FIDO認証とは？中小企業に必要？仕組みやメリット・デメリットをわかりやすく解説

昨今、テレワークの普及やクラウドサービスの利用拡大に伴い、企業のセキュリティ対策はますます重要になっています。

特に、IDとパスワードによる従来の認証方法は、フィッシング詐欺やリスト型攻撃などの標的になりやすく、情報漏洩の大きな原因の一つです。

このような課題を解決する次世代の認証技術として、「FIDO認証」が世界的に注目を集めています。

この記事では、FIDO認証の基本的な仕組みから、中小企業にとっての必要性、導入するメリット・デメリットまでをわかりやすく解説します。

次世代認証技術である「FIDO認証」とは何か？

FIDO認証は、これまでの認証方式が抱えていた課題を解決するために生まれました。

ここでは、FIDO認証の基本的な定義から、従来の認証との違い、具体的な利用シーン、そして普及が進んでいる背景について掘り下げていきます。

FIDO認証とは

FIDO認証とは、「Fast IDentity Online」の略称で、新しいオンライン認証技術の標準規格です。

なお、「FIDO」の読み方は「ファイド」です。

FIDO認証は、公開鍵暗号方式を用いた認証方式の一種である。認証に必要な秘密情報は認証を行う端末側のみに保存され、ネットワーク上での伝送やサーバー側での保存の必要がないことを特徴とする。

出典）厚生労働省「次世代認証技術「FIDO」」p.1

この規格は、Google、Microsoft、Apple、Amazonといった世界的なIT企業や金融機関などが加盟する非営利団体「FIDO Alliance（ファイド アライアンス）」によって策定されました。

FIDO認証の最大の目的は、パスワードを使わずに、より安全で便利な本人認証を実現することにあります。

利用者は、指紋や顔などの生体認証、あるいはPINコードといった、デバイスに備わった認証機能を用いて本人確認を行います。

これにより、サービスごとに複雑なパスワードを記憶・管理する必要がなくなり、セキュリティだけでなく利便性も大幅に向上するでしょう。

FIDO認証はこれまでの認証と何が違うのか

FIDO認証と従来の認証方式との最も大きな違いは、IDやパスワードといった「認証に必要な情報」をサーバー側で管理しない点です。

出典）内閣府「これまでの認証とFIDOの違い」p.1

従来のID・パスワード認証では、サーバー上にパスワード情報を保管し、ログイン時に入力された情報と照合していました。

この方式は、サーバーがサイバー攻撃を受けた際にパスワードがまとめて盗まれるリスクを抱えています。

一方、FIDO認証は「公開鍵暗号方式」という技術を利用します。

利用者の生体情報やPINコードはデバイス内で処理が完結し、認証に必要な「秘密鍵」もデバイスから外に出ることはありません。

サーバー側は「公開鍵」のみを保管し、認証の検証を行う仕組みです。

これにより、万が一サーバーから情報が漏洩しても、サーバー側には「盗まれても問題のない情報」しかないため、不正ログインにつながる心配がありません。

FIDO認証が利用されている場面

FIDO認証は、すでに私たちの身近なサービスで広く活用されており、特に、セキュリティと利便性の両立が求められる場面での導入が進んでいます。

代表的な例としては、以下のようなケースが挙げられます。

• OSへのサインイン
• Webサービスへのログイン
• ネットバンキングのログイン認証
• クレジットカードのオンライン決済認証
• グループウェアやVPNへのログイン

なぜFIDO認証が広まっている理由

FIDO認証が急速に普及している背景には、いくつかの重要な理由が存在します。

第一に、従来のパスワード認証が限界に達していることです。

巧妙化するサイバー攻撃に対し、利用者が安全なパスワードを複数管理することは非常に困難であり、パスワードの使い回しによる被害が後を絶ちません。

第二に、ユーザーの利便性が格段に向上することです。

パスワードを思い出す手間や入力ミスから解放され、生体認証などで瞬時にログインできるという利便性は、サービスからの離脱を防ぐ効果も期待できます。

そして第三の理由として、2022年にApple・Google・Microsoftが、パスワードレスサインインの利用促進に向けてFIDO標準のサポート拡大を表明したことです。

