ページの先頭です

ページ内を移動するためのリンク
本文(c)へ

セキュリティの部屋

ここから本文です。

【技術解説】もうパスワードは使わない!FIDO2がもたらす安全で快適な認証方式

【技術解説】もうパスワードは使わない!FIDO2がもたらす安全で快適な認証方式

掲載情報の概要

  • 掲載日: 2024年7月22日
  • 掲載趣旨
    • FIDO2を利用した認証方式が普及しつつありますが、どうしてパスワードを使わなくて済むのか、なぜこの方式が安全なのかを、技術的な仕組みを含めて解説します。
  • 参照元
    • 生成AIにより原稿案を作成し、編集したものです。

    • はじめに:もうパスワードに悩まないために

    私たちは日々、たくさんのウェブサービスやアプリでパスワードを使っています。しかし、「複雑なパスワードを覚えるのが大変」「使い回しは危ないと分かっていても、ついやってしまう」と感じている方は多いのではないでしょうか 1。実際、パスワードが原因で起きる不正ログインや情報漏洩は後を絶ちません 3。

    最近では、SMSで送られてくる確認コードを使った「多要素認証(MFA)」も増えましたが、これも「SIMスワップ」という巧妙な手口で突破される危険性があります 6。

    こうした問題を根本から解決するために登場したのがFIDO2(ファイドツー)です。FIDO2は、パスワードに代わる新しい認証の「世界標準ルール」で、パスワードを使わずに、もっと安全で、もっと簡単な認証を目指しています 9。これは単なる改良ではなく、インターネットの安全性を根底から変える、画期的な仕組みなのです。

    第1章 FIDO2の仕組み:なぜパスワードが要らないの?

    1.1 「鍵と鍵穴」のペアが認証の主役

    FIDO2の安全性の秘密は、「公開鍵暗号方式」という技術にあります。これは、自分だけが持つ「秘密鍵」と、相手(サービス)に渡しておく「公開鍵」という、ペアになったデジタルな鍵を使う方法です 6。

    • 秘密鍵(自分だけの鍵): あなたのスマートフォンや専用のセキュリティキーの中に、厳重に保管されています。この鍵は、絶対にデバイスの外に出ることはありません 13。
    • 公開鍵(サービスの合鍵): 最初にサービスに登録するときに、相手に渡しておく鍵です。この鍵から秘密鍵を推測することは不可能です 12。
    • 認証の仕組み: ログイン時、サービスから「合言葉(チャレンジ)」が送られてきます。あなたのデバイスは、それを「秘密鍵」でロックして送り返します。サービスは、預かっていた「公開鍵」でそのロックが開けられるかを確認します。これで、あなたが本物のデバイスを持っていることが証明できるのです 13。

    1.2 FIDO2を支える2つの「共通ルール」

    FIDO2は、WebAuthn(ウェブオースン)とCTAP(シータップ)という2つのルールが連携して動いています 13。

    • WebAuthn: ウェブサイトとブラウザ(ChromeやSafariなど)の間で、「FIDO2で認証してね」とやり取りするための共通言語です 19。
    • CTAP: ブラウザと、あなたのスマホやセキュリティキー(認証器)の間で通信するためのルールです 18。USBやNFC、Bluetoothなど、様々な接続方法に対応しています 4。

    この2つのルールが標準化されているおかげで、ウェブサイト側は一度FIDO2に対応すれば、利用者がどんなメーカーのどんな認証器を使っても、自動的に連携できるようになっています。

    1.3 認証のための「道具」(認証器)

    FIDO2で使える認証の道具には、主に2つのタイプがあります 23。

    • プラットフォーム認証器: スマホやPCに内蔵されている認証機能です。Windows Helloの顔認証や、AppleのFace ID/Touch IDなどがこれにあたります 3。手軽で便利なのが特徴です。
    • ローミング認証器: USBで接続するセキュリティキー(YubiKeyなど)のように、持ち運びができて色々なデバイスで使えるものです 3。非常に高いセキュリティを提供します。

