FIDO2 と WebAuthn: パスワードレス認証の仕組みとメリット

パスワードの終焉とFIDO2の登場

デジタルサービスの普及に伴い、「パスワードの使い回し」や「フィッシング詐欺」によるアカウント乗っ取り被害が社会問題化しています。どれだけ複雑なパスワードを設定しても、ユーザーが偽サイトに騙されて入力してしまえば防ぐことはできません。

この根本的な課題を解決し、**「パスワードを使わない、より安全で簡単な認証（パスワードレス認証）」を実現するために策定された国際標準規格がFIDO2（ファイド・ツー）**です。

FIDO2 と WebAuthn の関係

FIDO2は、FIDOアライアンスという国際団体（Google、Apple、Microsoftなどが主導）が策定した技術規格の総称です。このFIDO2を構成する中核的な技術が**WebAuthn（Web Authentication API）**です。

• WebAuthn: Webサイト（ブラウザ）が、PCやスマホに内蔵された生体認証機能（指紋、顔認証）などを呼び出すためのAPI規格。W3Cの標準規格となっています。
• CTAP (Client to Authenticator Protocol): スマホと外部のセキュリティキー（USB型やNFC型のデバイス）をBluetoothやUSB等で通信させるためのプロトコル。

WebAuthnとCTAPが組み合わさることで、「Webサイトからのログイン要求を、手元のスマートフォンの指紋認証で安全に許可する」といった体験が可能になります。

なぜパスワードレスで安全なのか？（公開鍵暗号の力）

FIDO2が極めて安全な理由は、パスワードの代わりに**「公開鍵暗号方式」**を採用しており、ネットワーク上に秘密情報を一切送信しないからです。

1. 登録時: ユーザーがスマホ（認証器）の指紋センサーに触れると、スマホ内部の安全なチップ内でペアとなる「秘密鍵」と「公開鍵」が作られます。サーバーには「公開鍵」だけが送信・登録され、「秘密鍵」はスマホから絶対に出ません。
2. ログイン時: サーバーからランダムなデータ（チャレンジ）が送られてきます。ユーザーが指紋認証を行うと、スマホは内部の「秘密鍵」を使ってそのデータにデジタル署名をし、署名だけをサーバーに返します。サーバーは手元の「公開鍵」で署名を検証できれば、ログインを許可します。

サーバー側には「公開鍵」しか保存されていないため、万が一サーバーがハッキングされても、攻撃者はユーザーに成り済ますことはできません（公開鍵から秘密鍵は計算不可能なため）。

フィッシング詐欺を物理的に防ぐ仕組み

FIDO2のもう一つの強力な特徴が**「フィッシング耐性（Phishing-Resistance）」**です。

FIDO2のプロトコルでは、署名を行う際に「現在アクセスしているWebサイトのドメイン（例: example.com）」を暗号データに組み込みます。 もしユーザーが本物そっくりな偽サイト（例: examp1e.com）にアクセスした場合、スマホは「登録時のドメインと違う」と検知し、署名の生成を拒否します。これにより、ユーザーがいくら騙されていても、システムが物理的にログイン（情報の流出）を防いでくれるのです。

FIDO2とWebAuthnは、セキュリティとUX（ユーザー体験）を両立する次世代のアイデンティティインフラとして、既に私たちの身近なサービスに浸透し始めています。