IT資産管理
FIDO(Fast Identity Online)認証とは?仕組みやメリットをわかりやすく解説
Written by WizLANSCOPE編集部
FIDO認証とは、従来のパスワードに代わる本人確認を実現する認証規格であり、指紋や顔などの生体情報やセキュリティキーを用いて本人確認を行います。
パスワードを使用しないため、フィッシングや不正アクセスによる情報漏洩のリスクを大幅に低減できるほか、パスワードを記憶・管理する必要がなく、利便性の向上も期待できます。
本記事では、FIDO認証の仕組みやメリット、課題などを解説します。
▼本記事でわかること
- FIDO認証の概要
- FIDO認証の仕組み
- FIDO認証の種類
- FIDO認証のメリット・課題
FIDO認証の導入を検討されている方はぜひご一読ください。
FIDO認証とは
FIDO(Fast Identity Online、ファイド)認証とは、生体認証やセキュリティキーを用い、パスワードを使わない(いわゆるパスワードレス認証)またはパスワードに代わる本人確認を実現する認証規格です。
従来のように「覚える・入力する」必要のあるパスワードは使わず、指紋や顔などの生体情報、物理的なセキュリティキーなどを用いて本人確認を行います。
パスワードを使用しないことで、以下のようなリスクを低減できます。
- パスワードが盗まれるリスク
- フィッシング詐欺に遭うリスク
- パスワードの使い回しによる情報漏洩リスク
このFIDO認証の普及と標準化を推進しているのが、非営利団体「FIDOアライアンス」です。
GoogleやApple、Amazon などを含む300社以上の企業が加盟しており、グローバルで統一された安全かつ利便性の高い認証方式の実現を目指しています。
FIDO認証が注目されている背景
これまで多くのサービスで主流だった「ID・パスワードのみによる認証」には、以下のような深刻な弱点があります。
- 推測される
- 覗き見される
- フィッシング詐欺によって盗まれる
- ハッキングにより流出する
特にフィッシング詐欺は年々手口が巧妙化しており、正規サイトと見分けがつかないほど精巧な偽サイトも増えています。
その結果、パスワードが盗まれる被害は後を絶たず、企業にとっても個人にとっても深刻なセキュリティリスクとなっています。
つまり、パスワードのみに依存してシステムや重要なデータを守る従来のセキュリティ手法は、限界を迎えつつあると言えます。
こうした背景から、「パスワードを使わずに、より安全な本人確認が行える」認証方式として、FIDO認証が世界中で注目され、利用が急速に拡大しています。
FIDO認証の仕組み
FIDO認証は、以下の流れで認証を行います。
- (認証の初期設定時に)秘密鍵と公開鍵を作成し、秘密鍵はユーザーのデバイス、公開鍵はサーバー側が所持する
- ユーザーがログインしようとすると、サーバーはデバイスに対して署名を要求する(チャレンジ)
- ユーザーがデバイス上で生体認証を行うと、秘密鍵の使用が許可される
- デバイスは秘密鍵を使って署名を生成し、サーバーへ送信する
- サーバーは、あらかじめ登録されている公開鍵で署名を検証し、問題がなければログインが完了する
FIDO認証では、「公開鍵暗号方式」という安全性の高い仕組みを用いて、パスワードを使わずに本人確認を行います。
ログインのたびにパスワードを送る必要はなく、秘密鍵はユーザーのデバイス内に保管されます。
これにより、必要なときだけそのデバイスが正しい持ち主であることを安全に証明でき、高いセキュリティと利便性が維持できます。
FIDO認証の種類
FIDO認証は大きく以下の3種類に分類されます。
- FIDO UAF
- FIDO U2F
- FIDO2
それぞれの方式について特徴を確認していきましょう。
FIDO UAF
FIDO UAF(Universal Authentication Framework、ファイドユーエーエフ)は、デバイス内の生体認証を用いて、パスワードを使わずに本人確認を行う認証方式です。
ユーザーがサービスに初めて登録する際、デバイス上で公開鍵と秘密鍵のペアが生成されます。このうち秘密鍵は外部に送信されることなく、ユーザーのデバイス内のみに保存されます。
初期設定後のログインでは、指紋や顔認証、デバイスのPINなどで秘密鍵の使用が許可され、デバイスが生成した署名をサーバーへ送信することで本人確認が完了します。
この仕組みにより、パスワードの入力や管理を必要とせず、高いセキュリティと利便性が両立できます。
FIDO U2F
FIDO U2F(Universal 2nd Factor、ファイドユーツーエフ)は、ID・パスワードによる認証に、物理セキュリティキーを組み合わせた2段階認証方式です。
ユーザーは、まずIDとパスワードを入力し、その後、USBキーなどの物理セキュリティキーを使って追加の認証を行います。
この仕組みにより、万が一パスワードが盗まれた場合でも、物理キーを所持していなければ認証が完了しないため、不正アクセスのリスクを大幅に低減できます。
一方で、物理キーを携帯・管理する必要があるため、紛失や持ち忘れといった運用面での課題を考慮する必要もあります。
FIDO2
FIDO2(ファイドツー)は、生体認証などを用いてFIDO対応デバイス上で認証を行い、その認証結果を FIDOサーバーへ送信することでログインを行う認証方式です。
FIDO2認証では、Webサービスの認証要求をブラウザがWebAuthn APIを通じて受け取り、OSやデバイス側の認証機能(CTAP2)と連携して、認証を行います。
従来の「FIDO UAF」「FIDO U2F」と「FIDO2」の主な違いは、専用デバイスの要否とパスワードの有無にあります。
FIDO UAFの場合は生体認証に対応した専用デバイスが必要となり、FIDO U2Fの場合はFIDO対応の物理セキュリティキーなどが必要となります。また、FIDO U2Fはパスワードを併用する方式です。
