パスキーはスマートフォンなどのユーザーのデバイスに保管されます。これにより、ユーザーは、顔認識、指紋スキャン、PINの入力など、デバイスのロックを解除するために使用するものと同じ方法でWebサイトまたはアプリケーションにログインできるようになります。
IBM® X-Force Threat Intelligence Indexによると、認証情報の盗難は、侵害の被害者が直面する最も一般的な被害です。脅威アクターはフィッシング攻撃や情報窃取マルウェアを使用してこれらの認証情報を収集し、ダークウェブで販売したり、ネットワーク内での影響力を拡大するために使用したりします。サイバー攻撃の3分の1近くは、有効なユーザーアカウントの乗っ取りです。
FIDO認証は、資格情報の盗難やアカウントの乗っ取りによるサイバーセキュリティー脅威を最小限に抑えるために役立ちます。パスキーは、パスワードほど簡単に盗むことはできません。パスキーで保護されたアカウントに侵入するには、攻撃者はユーザーのデバイスにアクセスし、かつPINを正常に入力するか、 生体認証セキュリティを回避する必要があります。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
FIDO Allianceは、IBM、Apple、Amazon、Microsoft、PayPalなど、多くの官公庁・自治体、企業、テクノロジー企業からなるコンソーシアムです。このグループは、パスワードへの依存を減らすことを目的として、FIDO認証標準を開発および維持しています。
FIDO Allianceは、2014年に最初のFIDOプロトコルであるFIDO 1.0をリリースしました。最新のプロトコルであるFIDO2は、World Wide Web Consortiumと協力して開発され、2018年にリリースされました。
今日、何百万人もの人々がWebサイトやアプリケーションへのログインにFIDO認証を使用しています。FIDO2プロトコルは、主要なWebブラウザー、シングル・サインオン(SSO)システム、IDおよびアクセス管理(IAM)ソリューション、Webサーバーのほか、iOS、MacOS、Android、Windows などのオペレーティング・システムでサポートされています。
FIDO認証では、公開鍵暗号化(PKC)を使用して、ユーザーのアカウントに関連付けられた一意の暗号化鍵ペアを生成します。「パスキー」と呼ばれるこの鍵のペアは、サービス・プロバイダーが保持する公開鍵とユーザーのデバイスに存在する秘密鍵で構成されます。
ユーザーがアカウントにログインすると、サービス・プロバイダーはチャレンジ(通常はランダムな文字列)をユーザーのデバイスに送信します。このデバイスは、ユーザーにPINまたは生体認証を求めます。
ユーザーが認証に成功すると、デバイスは秘密鍵を使用してチャレンジに署名し、サービス・プロバイダーに送り返します。サービスプロバイダーは公開鍵を使用して、適切な秘密鍵が使用されていることを検証し、使用されている場合は、ユーザーに自分のアカウントへのアクセスを付与します。
あるデバイスに保管されたパスキーは、別のデバイス上のサービスにログインするために使用できます。たとえば、ユーザーがモバイル・デバイスでEメール・アカウントのパスキーを設定した場合でも、ノートPCでそのアカウントにログインできます。ユーザーは、登録されたモバイル・デバイスで認証チャレンジを完了します。
FIDOは、認証方法として「ハードウェア・トークン」とも呼ばれるセキュリティー・キーの使用もサポートしています。FIDOセキュリティー・キーは、キーのペアを作成し、課題に署名できる小型の専用物理デバイスです。Bluetooth、近距離無線通信(NFC)プロトコル、またはUSBポートを介して他のデバイスに接続します。FIDOセキュリティー・キーは、キーを持つことによりユーザーを認証することで、認証プロセスにおいて生体認証データやPINの代わりとなることができます。
秘密鍵はユーザーのデバイスに保管され、決して離れることはないため、セキュリティー侵害の可能性は最小限に抑えられます。ハッカーは、データベースに侵入したり、通信を傍受したりして、それを盗むことはできません。サービスプロバイダーにある公開鍵には機密情報は含まれていないため、ハッカーにはほとんど役に立ちません。
EメールアカウントにFIDO認証を設定する際、ユーザーは次の手順に従います。
FIDOは、同期パスキーとデバイス・バインド・パスキーの2種類のパスキーをサポートしています。
同期されたパスキーを複数のデバイスで使用できるため、より便利になります。Apple Password、Windows Hello、Google Password Managerなどの認証情報マネージャーは、同期したパスキーを保管し、あらゆるデバイスでユーザーが利用できるようにすることができます。
たとえば、ユーザーは銀行のアプリケーションにアクセスする際、スマートフォンでパスキーを登録する場合があります。同じパスキーは、ユーザーがノートPCまたはタブレット・デバイスで銀行アプリケーションにログインするときに、認証情報マネージャーを通じて利用できます。
このタイプのパスキーは単一のデバイスにバインドされており、最高レベルのセキュリティーを提供します。
デバイス・バインド・パスキーには通常、特定のデバイスに接続された物理的なセキュリティー・キーを使ってアクセスします。パスキーをデバイスから持ち出すことができないため、不正アクセスに対する脆弱性が少なくなります。
