FIDO2は、Web Authentication(WebAuthn)とClient to Authenticator Protocol 2(CTAP2)の2つのプロトコルで構成されています。これらのプロトコルが連携することで、ユーザーは従来のパスワードを使用せずにWebサイトやアプリケーションにログインできます。
FIDO2認証では、パスワードの代わりに、人々がスマートフォンやノートPCなどのデバイスのロックを解除するために使用するものと同じ方法を使用します。FIDO2ユーザーは、顔認証、指紋リーダー、またはPINを入力して認証できます。また、FIDO2セキュリティー・キーとして知られる物理ハードウェア・トークンも使用できます。
FIDO2は公開鍵暗号に基づいているため、攻撃者が標的とすることが多いパスワードよりも安全な認証方法を提供します。IBM® X-Force Threat Intelligence Indexは、サイバー攻撃の約3分の1に有効なユーザー・アカウントの乗っ取りが関係していると報告しています。
FIDO2はパスワードを排除することで、フィッシング、中間者攻撃、アカウント乗っ取りなど多くのサイバーセキュリティー上の脅威を軽減します。また、パスワードを記憶したり、パスワードを定期的に変更したり、リセットや復旧プロセスに対処する必要がないため、より利便性の高いユーザー・エクスペリエンスを提供します。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
FIDO2認証では、公開鍵暗号を使用して、ユーザーのアカウントに関連付けられた「パスキー」と呼ばれる一意の暗号鍵ペアを生成します。この鍵ペアは、サービス・プロバイダーが保持する公開鍵とユーザーのデバイスに存在する秘密鍵で構成されます。
ユーザーがアカウントにログインすると、サービス・プロバイダーはチャレンジ(通常はランダムな文字列)をユーザーのデバイスに送信します。デバイスは、PINを入力するか生体認証を使用することによる認証をユーザーに求めます。
ユーザーが認証に成功すると、デバイスは秘密鍵を使用してチャレンジに署名し、サービス・プロバイダーに送り返します。サービスプロバイダーは公開鍵を使用して、適切な秘密鍵が使用されていることを検証し、ユーザーに自分のアカウントへのアクセスを付与します。
あるデバイスに保管されたパスキーは、別のデバイス上のサービスにログインするために使用できます。たとえば、ユーザーがモバイル・デバイスでEメール・アカウントのパスキーを設定した場合、ノートPCでもそのEメール・アカウントにログインできます。ユーザーは、登録済みのモバイル・デバイスで認証チャレンジを完了します。
FIDO2は、YubiKeyやGoogle Titanなどのセキュリティキーを認証方法として使用することにも対応しています。
「ハードウェア・トークン」とも呼ばれるセキュリティー・キーは、認証情報をサービスに直接送信する小さな物理デバイスです。Bluetooth、近距離無線通信(NFC)プロトコル、またはUSBポートを介して接続できます。ユーザーは、生体認証データやPINの代わりにFIDO2セキュリティー・キーを使用して、自分自身を認証し、チャレンジに署名できます。
秘密鍵はユーザーのデバイスに保管され、決して離れることはないため、セキュリティー侵害の可能性は最小限に抑えられます。ハッカーは、データベースに侵入したり、通信を傍受したりして、それを盗むことはできません。サービスプロバイダーにある公開鍵には機密情報は含まれていないため、ハッカーにはほとんど役に立ちません。
たとえば、ユーザーがFIDO認証を使用してEメールアカウントにログインしたいとします。パスキーを作成して認証するプロセスは次のようになります。
FIDO2は、同期パスキーとデバイス・バインド・パスキーの2種類のパスキーをサポートしています。
同期されたパスキーを複数のデバイスで使用できるため、より便利になります。Apple Password、Windows Hello、Google Password Managerなどの認証情報マネージャーは、同期したパスキーを保管し、あらゆるデバイスでユーザーが利用できるようにすることができます。
たとえば、ユーザーは銀行のアプリケーションにアクセスする際、スマートフォンでパスキーを登録する場合があります。同じパスキーは、ユーザーがノートPCまたはタブレット・デバイスで銀行アプリケーションにログインするときに、認証情報マネージャーを通じて利用できます。
このタイプのパスキーは単一のデバイスにバインドされており、最高レベルのセキュリティーを提供します。
デバイス・バインド・パスキーには通常、特定のデバイスに接続された物理的なセキュリティー・キーを使ってアクセスします。パスキーをデバイスから持ち出すことができないため、不正アクセスに対する脆弱性が少なくなります。
デバイス・バウンド・パスキーは、財務データ、企業の知的財産、官公庁・自治体の機密資料などの機密性の高い情報にアクセスするためによく使用されます。
2013年、テクノロジー企業のグループがFIDO Allianceを設立しました。組織の目標は、パスワード・ベースの認証への世界的依存を減らすことでした。
1年後、同同盟は、Universal Authentication Framework(UAF)とUniversal Second Factor(U2F)の2つのプロトコルで構成されるFIDO 1.0規格を導入しました。新しい規格は、パスワードレス認証の基礎を築きましたが、範囲は限定的でした。