    第2章 FIDO2の認証プロセス:登録からログインまで

    FIDO2の実際の流れを、2つのステップに分けて見てみましょう。

    2.1 新規登録の流れ

    1. 開始: 利用者がサービスにアクセスし、FIDO2での登録を選びます 10。
    2. サービスからの合言葉: サービス側が、ランダムな「合言葉(チャレンジ)」と、自身のサイト情報(ドメイン名)を利用者のブラウザに送ります 3。
    3. 認証器の呼び出し: ブラウザが、スマホやセキュリティキーなどの認証器を呼び出します 18。
    4. 本人確認と鍵の作成: 認証器が、指で触れたり、顔をスキャンしたりして本人確認を求めます 6。確認が取れると、認証器はそのサービス専用の 新しい「秘密鍵」と「公開鍵」のペアを自動で作成します 13。秘密鍵はデバイス内に安全に保管されます 13。
    5. 証明書の発行: 認証器は、作成した「公開鍵」を含む証明書のようなものを作成します 27。
    6. サービス側での保管: ブラウザがこの証明書をサービスに送り返します。サービスは内容を検証し、問題がなければ利用者の「公開鍵」を保管します 16。これで登録完了です。

    2.2 ログインの流れ

    1. 開始: 利用者がサービスのログインページでユーザー名などを入力します 17。
    2. サービスからの合言葉: サービス側が、新しいランダムな「合言葉(チャレンジ)」をブラウザに送ります 3。
    3. 認証器の呼び出し: ブラウザが認証器を呼び出します 18。
    4. 本人確認と署名: 認証器が再び本人確認を求めます 3。確認が取れると、以前登録した そのサービス専用の「秘密鍵」を使って、合言葉にデジタルな署名をします 17。
    5. サービスへの返信: ブラウザが、署名された合言葉をサービスに送り返します 4。
    6. 検証とログイン成功: サービスは、保管していた「公開鍵」を使って署名を検証します。正しく検証できれば、本人であると確認され、ログインが許可されます 3。

    表1:FIDO2の登録とログインの違い

    特徴 登録(初回) ログイン(2回目以降)
    目的 新しいサービスで本人確認の手段を確立する 登録済みの手段で本人であることを証明する
    鍵の動き 新しい「秘密鍵」と「公開鍵」のペアが作られる 既存の「秘密鍵」が合言葉への署名に使われる
    サーバーの役割 利用者の「公開鍵」を預かり、アカウントと紐づける 署名を「公開鍵」で検証し、アクセスを許可する
    利用者の操作 指紋認証や顔認証などで、鍵の作成を許可する 指紋認証や顔認証などで、署名を許可する

    第3章 FIDO2はなぜそんなに安全なのか?

    3.1 サーバーにパスワードを置かない安心感

    • 漏洩する「秘密」がない: FIDO2では、利用者とサービスが共有する秘密(パスワード)がありません 11。
    • 情報漏洩に強い: サービス側のサーバーには、公開しても問題のない「公開鍵」しか保管されていません。万が一、サーバーが攻撃されてデータが盗まれても、不正ログインに使われるような情報は一切漏れません 3。これにより、大規模な情報漏洩事件のリスクを根本からなくすことができます。
    • パスワードの使い回し攻撃が無効に: そもそもパスワードが存在しないため、他のサイトから漏れたパスワードを使った「なりすまし攻撃」は完全に無意味になります 13。

    3.2 偽サイトを自動で見破る「オリジンバインディング」

    これはFIDO2が持つ最強のセキュリティ機能で、他の多くの認証方法よりも優れている点です 8。 - 【補足】「オリジンバインディング」とは - 今アクセスしているサイトは、認証情報をやり取りするために設定したサイトと一致しているかを照合することです。 - ここでいう「オリジン」とは、「ドメイン+プロトコル+ポート」で、このデータ、認証情報は、どのオリジンから来たか?を示す情報。 - 「バインディング」は、そのオリジンと今アクセスしているサイトは一致しているか? を照合すること - 一致していないと、そのデータは使わせないことで、情報漏洩やなりすましを防ぎます。

