This is the Trace Id: fcd5821e113d07a66e53cb94e0548704
メイン コンテンツへスキップ Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel すべての製品を表示 AI 搭載のサイバーセキュリティ クラウド セキュリティ データ セキュリティとガバナンス ID とネットワーク アクセス プライバシーとリスク管理 AI 対応のセキュリティ 中小規模企業 統合セキュリティ オペレーション ゼロ トラスト 価格 サービス パートナー Microsoft Security が選ばれる理由 サイバーセキュリティ意識向上 お客様導入事例 セキュリティ 101 製品試用版 業界での評価 Microsoft Security Insider Microsoft Digital Defense Report Security Response Center Microsoft Security のブログ Microsoft Security のイベント Microsoft Tech Community ドキュメント 技術コンテンツ ライブラリ トレーニングと認定 Compliance Program for Microsoft Cloud Microsoft トラスト センター Service Trust Portal Microsoft セキュア フューチャー イニシアティブ ビジネス ソリューション ハブ 営業に問い合わせる 無料試用を開始する Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Mixed Reality Microsoft HoloLens Microsoft Viva 量子コンピューティング 持続可能性 教育機関 自動車 金融サービス 行政機関 医療 製造業 小売業 パートナーを探す パートナーになる パートナー ネットワーク Microsoft Marketplace Marketplace Rewards ソフトウェア開発会社 ブログ Microsoft Advertising デベロッパー センター ドキュメント イベント ライセンス Microsoft Learn Microsoft Research サイトマップの表示
モダンなオフィスまたはワークスペースの環境で、デニム ジャケット姿の人物がブラインド付きの窓の近くに立ち、手に持ったスマートフォンを見ています。

FIDO2 とは?

FIDO2 パスワードレス認証の基本知識として、機能するしくみや、オンライン攻撃から個人と組織を保護するのに役立つ理由などを説明します。
パスワードレス認証を使ってリスクを軽減する

FIDO2 の定義

FIDO2 (Fast IDentity Online 2) は、ユーザー 認証のオープンな標準です。オンライン サービスに対するユーザーのサインイン方法を強化し、全体的な信頼を高めることを目的としています。FIDO2 は、フィッシングに強い暗号化資格情報を使用してユーザー ID を検証することで、セキュリティを強化し、個人や組織をサイバー犯罪から保護します。

FIDO2 は、Microsoft およびその他のテクノロジ、商用、政府機関の業界コンソーシアムである FIDO Alliance によって開発された最新のオープン認証標準です。フィッシングに強い多要素認証 (MFA) を導入する FIDO 1.0 認証標準は 2014 年にリリースされ、最新のパスワードレス認証標準である FIDO2 (FIDO 2.0 または FIDO 2 とも呼ばれる) は 2018 年にリリースされました。

パスキーとは何ですか? また、FIDO2 とどのように関連していますか?

パスワードの長さ、複雑さ、変更頻度をどれほど強化しても、そのパスワードが意図的にまたは意図せずに共有されて侵害を受ける可能性はなくなりません。強力なパスワード 保護ソリューションを使用しても、すべての組織は、パスワードが盗まれるフィッシング、ハッキング、その他のサイバー攻撃のリスクがあります。悪意を持つ者にパスワードが知られれば、オンライン アカウント、デバイス、ファイルへの不正アクセスに使用される可能性があります。

パスキーは、公開キー暗号化を使って作成される FIDO2 サインイン資格情報です。パスワードの効果的な代替手段として、サイバーセキュリティを強化しつつ、サポートされている Web アプリケーションや Web サイトへのサインインを従来の方法よりも使いやすくすることができます。

FIDO2 パスワードレス認証では、暗号アルゴリズムによって生成したプライベート パスキーとパブリック パスキーの組 (数学的な関連性を持つ 2 つの長い乱数) が使われます。エンド ユーザーのデバイス (デスクトップ コンピューター、ノート PC、携帯電話、セキュリティ キーなど) 上で直接にキーの組を使ってユーザー認証が実行されます。パスキーは、単一のユーザー デバイスに紐付けられる場合もあれば、クラウド サービスを介してユーザーの複数のデバイス間で自動的に同期される場合もあります。

FIDO2 認証はどのようなしくみですか?

