統のリスクは残る

FIDOが強いのは「盗まれやすい入力秘密」の問題です。一方で、端末自体の侵害、マルウェア、セッション奪取、ブラウザ拡張の悪用、端末管理不備といったリスクは別系統として残ります。端末管理（MDM/EDR等）、条件付きアクセス、ログ監視などと組み合わせて設計することが現実的です。

5) アカウント復旧（リカバリー）経路が新しい攻撃面になる

パスワードレス化が進むほど、攻撃者は「認証」ではなく「復旧」を狙います。本人確認が弱い復旧手段（メールだけ、SMSだけ、安易なコールセンター手順など）は、全体の強度を下げます。復旧時の本人確認と承認の設計は、導入前に最優先で固めるべきポイントです。

導入・移行を考えるときのポイント

1) どこをパスワードレス化するか範囲を決める

いきなり全社・全アプリを置き換えるのではなく、高リスク領域（管理者アカウント、重要SaaS、特権操作、リモートアクセス）から段階的に進めるのが一般的です。まずは「最も守りたい入口」を明確にし、その入口の認証を強固にするところから始めます。

2) SSO/ID基盤との統合を前提に設計する

FIDOは単体で完結するというより、ID基盤（IdP）やアクセス制御と組み合わせて効果が出ます。既存のSSO構成（SAML/OIDC等）を踏まえ、「IdPログインをFIDO化する」のか、「各サービスで個別にFIDOを使う」のかを考え分けましょう。一般に、運用をそろえる観点では「IdPのログイン強化」を起点にするほうが設計しやすい場合が多いです。