たとえば、FIDO 1.0は、パスワードを完全に排除するのではなく、パスワードベース認証のための第2要素を提供することに主に焦点を当てていました。また、さまざまなプラットフォーム、アプリケーション、Webブラウザーで簡単に採用できるようにするための標準化も行われていませんでした。
FIDO Allianceは、2018年にFIDO2の2つの新しいプロトコル(Client to Authenticator Protocol 2(CTAP2)とWeb Authentication(WebAuthn))をリリースしたときに、これらの制限に対処しました。
CTAP2は、単一要素のパスワードレス認証エクスペリエンスを提供します。WebAuthnは、標準化されたブラウザベースのアプリケーション・プログラミング・インターフェース(API)を使用してFIDOの導入を簡素化します。この拡張機能により、FIDO2はWebサイト、アプリケーション、オンライン・サービスで広く採用される認証標準となりました。
今日、何百万人もの人々がWebサイトやアプリケーションへのログインにFIDO2認証を使用しています。FIDO2標準は、ほとんどのユーザー・デバイス、Web ブラウザー、シングル・サインオン(SSO)システム、IDおよびアクセス管理(IAM)ソリューション、Webサーバー、およびiOS、MacOS、Android、Windowsなどのオペレーティング・システムでサポートされています。
2013年:パスワードに基づく認証への依存度を低減することを目的として、FIDO Allianceが設立される。
2014年:FIDO 1.0がリリースされる。
2015年:FIDO規格が世界中で認知され始める。FIDO Allianceは、Microsoft、Google、PayPal、Bank of Americaなどの企業を含む250社を越えるメンバーに拡大。
2016年:FIDO Allianceが FIDO2の開発を開始。同団体は、影響力のあるWide Web Consortium(W3C)と協力し、新しい標準が異なるウェブブラウザやプラットフォームで広くサポートされるよう支援を提供。
2018年:FIDO2がリリースされ、FIDO 1.0の機能が拡張される。
2020年:FIDO2が、Firefox、Chrome、Edge、Safari、Android、iOS、Windowsを含む主要なWebブラウザとオペレーティングシステムでサポートされ、実装される。
2024年:FIDO Allianceが、世界中で150億を超えるユーザー・アカウントがFIDO2認証を使用できると発表。
FIDO 1.0とFIDO2はどちらもパスワードレス認証を可能にしますが、FIDO2はモバイル・デバイス、デスクトップ、またはセキュリティー・キーを介した、完全にパスワードレスの強力な認証によって、FIDO標準の範囲と機能を大幅に拡張します。
FIDO2 は、多要素認証(MFA)の最初の要素としてパスワードを入力する必要性を排除することで、よりユーザーフレンドリーなログイン・エクスペリエンスを提供します。また、標準化されたWebベースのAPIも提供され、導入が容易になります。
FIDO 1.0とFIDO2の違いを最も明確に理解するには、規格の各イテレーションの背後にある特定のプロトコルを確認することが有益です。
FIDO UAFは、FIDO Allianceが最初に開発したプロトコルの1つです。これは、パスワードを使用せずにサービスにログインする機能を提供します。パスワードの代わりに、ユーザーは音声認識や顔認識などの生体認証データ、またはPINを使用して、デバイスから直接認証を行うことができます。
しかし、UAFでは標準化が行われていなかったため、さまざまなWebブラウザー、アプリケーション、サーバーを統合して実装することが困難でした。この限定的な相互運用性は、その広範な導入における障害でした。
FIDO U2Fは、ユーザー名とパスワードに依存するシステムに2要素認証(2FA)を提供するために開発されました。2FAでは、ユーザーが本人確認を行うための2つ目の要素を求められます。U2Fは、認証の第2要素として物理セキュリティ・キーを使用します。FIDO2のリリース後、U2Fは「CTAP1」と改名されました。
U2Fは、スマートフォンやノートPCなどのより広範囲のデバイスの代わりに物理的なセキュリティー・キーに依存していることが、その導入の制限要因となっていました。
WebAuthnは、依拠当事者がパスワードレス認証を簡単に利用できるようにするWeb APIを提供することで、UAFの機能を拡張します。「依拠当事者」は、FIDO認証を使用するWebサイトやWebアプリの用語です。
WebAuthnは、Webアプリケーション、Webブラウザ、および生体認証データやセキュリティ・キーなどの認証ツール間の対話がどのようなフローを辿るのかを定義するFIDO標準も提供しています。
CTAP2は、Webブラウザやオペレーティング・システムなどのFIDOクライアントが認証ツールと通信する方法を定義します。認証ツールはユーザーの身元を検証するコンポーネントです。U2F(またはCTAP1)では、認証ツールは常にセキュリティ・キーでした。CTAP2は、生体認証の音声や顔認識、指紋、PINなど、ユーザーのデバイス上に存在する追加の認証ツールをサポートします。