FIDO2 パスワードレス認証では、パスキーがアカウント認証の最初かつ最重要の要素として使われるのが一般的です。つまり、ユーザーが FIDO2 でサポートされているオンライン サービスに登録すると、認証を実行するために登録されたクライアント デバイスによって、その Web アプリまたは Web サイトでのみ機能するキー ペアが生成されます。

公開キーは暗号化され、サービスと共有されますが、秘密キーはユーザーのデバイス上で安全に保持されます。その後、ユーザーがサービスにサインインしようとするたびに、サービスはクライアントに固有の課題を提示します。クライアントはパスキー デバイスをアクティブ化して、秘密キーを使用して要求に署名し、それを返します。このしくみにより、プロセスは暗号を使ってフィッシングから保護されます。

FIDO2 認証子の種類

デバイスが一意の FIDO2 パスキーの組を生成する際は、その前に、アクセスを要求しているユーザーが不正ユーザーや何らかのマルウェアではないことを確認する必要があります。これは、PIN、生体認証、またはその他のユーザー ジェスチャを受け入れることができるデバイスである認証システムを使用して行われます。

FIDO 認証子には以下の 2 種類があります。

ローミング (またはクロスプラットフォーム) 認証子

これらの認証子は、ユーザーのクライアント デバイスとは別のポータブルなハードウェア デバイスです。ローミング認証子には、USB プロトコルまたは近距離通信 (NFC) と Bluetooth ワイヤレス テクノロジを介してクライアント デバイスに接続するセキュリティ キー、スマートフォン、タブレット、耐久性、およびその他のデバイスが含まれます。ユーザーは、FIDO キーを接続してボタンを押すか、スマートフォンで指紋などの生体認証を提供するなど、さまざまな方法で ID を確認します。 ローミング認証子は、ユーザーがいつでもどこでも複数のコンピューター上で認証に使用できるため、クロスプラットフォーム認証子とも呼ばれます。

プラットフォーム (またはバインド) 認証子

これらの認証子は、ユーザーのクライアント デバイス (デスクトップ、ノート PC、タブレット、スマートフォンなど) 内に組み込まれます。パスキーを保護するための生体認証機能とハードウェア チップで構成されるプラットフォーム認証システムでは、ユーザーがクライアント デバイスを使用して FIDO でサポートされているサービスにサインインし、同じデバイス (通常は生体認証または PIN) を使用して認証する必要があります。

生体認証データを使用するプラットフォーム認証システムの例としては、Microsoft Windows Hello、Apple Touch ID と Face ID、Android 指紋などがあります。

FIDO2 対応サービスに登録してサインインする方法

FIDO2 認証で提供される強化されたセキュリティを利用するには、以下の基本的な手順に従います。

FIDO2 対応サービスに登録する方法
  • ステップ 1: サービスに登録する際、ユーザーは、対応している FIDO 認証方法のいずれかを選択することを求められます。

  • ステップ 2: PIN の入力、指紋リーダーでの指紋読み取り、FIDO2 セキュリティ キーの挿入など、認証子がサポートしている簡単なジェスチャーによって FIDO 認証子を起動します。

  • ステップ 3: 認証子が有効化されると、デバイスによって、そのデバイス、アカウント、サービスに固有の秘密キーと公開キーの組が生成されます。

  • ステップ 4: 秘密キーと、認証方法に関する機密情報 (生体認証データなど) が、ローカル デバイスによって安全に保存されます。公開キーは暗号化され、ランダムに生成された資格情報 ID と共にサービスに登録され、認証サーバーに格納されます。
FIDO2 対応サービスにサインインする方法
  • ステップ 1: サービスは、ユーザーがいることを確認するために暗号チャレンジを発行します。

  • ステップ 2: ユーザーは要求に応じて、アカウント登録時に使ったのと同じ認証ジェスチャーを実行します。ジェスチャーによってユーザーの存在が確認されると、デバイスは、そのデバイスにローカルに保存されている秘密キーを使ってチャレンジに署名します。

  • ステップ 3: デバイスは署名済みチャレンジをサービスに返送し、サービスは、安全な方法で登録された公開キーを使ってそれを検証します。

  • ステップ 4: 完了すると、ユーザーのログインが成功します。

FIDO2 認証の利点は何ですか?

