FIDO（Fast Identity Online）とは？

FIDO - 意味と存在意義

まずはFIDOの基本的な意味から紹介します。

FIDOはFast Identity Onlineの略で、今後注目されるデータおよびAPIセキュリティ手法です。オープンソースで標準化されたセキュリティ対策として、パスワードの代わりに公開鍵暗号を用いて認証を行う点が特徴です。

FIDO Allianceが管理しており、FIDOプロトコルは公開鍵暗号と多要素認証を組み合わせることで、突破が難しいデータおよびAPIのセキュリティ検証システムを実現しています。

近年、非常に高度なサイバー攻撃が相次ぎました。強固なパスワードを設定していても、パスワードだけで守るのは不十分であるという疑問が専門家の間で浮上しています。

実際、パスワードだけで重要なデータを守ることはもう難しくなっています。以下の統計データがその理由を示しています。

• 平均的なインターネット利用者は約90のオンラインアカウントを持ち、パスワード管理が困難です。
• 約50％のパスワードが使い回されており、一つのパスワードが推測されると複数アカウントが危険にさらされます。

現在発生しているデータ流出の80％は、弱いパスワードが原因です。

FIDO Allianceは、パスワードだけでは安全でないことを企業や個人に理解してもらうためにFIDOを生み出しました。この堅牢なウェブサイトおよびアプリのセキュリティプロトコルは、多要素認証と公開鍵暗号を組み合わせ、ほぼ突破不可能な仕組みを実現しています。

FIDOがパスワードより優れている点は情報の保存方法にあります。パスワードはウェブサイトやアプリのサーバに保存されるため、攻撃や流出のリスクが高まりますが、FIDOは認証に関する情報や個人情報を利用者の端末にのみ保存します。これにより、利用者がログインや認証データを完全に管理できるようになり、API連携により複数の端末向けにFIDO認証情報を容易に生成できます。

この認証プロセスはU2FとUAFの双方に対応しており、その効果を高めています。UAFを利用すると、登録時に全く新しいFIDOセキュリティ鍵ペアを生成することが可能です。

利用者は秘密鍵を保持し、公開鍵はアクセス先のウェブサイトやアプリに送られます。ログイン時には、PIN、指紋、音声認証、またはセルフィーのアップロードなどで秘密鍵の認証が行われます。

また、U2Fプロトコルを利用することで、堅牢な第2要素認証が実現されます。この第2要素としては、USBセキュリティトークンや4.5cm以内（近距離無線通信経由）のデバイスが用いられ、利用者がそれに接触することでログインが可能になります。

‍

FIDOの歴史

FIDOの採用は近年加速しましたが、FIDO Alliance自体はかなり古くから存在していました。2007年、PayPalがサービス向けに高度な多要素認証を模索し始めたのが始まりです。OTPによるログインが導入されたものの、あまり関心が集まらなかったため、更なる研究が進められました。

当時、Validity SensorsのCTOであったRamesh KesanupalliがPayPalサービスに指紋認証を取り入れる案を提案し、当時のPayPal CISOであったMichael Barrettがその案を評価。ウェブサイトやアプリの認証ハードウェアの指針となる業界標準の導入を強調しました。

その後、Kesanupalliは開発に着手し、その努力は実り、2013年にFIDO Allianceが誕生しました。次第に参加企業が増え、Google、MasterCard、ARM、Dell、Microsoft、Samsungなど、IT業界の大手が加わりました。

‍

FIDOと認証の流れ

FIDOの意味とFIDO Allianceの歴史を理解したところで、この認証方法がどのように動作するのか見ていきましょう。

FIDO認証を利用しているウェブサイトにアクセスする際、登録またはログインは以下のように進みます。

1. アカウント作成のリクエストを送信する。
2. FIDOサービス提供者が利用者に公開鍵を要求する。
3. WebAuthn対応の方法を用いて手続きを完了する。端末は同じものでも、CTAPに対応する別の端末でも構いません。
4. この段階をクリアすると、利用している端末が秘密鍵と公開鍵からなる暗号鍵ペアを生成します。秘密鍵は端末とデータに紐付けられ、公開鍵はFIDOサービス提供者に送られ、新しいアカウントに紐づけられます。
5. 新規アカウント作成後は、以下の認証プロセスを踏む必要があります。

