【企業担当者必見】「FIDO2」とは何か?仕組みやメリット、FIDOとの違いについて詳しく解説
「多要素認証」「パスワードレス」「生体認証」といったキーワードとともに、よく耳にするようになった単語の一つに「FIDO2」が挙げられます。認証に関する技術ということは知っていても、詳しくはわからないという方は多いのではないでしょうか。FIDO2は今後認証の主流となりえるため、特に企業担当者はしっかりと理解しておくことが重要です。
この記事では、FIDO2の概要から仕組みやメリット、FIDOとの違いについて解説します。
■「FIDO2」とは?
そもそもFIDO(ファイド)とはどういうものなのか、FIDO2の概要と併せてFIDO2が登場した背景まで解説します。
◇そもそも「FIDO」とは?
FIDOとは“Fast IDentity Online”の略語で、パスワードを使わずに認証を行うための技術の開発と標準化を進めるための「業界団体」であり、「FIDOが推進する認証技術の名称」でもあります。
FIDO認証には以下のように3種類が存在しており、そのなかの一つに「FIDO2」という認証があります。
・「FIDO UAF」
・「FIDO U2F」
・「FIDO2」
なお、業界団体である「FIDO」の詳細については、以下の用語集をご覧ください。
参考記事
トラスト・ログイン用語集「FIDO」
関連記事
パスワードレス認証で欠かせないFIDOとは?仕組みや安全性、メリット・デメリットについて
◇FIDO2について
FIDO2は2018年にリリースされた、FIDO認証のなかで最も新しいものです。FIDO2では、専用のソフトウェアやハードウェアを利用せずに、指紋認証や顔認証、虹彩認証といった「パスワードを使わない認証情報」をオンライン上でやり取りできます。
まとめると、「FIDO」はパスワードレスを推し進める業界団体であり、このFIDOが推奨する認証規格の一つが「FIDO2」とご理解ください。
◇FIDO2が登場した背景
従来の認証方式であるパスワード認証は、インターネットが普及した頃から現在まで長い間使われ続けています。しかし、近年では個人が利用するインターネットサービスが多くなり、ID・パスワードを使い回すケースが多くなったことで、不正アクセスの被害が増えています。
また、なりすましによる偽サイトへのアクセス誘導などにより、個人情報などを盗取するサイバー攻撃も見られるようになり、従来型のパスワード認証では安全性が担保できなくなりました。そこでこれらの問題を解決するために、FIDOがパスワードレス認証を推し進めており、その最新規格がFIDO2なのです。
■FIDO2の仕組みについて
FIDO2はパスワードを使用せず、「秘密鍵」と「公開鍵」を組み合わせた方式によって認証を行っています。パスワードの代わりに本人しか持っていない秘密鍵を使って情報を暗号化し、事前に認証サーバー側に登録した公開鍵を使って復号化することが大まかな仕組みです。
秘密鍵は、FIDO対応のパソコン・スマートフォンなどのデバイスで保管されており、これらのデバイスは「認証器」と呼ばれます。
FIDO2の具体的な認証の流れは、次のとおりです。
- 1. ユーザーが認証サーバーにログインを要求
- 2. 認証サーバーがチャレンジコードを返信
- 3. 認証器に資格情報(生体情報など)を入力
- 4. チャレンジコードを秘密鍵で暗号化し認証サーバーに送信
- 5. 認証サーバーに保管された公開鍵で復号し検証を実施
- 6. 検証が問題なければログイン成功
認証器に資格情報を入力する際には、パスワードを使用しません。指紋・顔認証、PINコード、セキュリティトークンなどを利用するため、パスワードレス認証が実現できます。
- FIDO2は従来のFIDO UAF/U2Fの仕組みに加えて、「WebAuthn」と「CTAP」という2つの規格を採用しています。これらの仕組みによって、さまざまなアプリケーションでパスワードレス認証を実現できるようになりました。
● WebAuthn:Webアプリケーションでパスワードレス認証を実現するための標準規格
● CTAP:Bluetooth・USB・NFCを介して認証器と情報のやり取りを行うための規格
上記のような仕組みを通して、FIDO2ではログインする際には「カメラに顔を向ける」「指紋認証部分を触る」などのアクションをするだけで認証され、パスワードを入力することなくログインできるのです。
-
■FIDO2のメリット・デメリット
ここではもう少し具体的にFIDO2のメリットを見ていきましょう。一方でデメリットも存在するため、理解を深めるために併せて解説していきます。
◇メリット
・専用の認証機器が不要
FIDO2が登場する以前は、おもにスマートフォンを利用した認証規格の「FIDO UAF」と、生体認証を利用し2要素認証を実現する「FIDO U2F」という規格がありました。しかし、これらの導入には専用機器の購入が必要といったハードルがあり、普及は限定的でした。
これに対して、FIDO2では専用機器を用意する必要がありません。「Google Chrome・Microsoft Edge・Safariなど主要ブラウザがFIDO2に対応済」であること、そして「WindowsやAndroid・macOS・iOS・iPadOSがFIDO2に対応済※」であることから、パソコンからでもスマートフォンからでも、FIDO2を利用した認証を追加費用なしで利用できます。
