今注目が集まるFIDO(ファイド)とは?認証の仕組みや安全性、メリット・デメリット

2024/06/05

main_1.jpeg

パスワードレス認証技術として注目されている「FIDO」ですが、具体的にどのような技術なのかわからない方もいるのではないでしょうか。

FIDOは指紋や顔などの生体認証をはじめ、従来のパスワードに変わる技術を用いてサービスへのログインを行ないます。サービスごとに異なるパスワードを覚えておく必要がなくなるものの、利用や導入検討にあたり、FIDOならではの課題についても理解しておいたほうがよいでしょう。

この記事では、FIDOの概要や仕組み、安全性、メリット・デメリットなどについて解説します。FIDO1.0とFIDO2との違いについても紹介しているため、ぜひ参考にしてください。


【目次】

1.パスワードレス認証の基礎知識

2.パスワードレス認証に関連する“FIDO”とは

3.FIDO認証の仕組みと安全性

4.最新のFIDO認証規格“FIDO2”について

5.FIDOとFIDO2の違い

6.FIDO認証と生体認証の違い

7.FIDO認証により脱パスワード化する3つのメリット

8.FIDO認証により脱パスワード化する2つのデメリット

9.GMOトラスト・ログインは「FIDOパスワードレス認証」に対応!

10.まとめ


 

■パスワードレス認証の基礎知識

sub1.jpg

一般的な認証方法として普及しているのは、ID・パスワードを用いる方法です。しかしこの方法は、利用しているサービスが多いほど管理するID・パスワードの数も多くなります。そのため、管理が甘いと情報漏洩や不正アクセスなどのリスクが高まります。

そこで近年、導入する企業が増えているのが「パスワードレス認証」です。

パスワードレス認証とは、その名のとおりパスワードを使用せずに本人確認をする認証方式のことです。パスワードレスでのユーザー認証はおもに、指紋・顔などの「生体情報」、スマートフォンやハードウェアトークンなどの「所有情報」を活用します。

パスワードレス認証ではパスワードを覚えておく必要がなく、パスワード漏洩によるセキュリティリスクを大幅に軽減できます。利用者本人しか所持していないものや身体的な情報を活用するため、第三者が勝手にログインすることもできません。

本記事で紹介するFIDOは、パスワードレス認証と深く関係しています。

パスワードレス認証のメリットや実現方法、利用時の注意点などについて知りたい方は、以下の記事も併せてご覧ください。

パスワードレス認証とは?安全性や導入のメリット、実現方法を詳しく解説

なお、認証の3要素といわれる「知識情報」「生体情報」「所有情報」のうち、ID・パスワードなどは「知識情報」にあたります。
 

■パスワードレス認証に関連する“FIDO”とは

ここでは、パスワードレス認証に関連する“FIDO(ファイド)”の概要や、パスワードが抱える課題について説明します。

◇パスワード不要のFIDO認証

FIDOは「Fast Identity Online(高速なオンラインID認証)」の略称であり、パスワードを使わずに行なう認証の技術開発と標準化を進めるための国際規格です。

FIDOの開発と普及を担うのが、2012年に設立された「FIDOアライアンス」というグローバルな非営利団体です。セキュリティと利便性の両立を目指すために、シンプルで堅牢なFIDO認証を標準化することを目的としています。

FIDOは、多要素認証の一種であるパスワードレス認証を実現するための手段の一つです。パスワードレスを実現する手段には、指紋や静脈、虹彩といった身体の一部を利用した生体認証などが挙げられます。

FIDO認証にはいくつか種類が存在しますが、そのなかでも最新の「FIDO2」はW3CのWeb認証仕様となっており、従来のFIDO認証よりも簡単かつ安全で強固な認証が実現可能です。詳しくは「FIDO2の特徴」で紹介します。
 

◇パスワードが抱える課題

パスワードレスが注目されるようになった背景には、パスワードが抱えるいくつかの課題があり、そのうちの一つに、セキュリティと利便性の両立の難しさが挙げられます。

近年、業務で利用するサービスや業務システムなどが増加しており、従来どおりのパスワード認証ではパスワード管理が煩雑になることがあります。その結果、「パスワードが覚えられない」「パスワードを使い回してしまう」などの問題が発生するため、セキュリティと利便性の両立が難しくなっているのです。

また、米Verizonが発行する「2023年度 データ漏洩/侵害調査報告書」によると、1万6,312件のセキュリティインシデントを分析し、そのうち5,199件のデータ侵害が確認されました。外部の攻撃者が組織内部に侵入する手段として、認証情報の盗用が49%を占めていることも報告されています。

FIDOが結成された理由にも、セキュリティ面での問題がかかわっているといえるでしょう。
 

■FIDO認証の仕組みと安全性

FIDO認証では「公開鍵暗号方式」を利用しており、認証サーバー側とユーザー(デバイス)との間で秘密情報を共有せずに認証を行ないます。
FIDOの認証イメージ.png
FIDO認証の大まかな流れは以下のとおりです。