    • 仕組み: 登録時、あなたの認証器(スマホなど)は、作成した鍵をウェブサイトの正式なアドレス(オリジン)と固く結びつけます 8。
    • 偽サイト(フィッシングサイト)を撃退する流れ:
      1. あなたが偽の銀行サイト(例:mybank.secure-login.com)に騙されてアクセスしてしまう。
      2. ログインしようとすると、偽サイトが本物の銀行サイトと通信を始めます 7。
      3. 本物の銀行から送られてきた「合言葉」が、偽サイト経由であなたのブラウザに届く。
      4. ブラウザがあなたの認証器に署名を要求する。
      5. ここが重要です!: あなたの認証器は、サイトのアドレスが偽物(mybank.secure-login.com)であることに気づきます。なぜなら、登録時に本物のアドレス(mybank.com)を記憶しているからです。
      6. アドレスが違うため、認証器は署名を拒否します 8。ログインは失敗し、攻撃は自動的に阻止されます。あなたが偽サイトに気づかなくても、FIDO2が守ってくれるのです。

    この仕組みにより、セキュリティの責任が 「騙されないように注意する」という人間から、「間違えない」テクノロジーへと移ります。これは非常に大きな変化です。

    3.3 プライバシーもしっかり保護

    • サイトをまたいだ追跡を防止: あなたが利用するサービスごとに、全く別の鍵ペアが作られます 6。そのため、異なるサービス間であなたの行動を追跡することはできません。
    • 生体情報はデバイスの外に出ない: 指紋や顔などのデータは、あなたのスマホの中の安全な場所で処理され、決してインターネット上には送信されません 6。サービス側には、本人確認が成功したかどうかの「OK/NG」の結果だけが伝わります。

    表2:様々な脅威への強さ比較

    脅威の種類 パスワードのみ SMSなどでの認証 FIDO2 / パスキー FIDO2が安全な理由
    偽サイト(フィッシング) とても弱い 弱い とても強い サイトのアドレスを検証し、偽サイトでは鍵が反応しないから。
    通信の乗っ取り とても弱い 弱い とても強い 偽サイトでは署名を拒否するため、攻撃が成立しない 8。
    パスワードの使い回し とても弱い とても弱い とても強い そもそもパスワードが存在しないから。
    サーバーからの情報漏洩 とても弱い とても弱い とても強い サーバーには秘密の情報がなく、盗まれても安全な「公開鍵」しかないから 19。
    通信の盗み見 弱い 弱い とても強い 毎回使い捨ての「合言葉」を使うため、盗み見ても再利用できないから。
    ウイルス(キーロガー) とても弱い 少し弱い とても強い キーボードで入力する秘密情報がなく、安全な領域で認証が行われるから。

    第4章 私たちにとってのメリット

    4.1 利用者にとってのメリット

    • とにかく楽で速い: 面倒なパスワード入力を、指で触れたり、顔を見せたりするだけの簡単な操作に置き換えます 30。Yahoo! JAPANやメルカリでは、ログイン時間が劇的に短縮されたという報告があります 31。
    • パスワード管理からの解放: たくさんの複雑なパスワードを覚えたり、管理したりするストレスから解放されます 1。

    4.2 企業にとってのメリット

    • セキュリティの大幅な向上: 最も危険で一般的なサイバー攻撃を防ぎ、会社全体の安全性を高めます。
    • コスト削減: 「パスワードを忘れました」という問い合わせ対応は、企業のIT部門にとって大きな負担です。パスワードをなくすことで、この負担とコストを大幅に削減できます 6。J:COMはFIDO導入でSMS送信料のコスト削減も実現しました 32。

    4.3 「パスキー」の登場:FIDO2がもっと身近に

    • パスキーとは?: FIDO2の仕組みを、もっと使いやすくしたものの愛称です。Apple、Google、Microsoftなどが共同で推進しています 9。
    • 鍵の同期: パスキーの最大の特徴は、クラウド経由で鍵を同期できることです。例えば、iPhoneでパスキーを登録すれば、同じApple IDを使っているiPadやMacでも自動的に使えるようになります 13。
    • 「認証器をなくしたらどうする?」問題を解決: これまでのFIDOでは、専用キーをなくすとログインできなくなる心配がありました。パスキーなら、クラウドアカウントを通じて簡単に復旧できるため安心です。
    • 業界全体で推進: 主要なIT企業が足並みをそろえてパスキーを推進しているため、これからはパスワードレスが「当たり前」の時代になっていくでしょう 31。

    第5章 FIDO2はどこで使えるの?