FIDO2 パスワードレス認証の利点としては、セキュリティとプライバシーの強化、ユーザー フレンドリなエクスペリエンス、スケーラビリティの向上などが挙げられます。FIDO2 では、アクセス管理に関連するワークロードとコストも削減されます。

セキュリティの強化

FIDO2 パスワードレス認証では、一意のパスキーに依拠することでログインのセキュリティを大幅に強化できます。FIDO2 の場合、ハッカーがフィッシングランサムウェア、その他の一般的なサイバー窃盗行為によって簡単にこの機密情報にアクセスすることはできません。生体認証キーと FIDO2 キーは、従来の多要素認証方法 (テキスト メッセージでのワンタイム パスコード (OTP) 送信など) に付随する脆弱性をなくすためにも役立ちます。

ユーザー プライバシーの強化

FIDO 認証では、秘密暗号化キーと生体認証データがユーザー デバイス上に安全に格納されるため、ユーザーのプライバシーが強力に保護されます。さらに、この認証方法では一意なキーの組が生成されるため、サービス プロバイダーによって複数サイト間のユーザー追跡が行われるのを防ぐのにも役立ちます。また、生体認証データ悪用のおそれに対するコンシューマーの懸念を受け、組織による生体認証情報の販売や共有を禁止するプライバシー法が政府機関によって施行されています。

使いやすさの促進

FIDO 認証では、個人が FIDO2 キー、認証アプリ、またはデバイスに組み込まれた指紋リーダーやカメラを使って、迅速かつ便利に ID を認証できます。ユーザーは第 2 の、場合によっては第 3 のセキュリティ手順まで実行する必要があります (たとえば、本人確認用の生体認証が複数種類要求されることがあります) が、パスワードの作成、記憶、管理、再設定に関連する時間と手間を省くことができます。

スケーラビリティの向上

FIDO2 はオープンなライセンス不要の標準であり、企業やその他の組織が世界規模でパスワードレス認証方法を展開できます。FIDO2 では、すべての従業員、顧客、パートナーに対して、その人の使うブラウザーやプラットフォームが何であっても、セキュリティ保護された合理的なサインイン エクスペリエンスを提供できます。

アクセス管理のシンプル化

IT チームは、パスワード ポリシーやインフラストラクチャの展開と管理が不要になるため、コストを抑え、より価値の高いアクティビティに注力することができます。また、パスワードに関するサポート要求 (パスワードの再設定など) に対応する必要がないため、ヘルプ デスク担当者の生産性が向上します。

WebAuthn および CTAP2 とは?

FIDO2 の仕様セットは、Web 認証 (WebAuthn) および Client-to-Authenticator Protocol 2 (CTAP2) という 2 つのコンポーネントで構成されています。 中心的なコンポーネントである WebAuthn は、対応 Web ブラウザーやプラットフォーム上に実装された JavaScript API です。登録済みデバイスはこれを使って FIDO2 認証を実行します。World Wide Web の国際標準組織である World Wide Web Consortium (W3C) が FIDO Alliance と協力して WebAuthn を策定しました。WebAuthn は、2019 年に正式な W3C Web 標準になりました。

FIDO Alliance が策定した第 2 のコンポーネントである CTAP2 は、ローミング認証子 (FIDO2 セキュリティ キー、モバイル デバイスなど) から FIDO2 対応ブラウザーやプラットフォームへの通信を実現するものです。

FIDO U2F および FIDO UAF とは?

FIDO2 は、2014 年に FIDO Alliance からリリースされた最初の FIDO 認証仕様 FIDO 1.0 を進化させたものです。最初の仕様には、FIDO Universal Second Factor (FIDO U2F) プロトコルと FIDO ユニバーサル認証フレームワーク (FIDO UAF) プロトコルが含まれていました。

FIDO U2F と FIDO UAF はどちらも多要素認証、つまり、ユーザーの検証に 2 つまたは 3 つの証拠 (要素) を必要とするしくみの一種です。これらの要因には、ユーザーのみが知っている (パスコードや PIN など)、所有しているもの (モバイル デバイス上の FIDO キーや認証アプリなど)、または存在するもの (生体認証など) も含まれます。

