FIDO2 が定義されています
FIDO2 (Fast IDentity Online 2) は、ユーザー 認証 のオープン標準であり、ユーザーがオンライン サービスにサインインして全体的な信頼を高める方法を強化することを目的としています。FIDO2 は、フィッシングに強い暗号化資格情報を使用してユーザー ID を検証することで、セキュリティを強化し、個人や組織をサイバー犯罪から保護します。
FIDO2 は、Microsoft およびその他のテクノロジ、商用、政府機関の業界コンソーシアムである FIDO Alliance によって開発された最新のオープン認証標準です。2014 年に FIDO 1.0 認証標準がリリースされ、フィッシングに強い多要素認証 (MFA) が導入され、最新のパスワードレス認証標準 FIDO2 (FIDO 2.0 または FIDO 2 とも呼ばれます) が 2018 年にリリースされました。
パスキーとは何ですか? また、FIDO2 とどのように関連していますか?
パスワードは、どの程度長く、複雑で、どれだけ頻度に変更されていても、意図的に共有されるかどうかにかかわらず、侵害される可能性があります。強力なパスワード 保護ソリューションを使用しても、すべての組織は、パスワードが盗まれるフィッシング、ハッキング、その他のサイバー攻撃のリスクがあります。パスワードが悪用されると、オンラインアカウント、デバイス、ファイルへの不正アクセスに使用される可能性があります。
パスキーは、公開キー暗号化を使用して作成される FIDO2 サインイン資格情報です。パスワードの効果的な代替手段として、サポートされている Web アプリケーションや Web サイトへのサインインを従来の方法よりも使いやすくしながら、サイバーセキュリティを強化します。
FIDO2 パスワードレス認証では、暗号アルゴリズムを使用して、プライベート パスキーとパブリック パスキーのペア (数学的に関連する長い乱数 ) を生成します。キー ペアは、デスクトップ コンピューター、ノート PC、携帯電話、セキュリティ キーなど、エンド ユーザーのデバイスでユーザー認証を直接実行するために使用されます。パスキーは、1 つのユーザー デバイスにバインドすることも、クラウド サービスを介してユーザーの複数のデバイス間で自動的に同期することもできます。
FIDO2 認証はどのようなしくみですか?
FIDO2 パスワードレス認証は、一般に、アカウント認証の最初の要素と第 1 要素としてパスキーを使用することで機能します。つまり、ユーザーが FIDO2 でサポートされているオンライン サービスに登録すると、認証を実行するために登録されたクライアント デバイスによって、その Web アプリまたは Web サイトでのみ機能するキー ペアが生成されます。
公開キーは暗号化され、サービスと共有されますが、秘密キーはユーザーのデバイス上で安全に保持されます。その後、ユーザーがサービスにサインインしようとするたびに、サービスはクライアントに固有の課題を提示します。クライアントはパスキー デバイスをアクティブ化して、秘密キーを使用して要求に署名し、それを返します。これにより、プロセスはフィッシングから暗号的に保護されます。
FIDO2 認証子の種類
デバイスで一意の FIDO2 パスキーのセットを生成する前に、アクセスを要求しているユーザーが承認されていないユーザーまたはマルウェアの種類ではないことを確認する必要があります。これは、PIN、生体認証、またはその他のユーザー ジェスチャを受け入れることができるデバイスである認証システムを使用して行われます。
FIDO 認証システムには、次の 2 種類があります:
ローミング (またはクロスプラットフォーム) 認証子
これらの認証子は、ユーザーのクライアント デバイスとは別のポータブル ハードウェア デバイスです。ローミング認証子には、USB プロトコルまたは近距離通信 (NFC) と Bluetooth ワイヤレス テクノロジを介してクライアント デバイスに接続するセキュリティ キー、スマートフォン、タブレット、耐久性、およびその他のデバイスが含まれます。ユーザーは、FIDO キーを接続してボタンを押すか、スマートフォンで指紋などの生体認証を提供するなど、さまざまな方法で ID を確認します。 ローミング認証子は、ユーザーが複数のコンピューターでいつでも、どこでも認証できるため、クロスプラットフォーム認証子とも呼ばれます。
プラットフォーム (またはバインドされた) 認証子
