FIDO / WebAuthn (パスワードレス認証)

パスワードの限界とパスワードレス認証の必要性

インターネットの黎明期から今日に至るまで、私たちは「IDとパスワード」を入力することでオンラインサービスにログインしてきました。しかし、現代においてパスワードはセキュリティの最大の弱点となっています。

• 推測・リスト型攻撃: 人間が覚えやすい簡単なパスワードはすぐに推測され、他サイトで漏洩したパスワードを使い回していると「パスワードリスト攻撃」によって簡単にアカウントを乗っ取られます。
• フィッシング詐欺: 偽のログイン画面に誘導され、ユーザー自身が騙されてパスワードを入力してしまう被害は後を絶ちません。どんなに複雑なパスワードを設定しても、フィッシングには無力です。

これらの「パスワードに依存するリスク」を根本から解決するために生み出された国際標準規格が、**FIDO（Fast IDentity Online：ファイド）およびWebAuthn（Web Authentication：ウェブオースン）**です。これらは「パスワードレス認証」を実現するためのコア技術です。

FIDOとWebAuthnの関係

• FIDOアライアンス: パスワードに依存しない新しい認証規格を策定している国際的な非営利団体です。Google、Apple、Microsoftなど世界中の巨大テック企業が参画しています。
• FIDO2: FIDOアライアンスが策定した最新の規格群の総称です。
• WebAuthn: FIDO2の中核をなす技術であり、W3C（World Wide Web Consortium）で策定されたWebブラウザ向けのAPI仕様です。これにより、WebサイトからFIDO認証を呼び出すことが可能になります。

公開鍵暗号を活用したFIDOの仕組み

FIDO認証の最大の特徴は、**「秘密の情報（パスワード）をネットワーク上に一切送信しない」**という点にあります。この画期的な仕組みは「公開鍵暗号方式」という数学的な技術によって支えられています。

1. 登録（ユーザー登録）時の動き

ユーザーが新しいサービスに登録する際、スマートフォンやパソコンに内蔵された認証器（指紋センサーや顔認証カメラ、あるいはUSBセキュリティキー）が作動します。 認証器はデバイス内部の安全な領域で、ペアとなる**「秘密鍵（Private Key）」と「公開鍵（Public Key）」を作成します。 このうち、公開鍵だけをサービスのサーバーに送信・登録します。最も重要な秘密鍵はデバイスの外には絶対に出ません。**

2. 認証（ログイン）時の動き

次回ログインする際、サーバーから「この暗号問題を解いてみて（チャレンジ）」というデータが送られてきます。 ユーザーはデバイス上で指紋認証や顔認証を行います（ローカル認証）。すると認証器は、内部に保管してある「秘密鍵」を使ってサーバーからの問題を解き（デジタル署名を生成）、その答えだけをサーバーに返します。 サーバーは、事前に預かっていた「公開鍵」を使って答え合わせ（署名検証）を行い、正解であればログインを許可します。

なぜフィッシングに強いのか？

FIDO認証がフィッシング詐欺に対して極めて強力な耐性（Phishing-Resistant）を持つ理由は、**「認証情報が、通信先のドメイン（Webサイトのアドレス）に強く紐付いている」**ためです。

もしユーザーが騙されて本物そっくりの偽サイト（例: g00gle.com）にアクセスした場合、ブラウザと認証器は「ここは登録時のドメイン（google.com）とは違う」と自動的に検知し、秘密鍵を使った署名を拒否します。ユーザーが騙されていても、システムが物理的にログインを防いでくれるのです。

FIDO/WebAuthnは、「パスワードのない安全な世界」を実現するための切り札として、今後のWebサービスの標準的な認証手段になっていくことが確実視されています。