これらの仕様に関する詳細情報:

FIDO U2F

FIDO U2F は、パスワードベースの承認標準を 2 要素認証 (2FA) によって強化し、2 つの証拠に基づいてユーザーを検証するものです。FIDO U2F プロトコルでは、個人が最初の要素として有効なユーザー名とパスワードの組み合わせを提供し、次に USB、NFC、または Bluetooth デバイスを 2 番目の要素として使用する必要があります。通常は、時間の影響を受ける OTP でボタンを押すかキー入力して認証します。

FIDO U2F は CTAP 1 の後継であり、CTAP2 (FIDO キーに次ぐ第 2 要素デバイスとして個人がモバイル デバイスを使うことを可能にしたもの) の前身です。

FIDO UAF

FIDO UAF は、多要素のパスワードレス認証を容易にします。最初の要素として、FIDO に登録されたクライアント デバイス (指紋や顔スキャンなどの生体認証チェックや PIN を使用してユーザーのプレゼンスを確認) でサインインする必要があります。その後、デバイスは 2 番目の要素として一意のキーペアを生成します。Web サイトまたはアプリでは、生体認証やユーザーの地理的な場所など、3 番目の要素を使用することもできます。

FIDO UAF は、FIDO2 パスワードレス認証の前身です。

FIDO2 を実装する方法

Web サイトやアプリに FIDO2 標準を実装するには、組織がモダンなハードウェアとソフトウェアを用意する必要があります。幸いなことに、Microsoft Windows、Apple iOS、MacOS、Android システムを含むすべての主要な Web プラットフォームと、Microsoft Edge、Google Chrome、Apple Safari、Mozilla Firefox など、すべての主要な Web ブラウザーは FIDO2 をサポートしています。ID とアクセス管理 (IAM) ソリューションでは、FIDO2 認証もサポートされている必要があります。

一般に、新規または既存の Web サイトとアプリに FIDO2 認証を実装するには、以下の主な手順が必要です。

  1. ユーザー ログインのエクスペリエンスと認証方法を定義し、アクセス制御ポリシーを設定します。
  2. 適切な FIDO プロトコル仕様を使用して、登録ページとサインイン ページを新規作成または既存のものを変更します。
  3. FIDO 登録と認証要求を認証するように FIDO サーバーを設定します。FIDO サーバーは、スタンドアロン サーバー、Web サーバーまたはアプリケーション サーバーと統合することも、IAM モジュールとして提供することもできます。
  4. 新しい認証ワークフローを構築するか、既存の認証ワークフローを変更します。

FIDO2 と生体認証

生体認証では、個人に備わっている固有の生体特性または行動特性を使って、その個人が本人であることを確認します。生体認証データは収集され、シークレット アルゴリズムでのみアクセスできる生体認証テンプレートに変換されます。個々のユーザーがサインインしようとすると、システムによって情報が再キャプチャされ、変換され、格納されている生体認証と比較されます。

生体認証の例を次に示します:

生物学的

  • 指紋スキャン
  • 網膜スキャン
  • 音声認識
  • DNA 照合
  • 静脈スキャン

行動

  • タッチスクリーンの使用
  • 入力速度
  • キーボード ショートカット
  • マウス アクティビティ

生体認証は、今日のハイブリッドなデジタル ワークプレイスの現実です。従業員は、どこを選択してもすばやく安全に認証できる柔軟性があることを気に入っています。このような企業は、攻撃対象を大幅に減らし、データやシステムを標的にする可能性のあるサイバー犯罪を阻止します。

しかし、生体認証は完全にハッカーに対抗できるわけではありません。たとえば、悪意のある人物は、写真や指紋などの他の人の生体認証データを使用して、その個人になりすますことができます。または、複数の指紋スキャンを組み合わせて、複数のユーザー アカウントにアクセスできるようにするプライマリ スキャンを作成することもできます。

生体認証の欠点は他にもあります。たとえば、顔認識システムの中には、女性や有色人種に対して固有の偏りがあります。さらに、一部の組織では、エンドユーザー デバイスではなく、データベース サーバーに生体認証データを格納することを選択し、セキュリティとプライバシーに関する疑問が生じさせます。それでも、多要素生体認証は、ユーザー ID 検証用に現在使える最も安全な方法の 1 つです。