1.    ユーザーがデバイスで公開鍵と秘密鍵のペアを作成し、公開鍵を認証サーバー側へ提供
2.    ユーザーはサーバー側に対してログイン要求を送信
3.    サーバー側はユーザーに対してチャレンジ(認証要求)を送信
4.    ユーザーは秘密鍵で暗号化した署名を送信
5.    サーバー側は提供され保持している公開鍵で受信した署名を復号し検証
6.    検証の結果、問題がなければログインを許可

生体情報はデバイス内に格納され、本人確認のための認証もデバイスで完結します。仮にサーバー側で情報漏洩などが生じた場合も、生体情報が第三者に知られたりインターネット上に流出したりすることはありません。

スマートフォンなどのデバイスが盗難・紛失の被害にあったとしても、秘密鍵の利用には指紋認証や顔認証などが必要になるため、セキュリティ面の問題はありません。

なお、公開鍵暗号方式について詳しく知りたい方は、以下の記事も併せてご確認ください。

公開鍵暗号方式(PKI)とは

 

■最新のFIDO認証規格“FIDO2”について

ここでは、FIDO認証規格の種類とともに、2018年にリリースされた最新規格“FIDO2”について解説します。

◇FIDO認証の3つの規格

FIDO認証には、以下の3つの規格があります。

● FIDO UAF:専用のデバイスで生体認証を行なうパスワードレス認証
● FIDO U2F:IDとパスワードでのログイン後、セキュリティキーなどを利用する二段階の認証
● FIDO2:おもにWebブラウザ上で利用される認証

FIDO UAFはここまで紹介していたFIDOと同じく、生体情報(指紋など)と所有情報(デバイス)を利用してサービスにログインします。一方でFIDO U2Fは、知識情報(ID・パスワード)と所有情報(セキュリティキー)を利用し、二段階に分けて行なう認証です。

これらの認証方式を利用するには基本的に専用機器の購入が必要なため、導入ハードルが高い点がネックです。

この問題の解決を目的に、2018年にFIDO UAFとFIDO U2Fを統合したFIDO2がリリースされました。これはFIDO認証のなかでは最も新しい技術規格です。
 

◇FIDO2の特徴

前述したとおり、FIDO2は2018年にリリースされた最も新しいFIDO認証規格です。ID・パスワードではなく、指紋や顔といった生体情報を用いて認証を行ないます。

専用のハードウェアを必要としない点がFIDO2の特徴の一つです。Google ChromeやMicrosoft Edge、Safariなどの主要ブラウザや、Windows・Android・iOS・macといった主要OSにも対応しているため、所持しているスマートフォンやパソコンをそのままFIDO2対応機器として使用できます。
専用機器が不要なため、導入のハードルは低いといえるでしょう。
FIDO2についてより詳しく知りたい方は、以下の記事も併せてご覧ください。

【企業担当者必見】「FIDO2」とは何か?仕組みやメリット、FIDOとの違いについて詳しく解説

■FIDOとFIDO2の違い

sub2.jpg

FIDOとFIDO2の大きな違いは、以下の2点です。

● 専用のデバイスが必要か、不要か
● 完全なパスワードレス認証であるか

一般的にFIDOといえば、FIDO UAFとFIDO U2Fを指します。FIDO UAFを利用する際は、生体認証が可能なデバイスが必要です。FIDO U2Fの場合はFIDO対応のセキュリティキーなどが必要になります。

さらにFIDO U2Fは認証においてパスワードを利用することがあり、完全なパスワードレス認証とはいえません。

一方、FIDO2は所持しているスマートフォンやパソコンで生体認証を行なうため、専用の機器は不要です。また、パスワード入力も不要なため、完全なパスワードレス認証といえます。

 

■FIDO認証と生体認証の違い

FIDO認証に対応したサービスでは、ログインする際に生体認証を使用するため、ユーザーによっては「FIDO認証=生体認証」と感じている方もいるかもしれません。しかし、それは間違いです。

生体認証は、指紋・顔・声などの生体情報を認証に用いる方法です。それに対してFIDO認証は、生体認証だけでなく複数の認証方法を組み合わせて、パスワードレス認証を行なうための仕組みを指します。

そのためFIDO認証は、多要素認証の一種といえるでしょう。生体認証は、FIDO認証を実現するための要素の一つとして扱われています。

生体認証の仕組みや種類などについて詳しく知りたい方は、以下の記事も併せてご覧ください。

生体認証とは?仕組みや8つの種類、導入するメリットを紹介
 

■FIDO認証により脱パスワード化する3つのメリット

sub2_1.jpg

ここでは、FIDO認証を利用する際のメリットを詳しく説明します。

◇セキュリティの強化

近年では個人で多くのサービスを利用するため、パスワードの管理が煩雑になりがちです。そのため、パスワードを使い回したり、簡単に予測できそうなパスワードを設定してしまったりと、パスワード認証の場合はセキュリティ上の課題が複数あります。

それに対し、FIDO認証は生体認証などを利用するため、パスワードを紛失したり複製されたりすることがありません。これまで、パスワード認証にあったセキュリティ面での課題を解決できるでしょう。