これらの認証子は、デスクトップ、ノート PC、タブレット、スマートフォンなど、ユーザーのクライアント デバイスに組み込まれています。パスキーを保護するための生体認証機能とハードウェア チップで構成されるプラットフォーム認証システムでは、ユーザーがクライアント デバイスを使用して FIDO でサポートされているサービスにサインインし、同じデバイス (通常は生体認証または PIN) を使用して認証する必要があります。
生体認証データを使用するプラットフォーム認証システムの例としては、Microsoft Windows Hello、Apple Touch ID と Face ID、Android 指紋などがあります。
FIDO2 でサポートされているサービスに登録してサインインする方法:
FIDO2 認証で提供される強化されたセキュリティを利用するには、次の基本的な手順に従います:
FIDO2 でサポートされているサービスに登録する方法:
手順 1:サービスに登録するときに、サポートされている FIDO 認証方法を選択するように求められます。
手順 2:PIN の入力、指紋リーダーへのタッチ、FIDO2 セキュリティ キーの挿入など、認証子がサポートする簡単なジェスチャを使用して FIDO 認証システムをアクティブにします。
手順 3:認証子がアクティブになると、デバイスによって、デバイス、アカウント、サービスに固有の秘密キーと公開キーのペアが生成されます。
手順 4:ローカル デバイスには、秘密キーと、認証方法に関連する機密情報 (生体認証データなど) が安全に格納されます。公開キーは暗号化され、ランダムに生成された資格情報 ID と共にサービスに登録され、認証サーバーに格納されます。
FIDO2 でサポートされているサービスにサインインする方法:
手順 1:サービスは、ユーザーの存在を確認するために暗号化チャレンジを発行します。
手順 2:メッセージが表示されたら、アカウント登録時に使用したのと同じ認証ジェスチャを実行します。ジェスチャーでプレゼンスを確認すると、デバイスはデバイスにローカルに保存されている秘密キーを使用してチャレンジに署名します。
手順 3:デバイスは、署名されたチャレンジをサービスに返送し、安全に登録された公開キーを使用して検証します。
手順 4:完了すると、ログイン状態になります。
FIDO2 認証の利点は何ですか?
-
セキュリティを強化する
FIDO2 パスワードレス認証は、一意のパスキーに依存することで、ログインのセキュリティを大幅に向上させます。FIDO2 を使用すると、ハッカーはフィッシング、ランサムウェア、およびその他の一般的なサイバー攻撃を通じて、この機密情報に簡単にアクセスすることはできなくなります。生体認証キーと FIDO2 キーは、テキスト メッセージを介してワンタイム パスコード (OTP) を送信するなど、従来の多要素認証方法の脆弱性を排除するのにも役立ちます。
-
ユーザーのプライバシーを強化する
FIDO 認証は、ユーザー デバイスに秘密暗号化キーと生体認証データを安全に格納することで、ユーザーのプライバシーを強化します。さらに、この認証方法では一意のキー ペアが生成されるため、サービス プロバイダーがサイト間でユーザーを追跡するのを防ぐことができます。また、生体認証データの悪用の可能性に関する消費者の懸念に応えて、政府機関は、組織が生体認証情報を販売または共有することを禁止するプライバシー法を施行しています。
-
使いやすさを高める
FIDO 認証を使用すると、個人は FIDO2 キー、認証アプリ、またはデバイスに埋め込まれた指紋リーダーまたはカメラを使用して、迅速かつ便利に ID を認証できます。ユーザーは 2 番目または 3 番目のセキュリティ手順 (ID 検証に複数の生体認証が必要な場合など) を実行する必要がありますが、パスワードの作成、記憶、管理、リセットに関連する時間と手間を省くことができます。
-
スケーラビリティの向上
FIDO2 は、企業やその他の組織が世界中でパスワードレス認証方法をスケーリングできるようにする、オープンでライセンス不要の標準です。FIDO2 を使用すると、選択したブラウザーとプラットフォームに関係なく、セキュリティで保護された合理化されたサインイン エクスペリエンスをすべての従業員、顧客、パートナーに提供できます。
-
アクセス管理の簡素化
IT チームはパスワード ポリシーとインフラストラクチャをデプロイおよび管理する必要がなくなり、コストを削減し、より価値の高いアクティビティに集中できるように解放します。また、パスワードのリセットなどのパスワードベースの要求をサポートする必要がないため、ヘルプ デスク担当者の生産性が向上します。
-
WebAuthn と CTAP2 とは?
