このページではパスワード不要で、安全なID認証を実現する「FIDO認証」について詳しく解説します。
従来のパスワード認証では、盗難や不正アクセスによるアカウント乗っ取りのリスクがありましたが、FIDO認証は秘密鍵と公開鍵を用いた技術を採用することで、より強固なセキュリティ対策を実現します。

本記事では、FIDO認証の仕組みやセキュリティ対策、そして安全なID認証の未来について解説します。
FIDO認証を導入することで、パスワード管理のストレスから解放され、安全なオンラインライフを送ることが可能になります。

 

パスワード不要!FIDO認証で安全なID認証

現代社会において、インターネットは仕事や私生活において欠かせないツールとして普及しており、オンラインサービスの利用は日常的に行われています。
これらのオンラインサービスの多くは、ユーザの本人確認(ID認証)に「パスワード」を用いていますが、近年では情報セキュリティへの懸念が高まっています。

情報システムにおけるセキュリティの脅威としては、情報漏えい、不正アクセス、決済・金融サービスの不正利用、アカウント乗っ取りなど、様々なものが挙げられます。
これらの脅威は様々な要因によって引き起こされますが、その中でもID・パスワード認証が原因となる事件や事故が非常に多く発生しています。

FIDO認証は、パスワードに代わる安全で簡単な認証方法として注目されています。
パスワードを用いずにオンラインサービスのID認証を行うことを可能にする新しい認証規格であり、非営利団体であるFIDOアライアンスが世界中で標準化と普及を進めています。

パスワードレス認証に関してはこちらも参考になるかと思います。
リモートサービスへのパスワードレス認証とは?種類も解説!

以下では、FIDO認証の概要について解説します。

 

FIDO認証の仕組み:秘密鍵と公開鍵を用いた認証

FIDO認証では、サーバからの認証要求に対して、ユーザが正規のユーザであることの証明となる「署名」を返却することで認証を行います。
この「署名」が本物であるかどうかを確認するために、「秘密鍵」と「公開鍵」の鍵ペアが使用されます。

秘密鍵は、FIDO登録情報の署名生成に使用され、ユーザデバイス内に保存されます。
公開鍵は、秘密鍵とペアになっており、署名を検証するためにサーバ内に保存されます。
秘密鍵と公開鍵は一対一のペアになっており、公開鍵で復号できるのはペアになっている秘密鍵で暗号化したもののみです。
サーバに送信された署名を、サーバに保存されている公開鍵で検証(復号)できるということは、署名が登録されている秘密鍵で作成されたことを証明します。

「秘密鍵」を使用して署名を行うためには、登録時に指定した方法(生体認証など)で正規のユーザであることを確認します。
これにより、FIDO登録を行った本人しか署名を行うことができず、署名の本人性を確認します。

「秘密鍵」と「公開鍵」のセットは、FIDO登録時にユーザデバイス内で生成されます。
その後、「公開鍵」のみがサーバへ送信され、「秘密鍵」はユーザデバイス内で厳重に保管され、デバイス外にエクスポートすることはできません。

「公開鍵」は、署名を検証するためにサーバに保存されていますが、名前の通り「公開」可能なものであり、「秘密」情報ではありません。

 

FIDO認証のセキュリティ対策:不正アクセス対策

FIDO認証では、ユーザデバイスに格納された「秘密鍵」を用いて、サーバへの認証要求を行う際に署名を作成します。
この「秘密鍵」は、ユーザデバイスにのみ存在し、サーバには保管されません。
そのため、第三者がサーバに対して認証要求を行ったとしても、「秘密鍵」を入手することができず、不正な認証は不可能です。

ユーザデバイスを盗難されても、登録時に行われた生体認証などの認証を突破しなければ、「秘密鍵」を使用することはできません。
これは、FIDO認証が二要素認証を採用しているため、高いセキュリティが確保されていることを意味します。

サーバシステムの脆弱性を悪用して認証情報を盗み出そうとしても、サーバには「署名」と「公開鍵」しか保管されていません。
そのため、「秘密鍵」を盗み出すことは不可能です。
また、「公開鍵」が流出したとしても、「秘密鍵」を生成することはできません。

ユーザデバイスにマルウェアが感染した場合でも、FIDOアライアンスの認証器セキュリティ規定により、信頼性の低い認証器は許可されません。
そのため、「秘密鍵」を容易に盗み出すことは困難です。

仮に第三者がDNS改ざんなどでユーザを偽サイトに誘導し、認証要求を行ったとしても、偽サイトに送信されるのは「署名」であり、「秘密鍵」は盗み出せません。
「秘密鍵」はユーザデバイス内で生成され、デバイス外部へ持ち出すことは一切ありません。

ソーシャルエンジニアリングによる生体認証情報の盗難は、生体認証情報を偽造し、かつユーザデバイスを盗み出す必要があり、非常に困難です。

システム側の内部者による盗難も、サーバに「秘密鍵」が保管されていないため、不可能です。
ただし、FIDO認証情報以外の個人情報については盗難される可能性があるため、適切な対策が必要です。

このように、FIDO認証は第三者による不正アクセスに対して高い耐性を有していると言えるでしょう。

 

パスワードのセキュリティリスク:盗難や不正アクセス

パスワード認証は、IDとパスワードの組み合わせを用いて、ユーザの身元を検証するセキュリティ対策です。
ユーザはIDとパスワードを入力し、サーバは登録済みの情報と照合することで認証を行います。
この仕組みは、ユーザとサーバ間で共有される秘密の情報であるIDとパスワードを、認証の根拠として用いています。
しかし、この秘密の情報は、攻撃者によってさまざまな方法で盗み出される危険性があります。

攻撃者は、システムの脆弱性を悪用してサーバに保存されているIDとパスワードを盗み出す、ユーザの端末にマルウェアを仕掛けて情報を窃取する、偽のウェブサイトに誘導してIDとパスワードを騙し取るフィッシング攻撃など、さまざまな手段を用いて情報を取得しようとします。
さらに、ユーザが他のサービスと同じIDとパスワードを使用している場合、そのサービスから情報が流出した際に、アカウントリスト攻撃によって認証を突破されるリスクも高まります。
また、ユーザが容易に推測できるパスワードを設定している場合は、パスワード推測攻撃によって認証が突破される可能性があります。

これらの攻撃に対抗するためには、システム側のセキュリティ対策はもちろんのこと、ユーザ自身もセキュリティ意識を高める必要があります。
特に、他のサービスと同じIDとパスワードを使用しないこと、推測されにくい複雑なパスワードを設定することなど、基本的なセキュリティ対策を徹底することが重要です。

パスワード認証は、ユーザとサーバ間で共有される秘密の情報に基づいているため、その情報を守ることが極めて困難です。
この点が、パスワード認証におけるセキュリティ上の根本的な問題点と言えるでしょう。

 

FIDO認証:安全なID認証の未来

パスワード管理に頭を悩ませている方は、FIDO認証がおすすめです。

FIDO認証は、パスワードを使わずに生体認証やデバイス認証によって安全なID認証を実現します。
従来のパスワード認証に比べて、セキュリティリスクを大幅に軽減し、不正アクセスからアカウントを守ることができます。
さらに、FIDO認証は世界的に普及が進んでいるため、様々なサービスで利用できるようになりつつあります。
ぜひ、FIDO認証を導入して、安全で快適なオンライン生活を実現しましょう。

内閣府ホームページ
これまでの認証とFIDOの違い(PDF)