FIDO2 認証の例

ID 検証のセキュリティとロジスティックの要件は、組織内と組織によって異なります。以下に、さまざまな業界の組織における一般的な FIDO2 認証の実装方法を示します。

銀行、金融サービス、および保険

企業オフィスで働く従業員は、多くの場合、機密性の高いビジネス データや顧客データを保護するために、プラットフォーム認証システムを備えた会社支給のデスクトップまたはノート PC を使います。会社のポリシーでは、これらのデバイスを個人使用に使用することは禁止されています。支社やコール センターのオンサイト従業員は、共用のデバイスを使い、自分の本人確認にはローミング認証子を使うことがよくあります。

航空機産業と航空会社

また、これらの業界の組織は、さまざまな作業環境の違いや、責任範囲が異なるユーザーに対応する必要があります。エグゼクティブ、人事、およびその他のオフィスベースの従業員は、多くの場合、専用のデスクトップとノート PC を使用し、プラットフォームまたはローミング認証システムで認証します。空港のゲート係員、飛行機整備士、乗務員は、多くの場合、共用のタブレットまたはワークステーションを使い、ハードウェア セキュリティ キーや個人用スマートフォン上の認証アプリで認証を行います。

製造

製造施設の物理的なセキュリティを確保するために、承認された従業員やその他の個人は、FIDO2 対応スマートカードや FIDO2 キーなどのローミング認証システムを使うか、登録された個人のスマートフォンをプラットフォーム認証子に使ってドアのロックを解除します。それに加え、製品設計チームは、非公開情報があるオンライン設計システムにアクセスするために専用のデスクトップまたはノート PC とプラットフォーム認証子を使うことがよくあります。

緊急サービス

政府機関やその他の緊急サービス プロバイダーでは、医療補助者や最初の救急対応者の認証を行うとき、いつも指紋スキャンや虹彩スキャンが使えるとは限りません。多くの場合、これらの個人は、オンライン サービスにすばやくアクセスする必要があるのと同時に、手袋または目の保護具を装着しています。このような場合は、代わりに音声認識システムによって識別されます。また、スマートフォンで耳の形状をスキャンする新興テクノロジが使える場合もあります。

FIDO2 を使って安心のセキュリティを実現

パスワードレス認証 は、IAM のベスト プラクティスとして急速に認められつつあります。FIDO2 を採用することで、信頼できる標準を使用して、ユーザーが自分自身であることを確認できます。

FIDO2 の使用を開始するには、本人確認に関する特定の組織および業界の要件を慎重に評価します。次に、Microsoft Entra ID (旧称 Azure Active Directory) を使用して FIDO2 の実装を効率化します。Microsoft Entra ID のパスワードレス認証方法ウィザードにより、Windows Hello for Business、Microsoft Authenticator アプリ、FIDO2 セキュリティ キーの管理はシンプルに行うことができます。
リソース

Microsoft Security に関する詳細情報

  1.
薄暗いオフィス環境で、人物がデスクに向かって座り、コンピューターで作業しています。背景には 1 台のモニターが見えます。

Microsoft Entra ID (旧称 Azure Active Directory)

強力な認証とリスクベースのアダプティブ アクセスを使って、リソースとデータへのアクセスを保護しましょう。
詳細情報
デスクの前に座り、ノート PC を使っている人物。

Microsoft Entra ID ガバナンス

アプリとサービスへのアクセスを自動化することで、生産性を高め、セキュリティを強化しましょう。
詳細情報
携帯電話を見ている女性。

Microsoft Entra Verified ID

オープンな標準ソリューションを使って、職場用やその他資格情報の発行と検証を安心して行いましょう。
詳細情報
明るいオフィスにいる 3 人のグループ。1 人がノート PC を手に持ち、皆がそれを見ながら笑顔で話しています。

Microsoft Entra ワークロード ID

クラウド リソースへの条件付きアクセス権をアプリやサービスに付与する作業を 1 か所で実行し、リスクを軽減できます。
詳細情報
関連製品セクションに戻る
FAQ

よく寄せられる質問

  • FIDO2 は、Fast IDentity Online 2 の略語であり、FIDO Alliance によってリリースされた最新のオープン認証標準の名称です。Microsoft およびその他のテクノロジー、商用、政府機関で構成されるこの提携により、World Wide Web でのパスワードの使用を排除しようとしています。