FIDO2 仕様のセットには、次の 2 つのコンポーネントがあります:Web 認証 (WebAuthn) とクライアント認証プロトコル 2 (CTAP2)。 メイン コンポーネントである WebAuthn は、登録されたデバイス が FIDO2 認証を実行できるように、準拠している Web ブラウザーとプラットフォームで実装される JavaScript API です。World Wide Webの国際標準組織である World Wide Web Consortium (W3C) は、FIDO Alliance と提携して WebAuthn を開発しました。WebAuthn は、2019 年に正式な W3C Web 標準になりました。
FIDO Alliance によって開発された 2 番目のコンポーネント CTAP2 では、FIDO2 セキュリティ キーやモバイル デバイスなどのローミング認証子が FIDO2 でサポートされているブラウザーとプラットフォームと通信できるようにします。
FIDO U2F と FIDO UAF とは?
FIDO2 は、2014 年に提携によってリリースされた最初の FIDO 認証仕様である FIDO 1.0 から進化しました。これらの元の仕様には、FIDO Universal Second Factor (FIDO U2F) プロトコルと FIDO ユニバーサル認証フレームワーク (FIDO UAF) プロトコルが含まれていました。
FIDO U2F と FIDO UAF はどちらも多要素認証の形式であり、ユーザーを検証するには 2 つまたは 3 つの証拠 (または要因) が必要です。これらの要因には、ユーザーのみが知っている (パスコードや PIN など)、所有しているもの (モバイル デバイス上の FIDO キーや認証アプリなど)、または存在するもの (生体認証など) も含まれます。
これらの仕様の詳細については、以下を参照してください:
FIDO U2F
FIDO U2F は、2 要素認証 (2FA) を使用してパスワードベースの承認標準を強化し、2 つの証拠でユーザーを検証します。FIDO U2F プロトコルでは、個人が最初の要素として有効なユーザー名とパスワードの組み合わせを提供し、次に USB、NFC、または Bluetooth デバイスを 2 番目の要素として使用する必要があります。通常は、時間の影響を受ける OTP でボタンを押すかキー入力して認証します。
FIDO U2F は CTAP 1 の後継であり、個人は FIDO キーに加えてモバイル デバイスを第 2 要素デバイスとして使用できるようにする CTAP2 の前身です。
FIDO UAF
FIDO UAF は、多要素のパスワードレス認証を容易にします。最初の要素として、FIDO に登録されたクライアント デバイス (指紋や顔スキャンなどの生体認証チェックや PIN を使用してユーザーのプレゼンスを確認) でサインインする必要があります。その後、デバイスは 2 番目の要素として一意のキーペアを生成します。Web サイトまたはアプリでは、生体認証やユーザーの地理的な場所など、3 番目の要素を使用することもできます。
FIDO UAF は、FIDO2 パスワードレス認証の前身です。
FIDO2 を実装する方法
WEB サイトやアプリに FIDO2 標準を実装するには、組織に最新のハードウェアとソフトウェアが必要です。幸いなことに、Microsoft Windows、Apple iOS、MacOS、Android システムを含むすべての主要な Web プラットフォームと、Microsoft Edge、Google Chrome、Apple Safari、Mozilla Firefox など、すべての主要な Web ブラウザーは FIDO2 をサポートしています。ID とアクセス管理 (IAM) ソリューションでは、FIDO2 認証もサポートされている必要があります。
一般に、新規または既存の Web サイトとアプリに FIDO2 認証を実装するには、次の重要な手順が必要です:
- ユーザー ログイン エクスペリエンスと認証方法を定義し、アクセス制御ポリシーを設定します。
- 適切な FIDO プロトコル仕様を使用して、登録ページとサインイン ページを新規作成または既存のものを変更します。
