パスワードからの脱却:FIDOが目指すもの
FIDOという言葉は「Quick IDentity On-line」の略称であり、その名の通り「素早く、安全にオンラインで本人確認をする」ための取り組みです。FIDOアライアンスと呼ばれる企業連合が標準化を進めており、ブラウザーやスマートフォンのOS、ウェブサービスなどが足並みを揃えて実装を進めています。狙いはシンプルで、パスワードに依存した認証から脱却し、フィッシング耐性が高く、ユーザーにとって負担の少ない認証方式を広く普及させることです。
従来のパスワード方式は、一見すると簡単で分かりやすく見えますが、強いパスワードを覚え続けるのは人間にとって苦痛です。その結果、使い回しや単純な文字列の利用が横行し、漏えいや総当たり攻撃、フィッシングによる盗み取りが後を絶ちませんでした。二要素認証やワンタイムパスワードの導入によって一定の改善はありましたが、それでも「秘密の値を人間が覚え、それを入力する」という前提は変わっていません。
FIDOはこの前提そのものをひっくり返します。ユーザーが覚えるべきパスワードを減らしたり無くしたりし、認証の核心部分を公開鍵暗号の仕組みと端末内の安全なハードウェアに委ねます。ユーザー視点では「指紋をタッチするだけでログインできる」「スマホで顔認証をすればPCのブラウザーにもログインされる」といった体験として現れますが、その裏では「秘密鍵を端末の外に出さない」という強固な設計思想が貫かれています。
公開鍵暗号で守る:FIDO認証の基本構造
FIDOの仕組みを理解するうえで最も重要なのは、「公開鍵暗号」と呼ばれる仕組みが土台になっている点です。ここでは数式は使わず、なるべく直感的なイメージで説明します。
FIDOで新しくサービスに登録する際、ユーザーの端末(スマホやPC、セキュリティキー)は、まず「鍵のペア」を生成します。1つは「秘密鍵」、もう1つは「公開鍵」です。秘密鍵は金庫の鍵に例えられるもので、絶対に外部に漏らしてはいけない情報です。一方、公開鍵は名前の通り公開しても構わない情報であり、サービス側(サーバー)に登録されます。
登録が完了すると、サービスは「このユーザーはこの公開鍵で認証する」という情報を記憶します。以後、ログイン時にはパスワードの代わりに次のような流れが行われます。サービス側は「チャレンジ」と呼ばれるランダムな文字列をユーザー端末に送り、「これに対して署名して返してほしい」と要求します。ユーザーの端末は、ロック画面と同じような生体認証やPINコードによって本人確認を行い、成功した場合にのみ秘密鍵を使ってチャレンジに電子署名を行います。そして、署名されたデータをサービスに送り返します。
サービス側は、登録済みの公開鍵を使って、その署名が正しいかどうかを検証します。公開鍵で検証できたということは、秘密鍵でしか作れない署名が生成されたことを意味します。秘密鍵は端末の中に閉じ込められており、ネットワーク上を流れることはありません。つまり、攻撃者が通信経路を盗聴しても、秘密鍵そのものは得られず、チャレンジも毎回ランダムに変わるため、過去の通信を再利用することもできません。
この構造により、フィッシングサイトにうっかりアクセスしてしまった場合でも、基本的には正規サイトとは異なるドメイン名である限り、認証器は署名を行おうとしません。FIDOの認証プロセスでは、「どのウェブサイトのための鍵か」という「RP ID」と呼ばれる識別子を強く紐づけているため、攻撃者がまったく同じ画面を偽装しても、ドメインが違えば鍵は使えない仕組みになっています。この「サイトごとに異なる鍵を持ち、秘密は端末から出さない」という設計が、FIDOのフィッシング耐性の源になっています。
また、FIDOの認証に使われるデバイスは、大きく分けて二種類あります。1つはPCやスマホ本体に内蔵されたプラットフォーム認証器、もう1つはUSBやNFC、Bluetoothで接続する外付けのセキュリティキーです。どちらも考え方は同じで、秘密鍵をローカルに閉じ込めたまま、ユーザーの操作をトリガーに署名を行います。利用者は、指紋や顔認証、あるいはセキュリティキーのボタンを押すといった簡単な操作で認証を完了できるため、パスワードを毎回入力するよりもはるかにストレスが少なくなります。
FIDO2とパスキー:より自然なログイン体験へ
