FIDO2 WebAuthn
FIDO2 WebAuthnとは?
FIDO2(Fast Identity Online 2)
FIDO2 WebAuthn(Web Authentication)は、パスワード不要の認証を目的とするWeb標準技術であり、フィッシング、リプレイ攻撃、サーバー侵害攻撃に強いセキュリティフレームワークを提供します。
ユーザーはPIN、タッチ、または生体認証(指紋、顔認識など)のユーザージェスチャーを用いて認証を行い、パスワードの使用を最小限に抑える、あるいは完全に置き換えることが可能です。
目的
- SHIELD ID に FIDO2 WebAuthn 機能を導入することで、ユーザーが安全かつ簡単にログインできるようにします。
- パスワード漏洩やフィッシングなどのセキュリティ脅威を防ぎ、認証プロセスを簡素化してユーザー体験を向上させます。
構成要素
FIDO2は主に以下の3つの要素から構成されます。
-
WebAuthn(Web Authentication API)
- W3C標準として定義されたAPIで、Webブラウザが認証デバイスを活用してユーザーを認証します。
- サイトとユーザー端末間でスコープ指定された公開鍵ベースの資格情報を使用し、セキュリティを強化します。
-
Authenticator(認証デバイス)
- 実際にユーザー認証情報を保存し、署名を生成するデバイス
- 生体認証デバイス(指紋、顔認識など)またはハードウェアセキュリティキー
- Platform Authenticator(プラットフォーム認証器)
- スマートフォン、ノートPCなどに内蔵された認証デバイス
- Roaming Authenticator(ローミング認証器)
- USB、NFC、Bluetoothのセキュリティキーなど外部デバイス
-
CTAP(Client To Authenticator Protocol)
- 認証器とクライアント(ブラウザやOS)間の通信を定義するプロトコル
- 認証器とブラウザ間の安全な通信を担う
- CTAP1:U2F(Universal 2nd Factor)ベース、2段階認証(2FA)で使用される初期プロトコル。既存U2Fデバイスとの互換性を提供
- ✅ CTAP2:FIDO2の中核要素で、パスワードレス認証および多要素認証(MFA)をサポートし、WebAuthnと連携してパスワード不要な環境を実現可能にします。
主な機能
- パスワードレス認証
生体認証、ハードウェアセキュリティキー、端末ベースの認証でログインが可能です。 - 公開鍵ベースの認証
端末で秘密鍵と公開鍵のペアを生成し、秘密鍵は安全に端末内に保管されます。 - 多様な認証方式のサポート
生体認証、デバ��イス認証、セキュリティキーなど様々な方法で認証が可能です。
動作フロー
-
登録(Registration)
- ユーザーがFIDO2対応のWebサイトに登録します。
- 登録時にセキュリティデバイスで公開鍵/秘密鍵のペアを生成します。
- この資格情報は特定のWebサイトとスコープが一致しており、公開鍵はWebサイトに保存、秘密鍵は端末に安全に保管されます。
-
認証(Authentication)
- ユーザーがWebサイトにログインする際、セキュリティデバイスを用いて認証を行います。
- PIN、タッチ、生体認証などのジェスチャーで秘密鍵の使用が許可されます。
- 成功すると、秘密鍵で署名されたデータがWebサイトに送信され、ユーザーが認証されます。
主な特徴
-
パスワードなしでログイン可能
- 生体認証やセキュリティキーにより、パスワード入力なしで安全なログインが実現可能
- 強力な多要素認証(MFA) フレームワークとしてセキュリティ性が高い
-
ユーザーフレンドリーな認証方式
- PIN、タッチ、生体認証による直感的かつ簡便な認証が可能
- パスワードよりも使いやすく、ユーザー体験の向上に貢�献