これにより、OSやブラウザのレベルでFIDO認証が標準サポートされ、多くの開発者やサービス提供者が導入しやすくなりました。

FIDO認証の仕組み

FIDO認証の安全性と利便性を支えているのが、「公開鍵暗号方式」を利用した電子署名の技術です。

この仕組みを理解することで、なぜFIDO認証がパスワードよりも安全なのかが明確になります。

まず、認証の前提として、FIDO認証では対となる2つの鍵、「秘密鍵」と「公開鍵」が生成されます。

秘密鍵とは、利用者が持つ認証器の中に保管される、誰にも知られてはいけない鍵です。

認証器とは、スマートフォンやPC、専用のセキュリティキーなど、認証処理を行うデバイスやソフトウェアを指します。

秘密鍵は、多くの場合、OS内の独立した安全な領域で保護されており、外部から不正に読み取ることはできません。

公開鍵とは、秘密鍵とペアになる鍵で、こちらはサービス提供者のサーバーに登録されます。

他者に知られても安全上の問題はありません。

この2つの鍵には、「秘密鍵で作成された電子署名は、対となる公開鍵でのみ正当性を検証できる」という重要な性質があります。

【ユーザー登録時の流れ】 利用者がサービスへの登録を開始すると、利用者の認証器の内部で「秘密鍵」と「公開鍵」のペアが自動的に生成される。 利用者は、その認証器の生体認証（指紋や顔）やPINコードで本人確認を行う。 本人確認が成功すると、生成された「公開鍵」のみがサービス提供者のサーバーへ送信され、「秘密鍵」は認証器の中から一切移動しない。

【ログイン（認証）時の流れ】 利用者がサービスにログインしようとすると、サーバーから「チャレンジ」と呼ばれる、一度きりのランダムなデータが認証器に送られる。 利用者は、登録時と同様に認証器の生体認証などで本人確認を行う。 本人確認が成功すると、認証器は保管している「秘密鍵」を使い、サーバーから送られてきた「チャレンジ」を含むデータに対して「電子署名」を作成する。 作成された電子署名がサーバーへ送り返され、サーバーは、登録時に預かっていた「公開鍵」を使って、送られてきた電子署名を「検証」する。

このような流れで検証が行われ、成功すれば、正しい認証器から正しい利用者によるアクセスであると判断され、ログインが許可される仕組みです。

この一連の流れにおいて、パスワードや生体情報そのものがネットワーク上を流れることは一切ありません。

そのため、通信を盗聴されたり、サーバーが攻撃されたりしても、認証情報が漏洩するリスクを根本から排除できるのです。

FIDO認証の種類

FIDO認証の規格は、技術の進化とともに発展してきました。

それぞれの規格は、利用シーンや認証方法に特徴があります。

ここでは、主要な3つの規格である「FIDO UAF」「FIDO U2F」「FIDO2」について、それぞれの特徴を解説します。

FIDO UAF

FIDO UAFは「Universal Authentication Framework」の略で、主にスマートフォンアプリなどでのパスワードレス認証を実現するために策定された初期の規格です。

UAFの最大の特徴は、完全にパスワードを使わない点にあります。

利用者は、スマートフォンの指紋センサーや顔認証カメラといったデバイスに搭載された生体認証機能を使い、本人確認を行います。

登録時に生体認証とデバイスをサービスに紐付けることで、以降のログインではパスワードの入力が一切不要となります。

手軽に高度なセキュリティを実現できるため、モバイルバンキングアプリなどで広く採用されてきました。

FIDO U2F

FIDO U2Fは「Universal 2nd Factor」の略で、従来のID・パスワード認証を強化するための2段階認証として利用される規格です。

U2Fでは、IDとパスワードで1段階目の認証を行った後、2段階目の認証として物理的な「セキュリティキー」を使用します。

このセキュリティキーはUSBやNFC、BluetoothでPCやスマートフォンに接続し、キーにタッチすることで認証が完了します。

IDとパスワードが万が一漏洩してしまっても、本人しか持っていない物理キーがなければログインできないため、不正アクセスを強力に防ぐことが可能です。

FIDO2

FIDO2は、これまでのUAFとU2Fの利点を統合し、さらに発展させた最新の規格で、「WebAuthn（Web Authentication）」と「CTAP（Client to Authenticator Protocol）」という2つの技術で構成されています。

