FIDO2とFIDOアライアンスについて

FIDO2とは、「FIDOアライアンス」という非営利団体が策定する、オンラインサービスを簡単に認証できるようにするための技術仕様です^※1。FIDOとは「FIDO（Fast IDentity Online）」の略称で、FIDO2は2018年4月に正式に発表されました^※2。

FIDOアライアンスは、カリフォルニア州パロアルトにて2013年に正式発足しました。同団体は、ユーザー認証の際のパスワード入力による負荷の軽減や、オンライン認証の円滑化などを目指して、オープンで拡張性や相互運用性がある技術仕様の提供をこれまで推進してきました。そして現在では、世界各国の業界・業種・規模を問わず、さまざまな企業が加盟するようになりました^※3。

FIDO2の役割

現在、主要なデバイス^※4 にFIDO2の認証は組み込まれるようになり、クラウドサービスなどのオンラインサービスにパスワードレスで、簡単・安全で堅牢性の高い認証を行うことが可能になりました。

近年、大学などの教育機関ではクラウドサービスの利用が増加しています。しかし、ログイン時のIDとパスワード入力や管理の煩雑化、情報漏えいリスクが課題となっています。
FIDO2は、このような課題解決に効果があるとされています。

※1：FIDOアライアンスの 仕様概要 を参照。
※2： FIDOアライアンスの沿革 より。
　　 FIDO2はW3C Web認証JavaScript API標準と対応するFIDOアライアンスのClient-to-Authenticator Protocol（CTAP）で構成。
※3： FIDO Members を参照。
※4：Windows Hello、iPhoneなど（2022年6月現在）

FIDO2は、Basic 認証や多要素認証における課題を解決する認証方式として期待されています。まずはBasic認証、多要素認証それぞれの課題を見てみましょう。

Basic認証の課題

Basic 認証は、HTTPで定義された認証方式の1つで、IDとパスワードを使ったポピュラーな認証方式です。ほとんどのWebサーバーやブラウザで実装されているため、手軽に利用できることが大きな利点です。

しかし、IDとパスワードが漏えいした場合には誰でもアクセスが可能になるというリスクがあります。ほかにも、次のようなリスクがあるので注意が必要です。

多要素認証の課題

多要素認証方式とは、複数の要素で本人か否かを確認することです。①知識情報（パスワードなど）、②所持情報（USBキーなど）、③生体情報（指紋認証、顔認証など）が認証の3つの要素と言われています。こうした要素を用いて、確実に本人であることを確認します。パスワードのみの認証よりセキュリティ強度は増しますが、次のようなリスクやデメリットも考えられます。

現在、主流のBasic認証や多要素認証ですが、上記のようなリスクやデメリットがあると考えられます。一方でFIDO2では、何度もパスワード入力をする手間が必要ない認証方法として、その安全性と利便性の両面から期待されているのです。

次に、FIDO2の認証の流れを見てみましょう。あるWebサイトにログインしたい場合を例に解説します。

Webサイトにアクセスする際にはあらかじめFIDO2サーバーに登録してある端末にログインし、その端末から指紋認証や顔認証を行い、端末上で本人確認できれば、そのWebサイトにアクセスできるようになります。

指紋や顔など秘密情報による認証はすべて端末側で行われ、認証結果のみFIDO2サーバー側に伝えられるので、秘密情報が共有されることはありません。こうしてFIDO2では簡単な操作で強固な認証を実現しています。

FIDO2 は、これまでの認証方式で課題だったセキュリティ強度や、オペレーションの負担軽減が期待できるパスワードレスの認証方式です。今後、IDaaS製品を選定する際には、FIDO2に対応しているかどうかも検討項目に加えてみてはいかがでしょうか。

※本記事は2022年2月時点のFIDO2仕様に基づいて記載しています。