    5.1 FIDO2を導入している主なサービス

    FIDO2やパスキーは、すでに多くのサービスで利用できます。

    • 世界の巨大IT企業: Google、Apple、Microsoft、Meta(Facebookなど)、Amazonといった企業は、この技術を強力に推進し、自社サービスに導入しています 33。
    • 日本の主要サービス: 日本はFIDOの導入が進んでいる国の一つです 35。
      • 通信会社: NTTドコモ(dアカウント)、KDDI(au ID)、J:COM 32。
      • ネットサービス: Yahoo! JAPAN、メルカリ、マネーフォワード 12。
    • その他の分野: 金融(PayPal)、ヘルスケア(CVS)、教育(近畿大学)など、様々な分野に広がっています 39。

    表3:FIDO2/パスキーが使えるサービスの例

    カテゴリ 企業 / サービス 参照
    グローバルIT企業 Google, Apple, Microsoft, Meta, Amazon 33
    日本の通信会社 NTTドコモ, KDDI, J:COM 32
    日本のネットサービス Yahoo! JAPAN, メルカリ, マネーフォワード 31
    金融サービス PayPal 33
    教育機関 近畿大学 40
    小売 / ヘルスケア CVS Health 39
    対応サイト一覧 passkeys.directory, Keeper 38

    5.2 導入による驚きの効果

    • Yahoo! JAPAN: FIDO導入でログイン時間が2.6倍速くなり、すでに3800万人以上がパスワードなしで利用しています 31。
    • メルカリ: ログインにかかる時間が17秒から4.4秒に短縮され、ログイン成功率も大幅に向上しました 31。
    • J:COM: FIDO導入が進み、SMS送信料のコスト削減にもつながっています 32。

    5.3 FIDOアライアンスの役割

    FIDOアライアンスは、この素晴らしい技術を開発し、世界に広めるために活動している国際的な団体です 33。250以上の企業や組織が参加し、安全な認証の未来のために協力しています 10。

    結論:パスワードのない未来へ

    FIDO2は、私たちのデジタルライフにおける認証のあり方を根本から変える、まさに「革命」です。単にパスワードをなくすだけでなく、セキュリティ、プライバシー、そして利便性を劇的に向上させます。特に、偽サイトを自動で見破る仕組みは、これまでの認証方法にはなかった強力な防御策です。

    Apple、Google、Microsoftが推進する「パスキー」の登場により、パスワードのない未来はもうすぐそこまで来ています。

    もしあなたがサービスを提供する側なら、FIDO2とパスキーの導入を真剣に検討すべき時です。もしあなたが利用者なら、対応サービスを見かけたらぜひ積極的に使ってみてください。問題はもはや、パスワードレスに移行するかどうかではなく、いつ移行するかです。FIDO2は、そのための最も安全で確実な道筋を示してくれています。