WebAuthnは、WebブラウザがFIDO認証を利用するための標準APIであり、これにより専用アプリをインストールしなくてもWebサイトでパスワードレス認証が可能になりました。

CTAPは、PCやスマートフォンが外付けのセキュリティキーと通信するためのプロトコルです。

このFIDO2の登場により、Webブラウザを介した利便性の高いパスワードレス認証が一般化し、近年話題の「パスキー」技術の基盤となっています。

FIDO認証のメリット

FIDO認証を導入することは、サービス提供者と利用者の双方に多くのメリットをもたらします。

ここでは、利便性の向上、セキュリティの強化、そして対応デバイスの多様性という3つの観点から、FIDO認証のメリットを具体的に解説します。

パスワードレスによって利便性が向上する

FIDO認証の最もわかりやすいメリットは、パスワード管理の煩わしさから解放されることです。

多くの人は、複数のサービスで異なる複雑なパスワードを記憶し、定期的に変更することを強いられています。

これにより、パスワードを忘れてしまったり、再設定に手間取ったりといったストレスを感じることが少なくありません。

FIDO認証を導入すれば、指紋をセンサーにかざしたり、スマートフォンに顔を向けたりするだけで、瞬時にログインが完了します。

パスワードの入力ミスもなくなるため、ログインプロセスが非常にスムーズになり、ユーザー体験が大きく向上します。

中小企業にありがちなパスワード使い回し文化を解消できる

中小企業では、管理の目が行き届きにくいことや、従業員一人ひとりのITリテラシーに差があることから、パスワードの使い回しが常態化しているケースも珍しくありません。

たとえば、複数のクラウドサービスで同じパスワードを設定したり、部署内で安易にパスワードを共有したりといった「文化」が根付いていると、ひとたび情報が漏洩した際に被害が甚大なものとなります。

FIDO認証は、前述の通りパスワードが不要になるため、物理的に「使い回す」という行為自体が発生しません。

したがって、必然的にパスワードの使い回しを根本から断ち切ることができます。

セキュリティリスクが低減する

FIDO認証は、セキュリティ面で従来の認証方式よりも格段に優れています。

パスワードを使わないため、以下のような一般的なサイバー攻撃を根本的に無効化することが可能です。

• 他のサービスから漏洩したID・パスワードの組み合わせを試す「パスワードリスト型攻撃」
• 考えられるすべてのパターンを試す「ブルートフォース攻撃」

また、認証情報がサーバーとデバイス間で直接やり取りされないため、フィッシング詐欺に対する耐性も極めて高いです。

サーバー側ではパスワードや生体情報そのものを保管しないため、万が一サーバーが不正アクセスを受けても、被害を最小限に食い止められるでしょう。

さまざまなデバイスで利用できる

FIDO認証は、特定の企業や製品に依存しないオープンな標準規格であることが大きな強みです。

そのため、さまざまなメーカーのデバイスで利用することができます。

パソコン	Windows Hello対応の顔認証・指紋認証センサー、MacのTouch IDなど
スマートフォン/タブレット	各社の指紋認証センサー、顔認証機能など
ウェアラブルデバイス	スマートウォッチなど