 

◇利便性の向上

脱パスワードによって、煩雑なログイン作業から解放されます。キーボードやスマートフォンでの入力が苦手な方でも簡単にログインできるようになり、利便性も大きく向上するでしょう。
 

◇リスクの軽減

FIDO認証では、認証サーバー側にユーザーの秘密情報が保持されません。これにより、ユーザー側はプライバシー情報を不要に提供する必要がなく、事業者側は情報漏洩のリスクを回避できる、というメリットにつながります。
 

■FIDO認証により脱パスワード化する2つのデメリット

FIDO認証にはさまざまなメリットがある反面、デメリットも存在します。代表的なデメリットは次の2点です。
 

◇FIDO2以前のFIDO認証には専用デバイスが必要

FIDO2以前の規格であるFIDO UAFやFIDO U2Fでは、専用のデバイスが必要です。例えば、FIDO UAFなら指紋や虹彩を読み取るためのセンサーデバイスが搭載された端末、FIDO U2FならFIDO対応のUSBキーやBluetoothデバイスなどが挙げられます。

専用デバイスがないと利用できないため、不便に感じることがあるかもしれません。
 

◇FIDO2に対応しているWebサービスが少ない

上記の課題を解決しているFIDO2においては、対応しているWebサービスの少なさがデメリットといえます。主要ブラウザは対応しているものの、Webサービス自体の対応が間に合っていないのです。

しかし2022年5月にMicrosoft社・Apple社・Google社の大手企業が、FIDOの認証機能拡張を発表しました。新機能として提供することとなったのは以下の2つです。

● ユーザーが所有するデバイスでもパスワードレス認証を使えるようにし、アプリやWebサイトにログインできるようにする
● ユーザーが所有するすべてのデバイスでFIDO認証資格情報(パスキー)を共有・同期できるようにする

「パスキー」と呼ばれる新たなパスワードレス認証方法の導入をブラウザ大手3社が率先して進めていることで、ほかのサービスも次々とパスキーの対応を進めるようになりました。そのため、今後はFIDO認証を採用するサービスが急速に増加すると予想されます。

ユーザーが所有するデバイスがFIDO2に対応していれば、パスワードレス認証でログインできるようになり、FIDOの活用がより身近なものとなるでしょう。

パスキーの仕組みや設定方法などの詳細を知りたい方は、以下の記事も併せてご覧ください。

パスキー(Passkey)とは?仕組みや設定・使用方法について解説!
 

■GMOトラスト・ログインは「FIDOパスワードレス認証」に対応!

GMOトラスト・ログインでは、2024年1月からFIDO2に対応した「FIDOパスワードレス認証」を提供開始しています。

GMOトラスト・ログイン自体のログインに「FIDOパスワードレス認証」、業務上で使用するシステムにはシングルサインオンを活用すれば、ID・パスワードを入力する工数がなくなり効率的なログイン認証のフローを実現できます。多くのパスワードを覚える必要がなく、ユーザー側のパスワード管理負担が軽減することで、業務効率化につながります。

また、認証情報のフィッシングなどの攻撃体制にも強いため、より安全なシステムへのログイン運用が可能です。

この「FIDOパスワードレス認証」は、1ユーザー当たり月額300円のプロプランで利用できます。利便性と強固なセキュリティの両立を、高いコストパフォーマンスで実現できるといえるでしょう。

またGMOトラスト・ログインは、SSL認証局として20年以上の実績がある「GMOグローバルサイン」が提供しています。定期的に脆弱性診断を実施し、お客様の認証情報を安全に預かる環境のセキュリティアップデートを常に行なうことで、強固なセキュリティを実現できています。

FIDOパスワードレス認証の利用開始や自社での活用方法など、不安な点がございましたらお気軽にご相談ください。
GMOトラスト・ログイン サービスページはこちら
 

■まとめ

FIDOは、パスワードを使わずに行なう認証の技術開発と標準化を進めるための国際規格です。FIDO認証は公開鍵暗号方式を利用しているため、セキュリティ強化や利便性の向上、情報漏洩リスクの軽減といったメリットがあります。

2022年5月には、ブラウザの大手企業3社がFIDOの機能拡張を発表しました。そのため、今後はFIDO認証を採用するWebサービスが増加するといえるでしょう。

ただしFIDO UAFやFIDO U2Fの場合は、専用機器が必要なため注意が必要です。

「IDやパスワードの管理で悩んでいる」という方は、GMOトラスト・ログインの導入を検討してみてはいかがでしょうか。

この記事を書いた人

satoshi_mori.png

GMOグローバルサイン株式会社
トラスト・ログイン事業部
プロダクトオーナー
森 智史

国内シェアNo.1のSSL認証局GMOグローバルサインで10年間サポート部門に従事。抜群の知識量と分かり易い説明で多くのお客さまからご支持いただく。
現在は自社IDaaSのプロダクトオーナーとしてお客さまの意見を伺いながら使いやすくセキュリティの高いサービスを開発者たちと共に作成中。