    FIDO2 仕様には Web 認証 (WebAuthn) が含まれています。Web API は、オンライン サービスが FIDO2 プラットフォーム認証子 (Web ブラウザーやプラットフォームに埋め込まれている指紋認識テクノロジーや顔認識テクノロジーなど) と通信できるようにする Web API です。FiDO Alliance と提携して World Wide Web Consortium (W3C) によって開発された WebAuthn は、正式な W3C 標準です。

    FIDO2 には、提携によって開発された Client-to-Authenticator Protocol 2 (CTAP2) も含まれています。CTAP2 は、ローミング認証子 (外部 FIDO2 セキュリティ キーやモバイル デバイスなど) を、USB、BLE、または NFC を介して FIDO2 クライアント デバイスに接続します。
  • FIDO2 は、モバイル環境とデスクトップ環境で多要素パスワードレス認証を行う、オープンなライセンス不要の標準です。FIDO2 では、パスワードではなく公開キー暗号化を使ってユーザー ID を検証し、フィッシング、マルウェア、その他のパスワードベースの攻撃によってユーザー資格情報を盗もうとするサイバー犯罪を阻止します。
  • FIDO2 認証の利点としては、セキュリティとプライバシーの強化、ユーザー フレンドリーなエクスペリエンス、スケーラビリティの向上などが挙げられます。また、FIDO2 では、ユーザー名とパスワードの管理に関連して IT チームやヘルプデスク スタッフに発生する作業負荷とコストを減らし、アクセス制御をシンプル化できます。
  • FIDO2 キー (FIDO2 セキュリティ キーとも呼ばれる) は、2 要素認証と多要素認証に必要な物理ハードウェア デバイスです。ローミング FIDO 認証システムとして機能し、USB、NFC、または Bluetooth を使用して FIDO2 クライアント デバイスに接続し、ユーザーがオフィス、自宅、または別の設定で複数のコンピューターで認証できるようにします。

    クライアント デバイスは、FIDO2 キーを使用して指紋リーダーに触れる、ボタンを押す、PIN を入力するなど、ジェスチャを作成するようにユーザーに求めることで、ユーザーの ID を確認します。FIDO2 キーには、プラグイン キー、スマートフォン、タブレット、ウェアラブル、およびその他のデバイスが含まれます。
  • 組織では、独自のセキュリティ要件、ロジスティック要件、業界要件に応じた FIDO2 認証方法を展開しています。

    たとえば、銀行や研究主導の製造元では、多くの場合、会社が提供する業務用のデスクトップとプラットフォーム認証システムを搭載したノート PC を使用するとがオフィスベースの従業員やその他の従業員に求められる場合があります。オフィスの外で働く従業員を抱える組織 (例: 乗務員や緊急対応チームがいる航空会社) では、共用のタブレットやワークステーションに対するアクセスの認証に、セキュリティ キーまたはスマートフォン上の認証アプリを使うことがよくあります。

Microsoft Security をフォロー

Surface Pro Surface Laptop Surface Laptop Studio 2 組織用 Copilot 個人用 Copilot Windows での AI Microsoft 製品を見る Windows 11 アプリ アカウント プロファイル ダウンロード センター Microsoft Store サポート 返品・返金 ご注文履歴 Microsoft Store をお選びいただく理由 Microsoft Education 教育機関向けデバイス Microsoft Teams for Education Microsoft 365 Education Office Education 教育者向けトレーニングおよび開発 学生および保護者向けキャンペーン 学生向け Azure
Microsoft AI Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Microsoft 開発者 Microsoft Learn AI マーケットプレース アプリのサポート Microsoft Tech Community Microsoft Marketplace Microsoft Power Platform ソフトウェア開発会社 Visual Studio 採用情報 会社のニュース マイクロソフトにおけるプライバシー 投資家 アクセシビリティ
日本語 (日本) コンシューマーの正常性のプライバシー Microsoft に問い合わせ プライバシー 特定商取引法に基づく表示 Cookie の管理 使用条件 商標 広告について