一方でFIDO2は、既存のスマートフォンやPCをそのまま認証デバイスとして利用できるため、専用の機器を新たに用意する必要がありません。
利用可能な認証デバイスとしては、顔認証や指紋認証に対応しているiPhoneやAndroidスマートフォン、Windows Helloに対応したWindows PC、Touch ID搭載のMacなどが挙げられます。
また、Google ChromeやMicrosoft Edge、 Firefox、Safariなど主要ブラウザでもFIDO2がサポートされています。
さらに、FIDO2は完全なパスワードレス認証に対応しており、パスワードを使わずに安全に本人確認を行うことが可能です。
つまり、従来のFIDOは専用機器が必要で、方式によってはパスワードも併用するのに対し、FIDO2は専用機器やパスワードも不要な、より利便性の高い認証方式と言えます。
| 方式 | 必要なもの |
|---|---|
| FIDO UAF | ・生体認証に対応したFIDO対応専用デバイス |
| FIDO U2F | ・ID・パスワード ・物理セキュリティキー |
| FIDO2 | ・FIDO対応デバイス |
FIDO認証のメリット
FIDO認証を導入することで以下のようなメリットが期待できます。
- 利便性向上
- セキュリティ強化
- プライバシー保護
- デバイスの多様化
詳しく確認していきましょう。
利便性向上
FIDO認証では、パスワードを入力したり記憶したりする必要がないため、複雑なパスワードを考えたり、設定・管理したりする手間が不要になります。
また、パスワードを必要としない方式の場合、パスワード忘れや入力ミスによるログイン失敗からも解放されます。
これにより、ユーザーはストレスなくスムーズに認証を行えるようになり、利便性の向上が期待できます。
セキュリティ強化
FIDO認証を導入することで、セキュリティ強化を図ることができます。
FIDO認証の場合、秘密鍵がユーザーのデバイス内に安全に保管され、外部へ送信されることがないため、パスワードのように盗まれたり流出したりするリスクを低減できます。
さらに、FIDO認証の完了には、秘密鍵が登録されたデバイスが必要となり、その秘密鍵の利用には指紋認証や顔認証などの生体認証が求められます。
そのため、万が一デバイスが盗難・紛失した場合でも、正規ユーザー以外が認証を突破することは極めて困難です。
プライバシー保護
FIDO認証では、指紋や顔情報などの生体認証データが、サービス提供側のサーバーへ送信されることはありません。
これらの認証情報は、ユーザーのデバイス内のみに安全に保管されるため、企業側が生体データを保持・管理する必要がなく、情報漏洩リスクを抑えたプライバシー保護に優れた認証方式といえます。
デバイスの多様化
FIDO2では、既存のスマートフォンやタブレット、PCなどがFIDO対応していれば、それらをそのまま認証デバイスとして利用できます。
そのため、認証専用の機器を新たに導入する必要がなく、利用デバイスを社内で統一する必要もなくなります。結果として、導入・運用コストの削減や、柔軟なデバイス運用が可能になります。
FIDO認証の課題
FIDO認証は、利便性と安全性を両立できる優れた認証方式ですが、考慮すべき課題も存在します。
導入を検討する際は、代表的な課題についても把握するようにしましょう。
FIDO2以前は専用デバイスが必要になる
FIDO2以前の方式では、認証に専用のデバイスが必要になります。
例えばFIDO U2F方式では、FIDO対応の物理セキュリティキーを用いた認証が必須となるため、デバイスの配布や管理など、導入・運用面においてハードルの高さを感じてしまう企業も少なくないでしょう。
デバイスを紛失すると再認証に時間がかかる
FIDO認証では、ユーザーのデバイスが認証の中核を担うため、その管理が非常に重要になります。
万が一デバイスを紛失した場合、再登録や本人確認などの手続きが必要となるケースも多く、再認証に時間がかかってしまいます。
そのためFIDO認証を導入する際は、パスワード認証などの他の認証方法も併用する、あるいは復旧用の認証手段を用意しておくなど、仮にデバイスを紛失してしまった場合でも、別の方法で認証できるような体制を整えておくことが重要です。
まとめ
本記事では「FIDO認証」をテーマに、仕組みやメリット、課題などを解説しました。
本記事のまとめ
- FIDO認証とは、従来のパスワードに代わる新しい認証規格のことで、生体情報やセキュリティキーなどを用いて本人確認を行う
- FIDO認証は「FIDO UAF」「FIDO U2F」「FIDO2」の3種類に分類できる
- FIDO認証を導入することで、「利便性向上」「セキュリティ強化」「プライバシー保護」「デバイスの多様化」といったメリットが期待できる
- 一方で「FIDO UAF、FIDO U2Fは専用デバイスが必要になる」「デバイスを紛失すると再認証に時間がかかる」といった課題も把握し、対策方法を検討する必要がある
従来のID・パスワードに依存した認証方式の場合、フィッシング詐欺や不正アクセスによってパスワードが盗まれたり、流出したりするリスクがありました。
また、セキュリティを高めるためには、サービスごとに個別の長く複雑なパスワードを設定・管理する必要があり、ユーザーや企業にとって大きな負担となっています。
こうしたパスワード認証によるリスクや運用上の課題に対応できるのが、本記事で紹介した「FIDO認証」です。
FIDO認証を導入することで、強固なセキュリティと高い利便性を両立することが可能になります。
ただし、導入にあたっては、FIDO対応デバイスや復旧手段の準備など、運用面での課題も考慮したうえで、自社の環境や目的に沿った方式を選択することが重要です。
おすすめ記事
