従来のパスワード認証では、PCやスマートフォン等のデバイスからサーバにID・パスワード情報を送信し、サーバがID・パスワードを認証してきました。一方、FIDO認証では、デバイスに保存された「秘密鍵」を生体認証によって解除し、秘密鍵は生体認証の結果、本人だと識別できた結果を署名してサーバ側に送ります。その後、サーバ側に保存されている「公開鍵」が、送られてきた署名付きの認証結果を識別し、デバイスを認証します。簡単に図示すると次のようになります。

FIDO認証でポイントになるのが、生体認証による秘密鍵のロック解除です。この秘密鍵が外部へ漏洩してしまうと、暗号の仕組みが破綻してしまいます。この秘密鍵を扱えるのは「認証する本人」である必要があり、この本人であることを識別するのが生体認証です。生体認証は指紋や顔など自身の身体的な情報を使ったもので、細かい説明は不要でしょう。

また、FIDO認証では公開鍵暗号方式の技術が用いられています。公開鍵暗号方式は公開鍵と秘密鍵の2つの鍵ペアがあり、この2つが合致して初めて認証を通すことができる仕組みです。公開鍵、秘密鍵はFIDO認証規格に適合したベンダーが配布しています。

現在、多くのサービスで利用されているパスワード認証方式は広く一般的なものとなっています。パスワード認証方式は利用者が「パスワードを知っている」が前提となっていますが、便利な反面、様々な問題点を抱えています。その最たる例がパスワード忘れや、同じパスワードの使い回しです。忘れてしまうとリセットなどの手続きが必要となりますし、パスワードの使い回しは、攻撃者にサイバー攻撃の機会を与えることになります。例えば、近年はリスト型攻撃など、多くの人が用いているパスワード等をリスト化して、それを用いてログインを試行するようなサイバー攻撃もあります。パスワード認証はセキュリティの基本ではありますが、パスワードで守っていれば「安全」という時代ではなくなりました。FIDO認証は、このような時代背景から生まれた認証方式と言えます。

FIDO認証は、生体認証を中心とした新しい認証方式の標準化を促進しているFIDOアライアンスによって改良が進められています。そして、標準化を進めるために、FIDOアライアンスを中心にGoogleやAmazon、Microsoftといったテックジャイアントがボードメンバーとして名を連ねています。日本でも富士通やLINEが標準化に携わっています。

FIDOアライアンスを中心に、多くの企業が策定や標準化に携わっている背景には、FIDO認証がもたらす大きなメリットがあります。そのメリットとは、生体認証時に、事業者が管理するサーバ側で認証に関わる個人情報等を持たなくて良いという点です。実際の認証に必要なデータは認証するデバイスの中で処理されるため、外部に渡ることはありません。

前述した通り、サーバ側ではデバイス認証を行うための公開鍵のみを持っています。公開鍵はその名の通り、公開しても問題ない情報なので、盗まれたとしてもセキュリティ上の脅威にはなりません。事業者がサイバー攻撃を受けても、利用者本人に関わる情報が流出するといった恐れがないのです。
仮に生体情報をサーバ側で処理するとしたら、その場合はパスワードをサーバ側で管理するよりリスクが高いと言えます。生体情報とは利用者本人の身体的情報であり、パスワードのように簡単に変えることができるものではないからです。

FIDO認証では、次のような仕様が発表されています。導入の際には、それぞれのメリット・デメリットを踏まえて検討するのが良いでしょう。

FIDO UAF

Universal Authentication Frameworkの略称で、この仕様はFIDO認証に対応したデバイスが必要になります。FIDO認証がデバイスに依存するのであれば、デバイスを紛失した場合に危険ではないかと思われるかもしれません。しかし、FIDO認証の肝になるのは生体認証です。生体認証は利用者本人の身体的情報を用いて行うため、仮にデバイスを紛失したとしても、悪意を持った人にFIDO認証を突破されるということはありません。このようにセキュリティ面では安全ですが、FIDO認証に対応したデバイスを準備する必要があるため、企業が導入する際には一定のコストを要します。

FIDO U2F

Universal Second Factorの略称です。FIDO　U2FはFIDO UAFとは違い、FIDO認証に対応したデバイスは必要としません。また、デバイスへのログインにユーザーID、パスワードを用います。パスワードでのログイン後に、NFCやBluetoothを用いた本人認証を行います。部分的にパスワードを用いた認証を行っているため、セキュリティ面では課題が残ります。しかし、FIDO UAFのようにFIDO認証に対応したデバイスを必須としていないため、企業としては導入しやすいと言えるでしょう。

FIDO2

Webサイトへのログイン認証時に利用されます。Webサービスのログインや支払い等の決済時に、パスワードを用いず、指紋や顔で認証を行います。ここでもポイントになるのがパスワードを使わないという点です。パスワードを使う場合、多くの場合はキーボード上のキーを打って対応しますが、その場合、キー上で入力した内容を悪意のある者に知られてしまうキーロガーのような脅威に晒される可能性があります。しかし、FIDO2ではその心配はありません。

この仕様を構成する技術に「CTAP（Client To Authenticator Protocol）」と「Web Authntication (WebAuthn)」があります。CTAPは利用者がWebブラウザ上で認証が必要になった際に、持っているスマートフォンの生体認証機能を使用して、利用者の認証を行い、その結果を連携することで、安全なWeb認証を行うことができるようにしたものです。Web Authntication は認証に生体認証やPINコードなどを利用できるようにしたものです。これらの技術を用いたFIDO2をGoogleやMozila、Microsoftでもサポートすることを表明しています。

2018年には前述の「FIDO2」という新しい認証標準プロトコルがWorld Wide Web Consortium（Web技術の標準化を行う非営利団体）で標準化されました。それに伴い、ブラウザ側での対応も進むことが予想されます。このように、FIDO認証は進化を続けており、セキュリティ意識が高まっている今、FIDO認証に対応しているということは、一つのアピールポイントにもなります。

今後も多くの企業が利用を進める可能性があるため、FIDO認証は認証のデファクトスタンダードになるのではないかとも言われています。自社でウェブサービス等の開発を考える際に、自組織とエンドユーザーとなるお客様をサイバー攻撃から守るためにも、FIDO認証をセキュリティ対策の候補にしておきたいところです。