デバイス・バウンド・パスキーは、財務データ、企業の知的財産、官公庁・自治体の機密資料などの機密性の高い情報にアクセスするためによく使用されます。
2014年のFIDO 1.0の導入以来、FIDOプロトコルは進化し、改善されてきました。FIDO 1.0で導入されたプロトコルの機能は、FIDO2認証の新しいプロトコルに組み込まれています。
FIDO UAFは、FIDO Allianceが最初に開発したプロトコルの1つです。これは、パスワードを使用せずにサービスにログインする機能を提供します。UAFを使用すると、ユーザーは顔認識などの生体認証データやPINを使用してデバイスから直接認証できます。
U2Fは、ユーザー名とパスワードに依存するシステムに2 要素認証(2FA)を提供するために開発されました。2FA方式では、ユーザーが本人確認を行うための2つ目の要素を求められます。U2Fは、第2要素として物理的なセキュリティーを使用します。
FIDO2のリリース後、U2Fは「CTAP1」と改名されました。
FIDO2は、以前のプロトコルの範囲と機能を拡張する2つの新しいプロトコルを導入しました。
WebAuthnは、パスワードなしの認証を依拠当事者に提供できる Webアプリケーション・プログラミング・インターフェース(Web API)を提供することで、UAFの機能を向上させます。「依拠当事者」は、FIDO認証を使用するWebサイトやWebアプリの用語です。
WebAuthnはAPIに加えて、Webアプリケーション、Webブラウザ、およびセキュリティー・キーなどの認証ツールの間でのやり取りがどのように流れるかを定義するFIDO標準も提供しています。
CTAP2は、Webブラウザやオペレーティング・システムなどの FIDO クライアントが認証ツールと通信する方法を定義します。認証ツールはユーザーの身元を検証するコンポーネントです。
U2F(またはCTAP1)では、認証ツールは常にセキュリティ・キーでした。CTAP2は、音声や顔認識、指紋、PINなど、ユーザーのデバイス上に存在する追加の認証ツールをサポートします。
盗まれたパスワードは最も一般的なサイバー攻撃ベクトルの1つです。FIDOは、この脅威を軽減するパスワードなし認証ソリューションを提供します。
ハッカーは、通常の手段でパスキーを盗むことはできません。たとえば、ユーザーが秘密鍵をサービスと直接共有することがないため、パスキーはフィッシング耐性があります。ユーザー認証は、主にユーザーのデバイス上で行われます。たとえオンライン・サービスでデータ侵害が発生したとしても、パスキーにはアクセスできません。
また、FIDOでは、ハッカーが傍受したりなりすましたりできるワンタイム・パスコード(OTP)が不要になります。FIDOパスキーは、外部システムで露出することなく、ユーザーのデバイス上で保護された状態を維持します。
FIDOは多要素認証(MFA)をサポートしており、ユーザーは自分の身元を認証するために2つ以上の要素を提示する必要があります。たとえば、デバイス・バインド・パスキーで保護されたアカウントにアクセスするために、ユーザーがパスキーのロックを解除するために、デバイスと生体認証データまたはPINの2つの要素が必要となります。
FIDO標準は、一部の組織が一般データ保護規則(GDPR)、ペイメントカード業界データセキュリティ基準(PCI DSS)、カリフォルニア州消費者プライバシー法(CCPA)などのデータ・プライバシーと保護の規制に準拠する上で役立ちます。
具体的には、FIDOによって、不正ユーザーが有効なアカウントを乗っ取ることが難しくなり、その結果、不正ユーザーが機密データにアクセスする可能性が低くなります。
FIDOは、ほぼすべての主要なWebブラウザー、プラットフォーム、サーバー、アプリケーション、およびデバイスと互換性のあるオープン・スタンダードです。多くの組織やオンライン・サービスが実装できる強力な認証メカニズムを提供します。
多くの人は、FIDOが他の認証ソリューションよりもユーザーフレンドリーであると考えています。ユーザーはパスワードを記憶したり、定期的にパスワードを変更したり、リセットや復旧プロセスに対処したりする必要がありません。FIDOは、複数のデスクトップ・デバイスやモバイル・デバイスで作業できるため、ユーザーが各デバイスを個別に登録する必要がありません。
FIDOパスキーは、ユーザーのサインインをより高速で簡単かつ安全に行う方法を提供します。eコマースWebサイトや大規模なグローバル・サービス・プロバイダーの場合、FIDOは顧客体験を向上させ、認証情報の紛失や失念によるアカウント回復の必要性を軽減できます。
企業はFIDO認証を使用して、従業員、サプライヤー、請負業者、その他の利害関係者に企業のリソースへの迅速なアクセスを許可します。パスワード認証と比較して、FIDOパスキーは優れたセキュリティーと使いやすさを提供できます。
FIDOは、モバイル・アプリケーションによる支払いの確認など、eコマース環境で買い物客の認証によく使用されます。また、取引を続行する前にカード所有者の身元を確認する目的でも使用できます。
FIDOは支払いを処理しませんが、取引の実行について認証を実行することで、詐欺を減らすことができます。
一部の政府機関では現在、確定申告の処理や公的給付の申請書の検証などの活動において、FIDO認証を使用しています。たとえば、さまざまな米国連邦政府機関への単一のアクセス・ポイントを市民に提供するlogin.govサービスでは、FIDO2認証が使用されています。