    引用文献

    1. パスワードレス認証とは? 安全性やメリット・デメリットについても解説 - Gluegent, 7月 18, 2025にアクセス、 https://www.gluegent.com/service/gate/column/passwordless/
    2. パスワードレス認証のメリットとは - 飛天ジャパン株式会社, 7月 18, 2025にアクセス、 https://ftsafe.co.jp/blog/passwordless/
    3. FIDO2とは?パスワードレス認証の概要と特徴、具体的な認証手順を解説, 7月 18, 2025にアクセス、 https://www.rworks.jp/cloud/azure/azure-column/azure-entry/27359/
    4. 【企業担当者必見】「FIDO2」とは何か?仕組みやメリット、FIDOとの違いについて詳しく解説, 7月 18, 2025にアクセス、 https://blog.trustlogin.com/articles/2019/20190604
    5. What is FIDO2? - IONOS, 7月 18, 2025にアクセス、 https://www.ionos.com/digitalguide/server/security/what-is-fido2/
    6. FIDO2 とは?| Microsoft Security, 7月 18, 2025にアクセス、 https://www.microsoft.com/ja-jp/security/business/security-101/what-is-fido2
    7. FIDO2 がフィッシング耐性がある認証 (MFA) と呼ばれる理由 - Qiita, 7月 18, 2025にアクセス、 https://qiita.com/narisho/items/200f757f16e51a0bef6a
    8. 中間者攻撃(AiTM攻撃)とは?多要素認証で防げない理由と対策を..., 7月 18, 2025にアクセス、 https://rocket-boys.co.jp/security-measures-lab/aitm-attack-explained-mfa-limitations-countermeasures/
    9. FIDO2とは【用語集詳細】 - SOMPO CYBER SECURITY, 7月 18, 2025にアクセス、 https://www.sompocybersecurity.com/column/glossary/fido2
    10. FIDO2, 7月 18, 2025にアクセス、 https://david3080.github.io/fido2/
    11. www.polarify.co.jp, 7月 18, 2025にアクセス、 https://www.polarify.co.jp/column/article008/#:~:text=FIDO2%E3%81%AF%E3%80%81%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%82%92%E4%BD%BF%E3%82%8F,%E3%81%99%E3%82%8B%E3%83%AA%E3%82%B9%E3%82%AF%E3%82%82%E3%81%AA%E3%81%8F%E3%81%AA%E3%82%8A%E3%81%BE%E3%81%99%E3%80%82
    12. FIDO2とは?認証の仕組みやFIDOとの違い・特徴をわかりやすく解説|ポラリファイ - Polarify, 7月 18, 2025にアクセス、 https://www.polarify.co.jp/column/article008/
    13. FIDO2とは?仕組みやFIDOやパスキーとの違い、メリットとデメリットなどを解説, 7月 18, 2025にアクセス、 https://corp.capy.me/blog/passkey/2025/03/fido2%E3%81%A8%E3%81%AF%EF%BC%9F%E4%BB%95%E7%B5%84%E3%81%BF%E3%82%84fido%E3%82%84%E3%83%91%E3%82%B9%E3%82%AD%E3%83%BC%E3%81%A8%E3%81%AE%E9%81%95%E3%81%84%E3%80%81%E3%83%A1%E3%83%AA%E3%83%83%E3%83%88/
    14. FIDO認証とは?今後主流となるパスワードレス認証方式について詳しく解説 | セキュリティ事業, 7月 18, 2025にアクセス、 https://www.marubeni-idigio.com/security/insight/keyword/about-fido/
    15. パスワードが不要?FIDO認証の仕組みやメリット・デメリット - ID認証基盤 SAP CIAM, 7月 18, 2025にアクセス、 https://www.nttcoms.com/service/ciam/column/20220214/
    16. How FIDO2 works, a technical deep dive - Michael Waterman, 7月 18, 2025にアクセス、 https://michaelwaterman.nl/2025/04/02/how-fido2-works-a-technical-deep-dive/
    17. FIDO認証:一目で分かる!FIDO認証の大まかな流れ|松井真也..., 7月 18, 2025にアクセス、 https://note.com/shinya_matsui/n/n914993cadc25
    18. CTAP(Client To Authenticator Protocol)とは?概要と仕組みを解説!, 7月 18, 2025にアクセス、 https://nakaterux.hatenablog.com/entry/2025/03/23/054856
    19. パスワードレス認証を実現するFIDO2認証<不正ログインの脅威と対策(第4回)> | オージス総研, 7月 18, 2025にアクセス、 https://www.ogis-ri.co.jp/column/themistruct/c106457.html
    20. FIDO2:ウェブ認証(WebAuthn) | FIDO Alliance, 7月 18, 2025にアクセス、 https://fidoalliance.org/fido2-2/fido2-web-authentication-webauthn/?lang=ja
    21. FIDO2 - IBM Security Verify Documentation Hub, 7月 18, 2025にアクセス、 https://docs.verify.ibm.com/verify/docs/user-authentication-fido2
    22. Web認証からFIDO, FIDO2, Google の Passkeysまでの歴史 - Zenn, 7月 18, 2025にアクセス、 https://zenn.dev/devalon/articles/1ce93c1c8c7071