このように、利用者が普段使っている多種多様なデバイスを認証器として活用できるため、導入のハードルが低い点もメリットです。

OSやブラウザの標準機能としてサポートが進んでいることも、利用範囲の拡大を後押ししています。

FIDO認証のデメリット

多くの利点を持つFIDO認証ですが、導入や運用にあたっては考慮すべきデメリットも存在します。

特に、認証に利用するデバイスへの依存度が高まる点や、それに伴うコストについては、事前に理解しておきましょう。

デバイスを紛失すると対処が大変になる

FIDO認証は、認証の要となる秘密鍵をデバイス内に保管するため、そのデバイスへの依存度が非常に高くなります。

もし認証器として登録しているスマートフォンを紛失したり、壊してしまったりすると、サービスにログインできなくなる可能性があります。

このリスクに対処するためには、以下のような対策が不可欠です。

• 事前に複数のデバイスを認証器として登録しておく（たとえば、メインのスマートフォンとサブのタブレット、PCなど）
• もしもの時のために回復キーや代替の認証方法を設定しておく

上記のような準備を怠ると、アカウントの復旧に時間と手間がかかる場合があるため注意しましょう。

専用デバイスが必要になる場合がある

FIDO認証を利用するには、指紋センサーや顔認証カメラといった生体認証機能が搭載されたデバイスや、FIDO2に対応したセキュリティキーが必要です。

近年販売されているスマートフォンやPCの多くは、標準で生体認証機能を備えていますが、古いモデルのPCなどでは対応しておらず、別途USB接続などの外付けセキュリティキーを購入しなければならないケースがあります。

企業が全従業員にFIDO認証を導入する場合、従業員が所有するデバイスの仕様がバラバラであったり、生体認証に対応していないデバイスを使っていたりすると、全社一律での導入が難しくなるでしょう。

その際は、セキュリティキーを配布するための追加コストが発生する可能性があります。

中小企業にFIDO認証は必要なのか

結論から言うと、セキュリティ対策と業務効率化の両面から、中小企業にとってもFIDO認証の導入を検討する価値は非常に高いです。

まず、FIDO認証を導入することで、従業員のパスワード管理に関する負担とリスクを大幅に軽減できるという利点があります。

「パスワードを忘れた」という問い合わせは、情報システム担当者にとって日常的な業務負担となっています。

しかしFIDO認証を導入すれば、パスワードリセットの対応業務が削減され、担当者はより生産的な業務に集中できるようになるでしょう。

セキュリティ面では、中小企業もサイバー攻撃の例外ではありません。

むしろ、セキュリティ対策が手薄になりがちな中小企業こそ、攻撃者にとって格好の標的となります。

特に、従業員によるパスワードの使い回しや単純なパスワードの設定は、不正アクセスの大きな原因です。

FIDO認証は、フィッシング詐欺やリスト型攻撃といった一般的な攻撃手法に極めて強く、導入するだけで認証セキュリティのレベルを飛躍的に向上させることができます。

情報漏洩などのセキュリティインシデントが発生した場合の事業への損害を考えれば、FIDO認証は有効な投資と言えるでしょう。

もちろん、導入にはコストがかかります。

従業員全員にセキュリティキーを配布するとなれば、その費用は無視できません。

しかし、近年では多くの従業員がFIDO認証に対応したスマートフォンを所有しており、追加のハードウェアなしで導入できるケースも増えています。

クラウド型の認証サービスを利用すれば、自社でサーバーを構築・管理することなく、比較的低コストで導入することも可能です。

セキュリティインシデントによる損害額や、パスワード管理にかかる人件費といった「見えないコスト」と比較し、メリットの方が大きい場合は、導入を検討するようにしてください。

まとめ

以上、次世代認証技術であるFIDO認証について、その仕組みからメリット・デメリット、そして中小企業における必要性までを幅広く解説しました。

FIDO認証は、パスワードに依存する従来の認証方式が抱えるセキュリティ上の脆弱性を克服し、利用者の利便性を大きく向上させる画期的な技術です。

セキュリティの強化と業務効率の改善は、企業の規模を問わず重要な経営課題ですが、FIDO認証は、その両方を実現する強力なソリューションだと言えます。