- FIDO 登録と認証要求を認証するように FIDO サーバーを設定します。FIDO サーバーは、スタンドアロン サーバー、Web サーバーまたはアプリケーション サーバーと統合することも、IAM モジュールとして提供することもできます。
- 新しい認証ワークフローを構築するか、既存の認証ワークフローを変更します。
FIDO2 と生体認証
生体認証では、個人の固有の生体特性または行動特性を使用して、個人が本人であることを確認します。生体認証データは収集され、シークレット アルゴリズムでのみアクセスできる生体認証テンプレートに変換されます。個々のユーザーがサインインしようとすると、システムによって情報が再キャプチャされ、変換され、格納されている生体認証と比較されます。
生体認証の例を次に示します:
生物学的
- 指紋スキャン
- 網膜スキャン
- 音声認識
- DNA 照合
- 静脈スキャン
行動
- タッチスクリーンの使用
- 入力速度
- キーボード ショートカット
- マウス アクティビティ
生体認証は、今日のハイブリッドなデジタル ワークプレイスの現実です。従業員は、どこを選択してもすばやく安全に認証できる柔軟性があることを気に入っています。このような企業は、攻撃対象を大幅に減らし、データやシステムを標的にする可能性のあるサイバー犯罪を阻止します。
しかし、生体認証は完全にハッカーに対抗できるわけではありません。たとえば、悪意のある人物は、写真や指紋などの他の人の生体認証データを使用して、その個人になりすますことができます。または、複数の指紋スキャンを組み合わせて、複数のユーザー アカウントにアクセスできるようにするプライマリ スキャンを作成することもできます。
生体認証の欠点は他にもあります。たとえば、顔認識システムの中には、女性や有色人種に対して固有の偏りがあります。さらに、一部の組織では、エンドユーザー デバイスではなく、データベース サーバーに生体認証データを格納することを選択し、セキュリティとプライバシーに関する疑問が生じさせます。それでも、多要素生体認証は、ユーザー ID を検証するために現在使用できる最も安全な方法の 1 つです。
FIDO2 認証の例
-
銀行、金融サービス、および保険
機密性の高いビジネス データと顧客データを保護するために、企業オフィスで働く従業員は、多くの場合、会社が提供するデスクトップまたはプラットフォーム認証システムを備えたノート PC を使用します。会社のポリシーでは、これらのデバイスを個人使用に使用することは禁止されています。オンサイト ブランチとコール センターの従業員は、共有デバイスを頻繁に使用し、ローミング認証子を使用して ID を確認します。
-
航空機産業と航空会社
これらの業界の組織は、さまざまな設定で作業し、さまざまな責任を負う個人にも対応する必要があります。エグゼクティブ、人事、およびその他のオフィスベースの従業員は、多くの場合、専用のデスクトップとノート PC を使用し、プラットフォームまたはローミング認証システムで認証します。空港ゲート エージェント、飛行機整備士、クルーのメンバーは、多くの場合、個人のスマートフォンでハードウェア セキュリティ キーまたは認証アプリを使用して、共有タブレットまたはワークステーションでの認証を行います。
-
製造
製造施設の物理的なセキュリティを確保するために、承認された従業員やその他の個人は、FIDO2 対応スマートカードや FIDO2 キーなどのローミング認証システムを使用するか、登録された個人のスマートフォンをプラットフォーム認証子に使用してドアのロックを解除します。さらに、製品設計チームは、専用のデスクトップまたはノート PC とプラットフォーム認証子を使用して、独自の情報を含むオンライン設計システムにアクセスすることがよくあります。
-
緊急サービス
政府機関やその他の緊急サービス プロバイダーは、指紋スキャンや虹彩スキャンを使用して、常にパラメーターやその他の最初の応答者を認証できるとは限りません。多くの場合、これらの個人は、オンライン サービスにすばやくアクセスする必要があるのと同時に、手袋または目の保護具を装着しています。このような場合は、代わりに音声認識システムによって識別されます。スマートフォンで耳の形状をスキャンするための新しいテクノロジも使用できます。
FIDO2 を使用して安心のセキュリティを作成する