つまり、普段使っているデバイスがそのままFIDO2の認証機器になるのです。
※Windows 10 version 1903以降、Android7以降、macOS 11 Big Sur/iOS 14/iPadOS 14以降に対応
・パスワードが不要
FIDO2は、パスワードレス認証を実現するための手段です。そのためもちろんパスワードは不要で、スマートフォンやパソコン、タブレットなどに組み込まれた生体認証機能を利用します。
パスワードが不要ということは、パスワードが持つ多くの課題を解決することにつながります。パスワードが盗まれることにより発生する、不正アクセスやなりすましの防止になるだけでなく、パスワードの管理が必要なくなるため、使い回しなどのリスクも回避可能です。
セキュリティ強度の高いパスワードは文字列が複雑で覚えづらく、認証の度に手間がかかっている場合もあるでしょう。FIDO2でパスワードレスが実現すればそれらの手間もなくなり、より快適かつ効率的に業務を行えるようになります。
・フィッシングや中間者攻撃によるリスク軽減
パスワードレスが実現することで、フィッシングや中間者攻撃、リプレイ攻撃によるリスクも軽減します。例えば、正規のログイン画面に見せかけたサイバー攻撃用のページでログイン情報を入力してしまい、パスワードが盗まれるといったフィッシング攻撃の回避が可能です。
また、FIDO2では資格情報(生体情報など)を認証サーバー側と共有せず、使用しているデバイス上で本人確認が完了します。従来のパスワード認証では、認証サーバーに直接サイバー攻撃を仕掛けられてID/パスワードを盗まれてしまうケースがありますが、このようなリスクも回避することが可能です。
認証サーバー側ではユーザーの公開鍵しか保存されておらず、もし公開鍵を盗まれたとしても不正アクセスなどは行えません。これは、通信内容を傍受して認証に必要な情報を盗む中間者攻撃・リプレイ攻撃への対応策としても有効です。
◇デメリット
FIDO2には多くのメリットがありますが、デメリットとしては対応しているサービスが少ない点が挙げられます。利用できれば非常に強固な認証方式ですが、現時点では利用できないことが多い点がデメリットです。
しかし、2022年5月にはApple・Google・MicrosoftがFIDOの機能拡張を発表しました。これは、ユーザーが所有するデバイスにおいてパスワードレス認証を使えるようにし、OSやブラウザに関係なくアプリケーションやWebサイトにログインできるようにするものです。
新機能は2023年にかけて各社のプラットフォームで利用可能になる予定であり、その他のサービスも次々と導入を進めています。
■FIDO2の対応サービス
FIDO2の活用場面として、最も期待されているのが「オンラインサービス利用時のFIDO2認証」があります。これまで、各種のオンラインサービスやECサイトを利用する際、IDとパスワードを入力してログインしたあと、サービスを利用していましたが、この「ID・パスワード認証」を「FIDO2に準拠したパスワードレス認証」に置き換えられるのです。
例えば、Yahoo!JAPANはすでにこの対応を始めています。これまで、Yahoo!JAPANが提供する各種サービス(メール、オークション、ショッピング、ウォレットなど)を利用する際、Yahoo!JAPAN IDとパスワードでログインする必要がありました。これをIDとパスワードを用いず、指紋・顔認証などで実現できるようになります。
その結果、ログインの度にIDやパスワードを入力する必要がなく、カメラを見たり指紋リーダーにタッチしたりするだけで、各種サービスにログインできるようになりました。
■FIDO2+パスワードで二要素認証を実現
FIDO2が登場したことで、パスワードにまったく意味がなくなったのか、というとそうではありません。認証の際、FIDO2に準拠した「生体要素」だけでなく、パスワードのような「知識要素」も併用することで、認証時のセキュリティを高めることが可能です。
これは一般的に「二要素認証」「多要素認証」と呼ばれるもので、情報セキュリティ意識の高まりから、2025年まで年平均15%で市場が成長すると見込まれています。
関連記事
多要素認証市場は2025年までに年平均15%の成長
現在、FIDO2に対応していないサービスも多くあります。しかし、Apple・Google・Microsoftの3社が対応済であることから、ユーザーのデバイス・OSにおいては利用できる体制が整っているといえます。
各社サービスのFIDO2対応が開始されるまでは、「それぞれのサービスで二要素認証・多要素認証が利用できるか」を確認して、もし利用できるようでしたら設定しておきましょう。これが、ユーザーが今から取り組める安全な認証の第一歩です。
この記事を書いた人
GMOグローバルサイン株式会社
トラスト・ログイン事業部
プロダクトオーナー
森 智史
国内シェアNo.1のSSL認証局GMOグローバルサインで10年間サポート部門に従事。抜群の知識量と分かり易い説明で多くのお客さまからご支持いただく。
現在は自社IDaaSのプロダクトオーナーとしてお客さまの意見を伺いながら使いやすくセキュリティの高いサービスを開発者たちと共に作成中。