FIDOの考え方は、最初はU2Fと呼ばれる「パスワードに追加する二要素認証」として普及し始めましたが、その後「パスワードそのものを無くす」方向へと進化し、FIDO2と総称される枠組みが整備されました。FIDO2では、ブラウザー側の標準仕様であるWebAuthn(Internet Authentication)と、認証器とのやり取りを定めるCTAP(Shopper To Authenticator Protocol)という二つの要素が組み合わさっています。これにより、サービス提供者は、標準化されたAPIを通じてFIDO認証をウェブアプリに組み込むことができます。
最近よく聞かれる「パスキー(passkey)」という言葉は、このFIDO2の仕組みを、ユーザーにとって分かりやすくパッケージ化したものだと考えると理解しやすくなります。パスキーは、一種の「アカウント用FIDO資格情報」であり、複数の端末間で安全に同期される点が特徴です。たとえば、スマートフォン上で生成したパスキーを、同じApple IDやGoogleアカウントに紐づく他の端末でも利用できるようにすることで、「端末を変えても指紋や顔認証だけでログインできる」という体験を実現しています。
パスキーの利用シーンをもう少し具体的に見てみます。あるサービスに初めて登録する際、ブラウザーやアプリは「このサイトのためのパスキーを作成しますか」といったダイアログを表示します。ユーザーが同意すると、端末内で先ほど説明した公開鍵と秘密鍵のペアが生成され、秘密鍵は端末やクラウドのセキュアな領域に保管されます。次回以降、そのサイトへアクセスすると、ログイン画面でIDやパスワードを入力する代わりに、「この端末でパスキーを使用してログイン」という選択肢が表示され、指紋認証や顔認証を通じてシームレスにログインできるようになります。
さらに、PCのブラウザーでログインする場面でも、手元のスマホを認証器として使うことができます。PCの画面に表示されたQRコードをスマホで読み取り、スマホ側で顔認証や指紋認証を行うと、その結果が安全な経路でPC側に伝えられ、ログインが完了します。これも結局のところ、FIDO2の仕組みをスマホを介した形で利用しているに過ぎませんが、ユーザーにとっては「パスワードを思い出して入力する」という面倒から解放される大きなメリットがあります。
開発者やサービス運営者にとっても、FIDO・パスキーの導入は「ユーザーのパスワードを保持しない」という利点をもたらします。パスワードハッシュを管理する必要がなくなり、漏えい時のリスクや責任範囲を大きく減らせるからです。その一方で、アカウント復旧や端末紛失時の対処といった新しい設計上の課題も生まれますが、全体としては「ユーザー体験の向上」と「セキュリティ強化」の両立を図る方向に業界全体が動いているといえます。
FIDO時代に備えておくべきこと
FIDOとその最新形であるFIDO2・パスキーは、単なる認証技術のマイナーチェンジではなく、「人間がパスワードを覚え入力する」という長年の習慣から離脱し、「端末と暗号技術に認証を任せる」という大きなパラダイムシフトをもたらしていると言えます。ユーザーにとっては、指紋や顔認証など、すでに日常的に使っている仕組みをそのままウェブログインにも広げる形になるため、変化は自然で受け入れやすいものです。一方で、サービス側は、WebAuthnへの対応や、パスワードからパスキー中心の設計への移行を進める必要があります。
今後、主要なブラウザーやOS、巨大なプラットフォーム企業がFIDOベースのパスワードレス認証を標準として押し出していくにつれ、ユーザーがパスワードを入力する場面は徐々に減っていくと考えられます。その過程で、当面はパスワードとFIDO認証が併存するサービスも多いでしょうが、長期的には「パスワードは例外的な手段」という位置付けになっていく可能性が高いです。
私たち一人ひとりにできる準備としては、まず自分が使っている主要サービスでFIDOやパスキーが利用可能かどうかを確認し、使える場合は積極的に有効化してみることです。加えて、スマホやPCのロック画面のセキュリティ(PINコードや生体認証)をきちんと設定しておくことも重要です。というのも、FIDOでは端末が「鍵の保管庫」になるため、その入り口であるロック画面のセキュリティが全体の安全性を大きく左右するからです。
FIDOは、難しい暗号技術を内部に抱えつつ、ユーザーに見える部分はむしろシンプルで使いやすい形を追求している規格です。パスワード管理に日々悩まされているのであれば、FIDOやパスキーが提供する新しいログイン体験を試してみることで、「セキュリティが高いほど使いづらい」という常識が、必ずしも真実ではないことを実感できるはずです。