パスワードレス認証 は、すぐに IAM のベスト プラクティスになりつつあります。FIDO2 を採用することで、信頼できる標準を使用して、ユーザーが自分自身であることを確認できます。
FIDO2 の使用を開始するには、本人確認に関する特定の組織および業界の要件を慎重に評価します。次に、Microsoft Entra ID (旧称 Azure Active Directory) を使用して FIDO2 の実装を効率化します。 Microsoft Entra ID のパスワードレス メソッド ウィザードを使用すると、Windows Hello for Business、Microsoft Authenticator アプリ、および FIDO2 セキュリティ キーの管理が簡単になります。
Microsoft Security に関する詳細情報
よく寄せられる質問
-
FIDO2 は (Fast IDentity Online 2) の略で、FIDO Alliance によってリリースされた最新のオープン認証標準を表します。Microsoft およびその他のテクノロジー、商用、政府機関で構成されるこの提携により、World Wide Web でのパスワードの使用を排除しようとしています。
FIDO2 仕様には Web 認証 (WebAuthn) が含まれています。Web API は、オンライン サービスが FIDO2 プラットフォーム認証子 (Web ブラウザーやプラットフォームに埋め込まれている指紋認識テクノロジーや顔認識テクノロジーなど) と通信できるようにする Web API です。FiDO Alliance と提携して World Wide Web Consortium (W3C) によって開発された WebAuthn は、正式な W3C 標準です。
FIDO2 には、提携によって開発された Client-to-Authenticator Protocol 2 (CTAP2) も含まれています。CTAP2 は、ローミング認証子 (外部 FIDO2 セキュリティ キーやモバイル デバイスなど) を、USB、BLE、または NFC を介して FIDO2 クライアント デバイスに接続します。
-
FIDO2 は、モバイル環境とデスクトップ環境で多要素パスワードレス認証を行うオープンでライセンス不要の標準です。FIDO2 は、パスワードの代わりに公開キー暗号化を使用してユーザー ID を検証し、フィッシング、マルウェア、その他のパスワードベースの攻撃によってユーザー資格情報を盗もうとするサイバー犯罪を阻止します。
-
FIDO2 認証の利点には、セキュリティとプライバシーの強化、ユーザー フレンドリーなエクスペリエンス、スケーラビリティの向上などがあります。FIDO2 は、ユーザー名とパスワードの管理に関連するワークロードとコストを削減することで、IT チームとヘルプデスク スタッフのアクセス制御も簡素化します。
-
FIDO2 キーは FIDO2 セキュリティ キーとも呼ばれ、2 要素認証と多要素認証に必要な物理ハードウェア デバイスです。ローミング FIDO 認証システムとして機能し、USB、NFC、または Bluetooth を使用して FIDO2 クライアント デバイスに接続し、ユーザーがオフィス、自宅、または別の設定で複数のコンピューターで認証できるようにします。
クライアント デバイスは、FIDO2 キーを使用して指紋リーダーに触れる、ボタンを押す、PIN を入力するなど、ジェスチャを作成するようにユーザーに求めることで、ユーザーの ID を確認します。FIDO2 キーには、プラグイン キー、スマートフォン、タブレット、ウェアラブル、およびその他のデバイスが含まれます。
-
組織は、独自のセキュリティ、ロジスティック、および業界の要件に基づいて FIDO2 認証方法をデプロイします。
たとえば、銀行や研究主導の製造元では、多くの場合、会社が提供する業務用のデスクトップとプラットフォーム認証システムを搭載したノート PC を使用するとがオフィスベースの従業員やその他の従業員に求められる場合があります。航空会社のクルーや緊急対応チームなど、外出先にいる組織は、共有タブレットやワークステーションにアクセスし、スマートフォンでセキュリティ キーまたは認証アプリを使用して認証を行うことがよくあります。
Microsoft 365 をフォローする