    23. What Is FIDO2 and How Does It Work? Passwordless Authentication Advantages & Disadvantages - Hideez, 7月 18, 2025にアクセス、 https://hideez.com/blogs/news/fido2-explained
    24. フィッシング耐性の高い多要素認証(MFA)の必要性 - Okta, 7月 18, 2025にアクセス、 https://www.okta.com/jp/blog/2022/10/the-need-for-phishing-resistant-multi-factor-authentication/
    25. パスワード不要の認証「WebAuthn」とは?|「FIDO」の構成技術を解説 - NRIセキュア, 7月 18, 2025にアクセス、 https://www.nri-secure.co.jp/blog/what-is-webauthn
    26. FIDO2クライアントSDK オープンソースのご紹介 - LINEヤフー Tech Blog, 7月 18, 2025にアクセス、 https://techblog.lycorp.co.jp/ja/20241007a
    27. Server Requirements and Transport Binding Profile - FIDO Alliance, 7月 18, 2025にアクセス、 https://fidoalliance.org/specs/fido-v2.0-rd-20180702/FIDO-COMPLETE-v2.0-rd-20180702.pdf
    28. FIDO2 Deep Dive: Attestations, Trust model and Security, 7月 18, 2025にアクセス、 https://research.kudelskisecurity.com/2020/02/12/fido2-deep-dive-attestations-trust-model-and-security/
    29. FIDO2とは? 特徴やパスワードレス認証の仕組みについて解説 - ネットアテスト, 7月 18, 2025にアクセス、 https://www.netattest.com/fido2_2023_mkt_fsp
    30. パスワード認証の危険性、パスワードレス認証のメリットを解説..., 7月 18, 2025にアクセス、 https://www.cloudgate.jp/getting-started/passwordless
    31. FIDO認証とは?仕組みやメリット、導入事例、導入方法を簡単に解説 - Capy株式会社, 7月 18, 2025にアクセス、 https://corp.capy.me/blog/passkey/2025/04/fido%E8%AA%8D%E8%A8%BC%E3%81%A8%E3%81%AF%EF%BC%9F%E4%BB%95%E7%B5%84%E3%81%BF%E3%82%84%E3%83%A1%E3%83%AA%E3%83%83%E3%83%88%E3%80%81%E5%B0%8E%E5%85%A5%E4%BA%8B%E4%BE%8B%E3%80%81%E5%B0%8E%E5%85%A5/
    32. Japanese telecom adopts FIDO authentication - Biometric Update, 7月 18, 2025にアクセス、 https://www.biometricupdate.com/202411/japanese-telecom-adopts-fido-authentication
    33. Momentum for FIDO in Japan Grows as Major Companies Commit to Passwordless Sign-ins with Passkeys, 7月 18, 2025にアクセス、 https://fidoalliance.org/momentum-for-fido-in-japan-grows-as-major-companies-commit-to-passwordless-sign-ins-with-passkeys/
    34. パスキー対応スマホ一覧【2025年6月最新版】 - note, 7月 18, 2025にアクセス、 https://note.com/noble_guppy6313/n/nbae9e0f7f78d
    35. Japan Is An Innovation Hub For FIDO Adoption Since 2014 And Looking At The Future - Authenticate Conference, 7月 18, 2025にアクセス、 https://authenticatecon.com/content/japan-is-an-innovation-hub-for-fido-adoption-since-2014-and-looking-at-the-future/
    36. NTT DOCOMO | FIDO Alliance, 7月 18, 2025にアクセス、 https://fidoalliance.org/comm_deployment/ntt-docomo/
    37. パスキー認証 - dアカウント, 7月 18, 2025にアクセス、 https://id.smt.docomo.ne.jp/src/utility/passkeys.html
    38. パスキーに対応しているサイトを調べる - succi0303 blog, 7月 18, 2025にアクセス、 https://blog.succi0303.com/entry/2023/11/27/223849
    39. パスキーディレクトリ - Keeper Security, 7月 18, 2025にアクセス、 https://www.keepersecurity.com/ja_JP/passkeys-directory/
    40. FIDO認証導入事例【近畿大学】全学約4万5千人が使う共通認証システムの利便性が大きく向上, 7月 18, 2025にアクセス、 https://ip3.co.jp/case/2625/
    41. 導入事例 - YubiOn, 7月 18, 2025にアクセス、 https://www.yubion.com/blog/categories/case-study
    42. Passkeys.directory - mrsekut-p - Scrapbox.io, 7月 18, 2025にアクセス、 https://scrapbox.io/mrsekut-p/Passkeys.directory
    43. Working Groups - FIDO Alliance, 7月 18, 2025にアクセス、 https://fidoalliance.org/members/working-groups/
    44. FIDO Alliance at Japan IT Week, 7月 18, 2025にアクセス、 https://fidoalliance.org/event/japan-it-week/

    本文ここまでです。

    ページトップへ