FIDO2 ふぁいどつー
簡単に言うとこんな感じ!
「パスワードなしでログインできる仕組み」だよ!指紋や顔認証、あるいは専用のUSBキーを使って、パスワードを一切入力せずに安全にサービスへログインできるんだ。「絶対忘れるし盗まれる」パスワードをまるごとなくしちゃおう、って発想から生まれた次世代の認証標準ってこと!
FIDO2とは
FIDO2(ファイド・ツー)は、パスワードに頼らない認証を実現するための国際標準規格です。FIDO Alliance(非営利業界団体)とW3Cが共同で策定し、2018年に正式リリースされました。WebブラウザやOS、スマートフォンに標準搭載されており、今日ではGoogle・Microsoft・Apple・Amazonをはじめ、世界中の主要サービスが対応しています。
FIDO2の核心は公開鍵暗号方式の活用です。ログイン時にサーバーへパスワードを「送信する」のではなく、デバイス内に保管した秘密鍵で署名を行い、サーバー側は対応する公開鍵で検証します。秘密鍵はデバイスの外に出ないため、フィッシングサイトへの入力やサーバー漏洩によるパスワード流出というリスクが根本から排除されます。
ビジネスパーソンが押さえておくべき実務ポイントは「パスワード管理コストの削減」と「フィッシング耐性」の2点です。社員がパスワードを忘れるたびに発生するヘルプデスク対応、使い回しによるアカウント乗っ取りリスク——これらをまとめて解決できる技術として、IT投資判断の対象になることが増えています。
FIDO2の構造と仕組み
FIDO2は2つの仕様が組み合わさって成り立っています。
| 構成要素 | 正式名称 | 役割 |
|---|---|---|
| WebAuthn | Web Authentication API | ブラウザとWebサービスをつなぐAPI。W3C標準 |
| CTAP2 | Client to Authenticator Protocol 2 | ブラウザと認証デバイス(スマホ・USBキーなど)をつなぐプロトコル |
ログインのフローはざっくり以下のとおりです。
① サービス(サーバー)が「チャレンジ」(使い捨て乱数)を送る
↓
② ブラウザが認証デバイス(スマホ・指紋センサーなど)に渡す
↓
③ ユーザーが生体認証やPINで「本人確認」
↓
④ デバイスが秘密鍵でチャレンジに「署名」して返す
↓
⑤ サーバーが公開鍵で署名を検証 → ログイン完了!秘密鍵はデバイス内のセキュアエンクレーブ(保護領域)に格納され、外部に送信されることは一切ありません。
認証器(オーセンティケーター)の種類
認証に使うデバイスは大きく2種類に分かれます。
| 種類 | 例 | 特徴 |
|---|---|---|
| プラットフォーム認証器 | iPhoneのFace ID・TouchID、WindowsのHello | デバイスに内蔵。持ち運び不要 |
| ローミング認証器 | YubiKey、Googleタイタンキー | USBやBluetoothで接続する外付けキー。複数デバイスで使い回せる |
覚え方:「FIDO=鍵はデバイスの中、パスワードはゼロ」
FIDOはFast IDentity Onlineの略。「素早くオンライン本人確認」です。「フィードー犬が鍵を守っている」イメージで、秘密鍵は絶対外に出さない番犬だと覚えると忘れません。
歴史と背景
- 2012年 — FIDO Alliance設立。PayPal・Lenovo・Infineonなど6社が創設メンバー
- 2014年 — FIDO 1.0(UAF・U2F)リリース。2段階認証の強化が主目的
- 2016年 — Google・Microsoft・Intel・Samsungら大手が参加し普及が加速
- 2018年 — FIDO2正式リリース。WebAuthn仕様をW3Cが勧告し、ブラウザ標準化へ
- 2019年 — Chrome・Firefox・Edge・Safariがすべて対応完了
- 2022年 — Apple・Google・Microsoftが「パスキー(Passkey)」として共同推進を宣言。FIDO2をより使いやすくした実装として一般ユーザーへの普及が本格化
- 2023年以降 — 国内でも政府ガイドラインや金融機関がFIDO2/パスキー対応を推奨・義務化の流れへ
パスワードは1960年代のメインフレーム時代に生まれた仕組みで、インターネット時代の脅威には構造的に対応できません。フィッシング被害が年々増加する中、「パスワード自体をなくす」という発想が業界全体のコンセンサスになり、FIDO2が事実上の標準として定着しました。
FIDO2・パスキー・多要素認証の関係
混乱しやすい概念を整理します。
他の認証方式との比較
| 認証方式 | フィッシング耐性 | パスワード不要 | 使いやすさ | 主な利用場面 |
|---|---|---|---|---|
| パスワード単体 | ✗ | ✗ | ◎ | 従来システム全般 |
| パスワード+SMS OTP | △ | ✗ | ○ | メールサービス等 |
| パスワード+TOTP(認証アプリ) | △ | ✗ | ○ | 業務SaaSなど |
| FIDO2(パスキー) | ✅ 完全 | ✅ | ◎ | 主要クラウドサービス |
| FIDO2(セキュリティキー) | ✅ 完全 | ✅ | ○ | 高セキュリティ環境 |
SMSのワンタイムパスワードは「フィッシングサイトに転送入力されると突破される」弱点があります。FIDO2はチャレンジがサービスのドメインに紐づくため、偽サイトでは署名が成立せず、フィッシングが根本的に機能しません。
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| W3C WebAuthn Level 2(2021) | WebAuthn APIの現行仕様。ブラウザ実装の標準 |
| FIDO2 CTAP 2.1(2021) | デバイスとブラウザ間のプロトコル最新版 |
| RFC 8471 | Token Binding(WebAuthnの安全性補完) |
| NIST SP 800-63B | 米国政府のデジタル認証ガイドライン。FIDO2をAAL2/3として認定 |
| ISO/IEC 29115 | エンティティ認証保証フレームワーク(FIDOが参照する国際標準) |
関連用語
- パスキー(Passkey) — FIDO2をベースにApple・Google・Microsoft