• 端末からのログインリクエストの送信
• サービス提供者からのデジタル署名を受け取り、それで本人確認を行う。

7. 端末は固有の認証情報を結び付け、サービス提供者は秘密鍵を用いてデジタル署名を生成する。
8. サービス提供者は公開鍵を利用して署名を解読し、確認する。

UAF（ユニバーサル認証フレームワーク）- 意味と仕組み

画像用内容:

1. 利用者の登録開始
2. 利用者は好みの認証方法を選択する画面にリダイレクトされる。
3. 端末とサービスに固有の鍵ペアが生成される。
4. 成功すると、鍵が交換される。秘密鍵は端末に保持され、公開鍵はサービス提供者に渡される。
5. 登録が完了する。

UAFはFIDOによりデジタル端末で認証を行うために利用されます。タブレット、スマートフォン、PC、ノートパソコンで使用可能です。UAF規格を採用しているウェブサイトやアプリにアクセスする場合、まず端末を使ってアカウント登録を行う必要があります。端末は利用者に適切な認証方法の使用を促します。

その後、利用者の端末で端末とサービスに固有の新しい鍵ペアが生成され、認証プロセスが開始されると、端末とサービス提供者は暗号鍵の交換のみを行います。

以降、同じ認証手順が利用者がアカウントにアクセスするたびに使用されます。秘密鍵は利用者の端末に残り、公開鍵はサービス提供者と共有されます。

UAFの注目すべき点は、サービス提供者が利用される認証データの内容を知らないことです。しかし、認証方法自体は明確で、サービス提供側はどの方式を採用するか選択できるため、柔軟性が高まります。

また、生体情報や秘密鍵が利用者の端末に保存されるため、通信全体が完全に暗号化され安全です。そのため、セキュリティ侵害の可能性は非常に低くなります。

‍

U2F（ユニバーサルセカンドファクター）- 意味と仕組み

画像用内容:

1. 利用者がサインインページを訪れる。
2. メールアドレスまたはユーザ名とパスワードを入力する。
3. 登録済みの端末にアクセスし、セキュリティチャレンジを完了する必要がある。
4. 端末がチャレンジに応じ、鍵で署名する。
5. オンラインサービスが署名済みチャレンジを受け取り、鍵を確認する。
6. 確認が成功すると、利用者はアカウントにアクセス、またはサービスを利用できるようになる。

投稿冒頭でU2Fの概要を説明しましたが、FIDO認証で重要な役割を果たすU2Fについてさらに詳しく見ていきます。U2FはUniversal Second Factorの略で、ログイン時に第2の認証要素の導入を促します。ハードウェアデバイスが第2の認証要素として使用されます。

パスワード入力後、利用者はUSBセキュリティトークンやNFCなどの第2要素にアクセスします。ここでの第2要素は、秘密のセキュリティ鍵を保存し、必要に応じて提供する役割を果たします。

Googleのフィッシング対策の一環として開発され、社内での成功を経てFIDO Allianceに提供されました。注目すべきは、U2Fがパスワードを完全に廃止するわけではなく、シンプルなパスワードの安全性を高める点です。4桁のPINと組み合わせることで、かなりのセキュリティを実現します。

動作面では、サービス提供者と特定の暗号鍵が交換されることで2要素認証が実現されます。複数回の認証試行後にFobが提供され、秘密鍵を用いてウェブサイトの正当性を確認します。これにより、フィッシングやMITM攻撃などのサイバー脅威が防がれます。UAFと同様、U2Fもまたエンドツーエンド暗号化され、高い安全性を有します。

‍

FIDO2 - 意味とFIDOとの違い

画像用内容:

1. 利用者がサインインページを訪れる。
2. 依頼側またはサービスがFIDOクライアントにチャレンジを送信する。
3. 利用者が進行を許可し、好みの認証方法を使用する。
4. FIDOクライアントが認証機器から秘密鍵を取得する。
5. 使用する方式（CTAP1/U2Fおよび/またはCTAP2）に応じてチャレンジに署名する。
6. オンラインサービスが署名済みチャレンジを受け取り、鍵を確認する。
7. 確認が成功すると、利用者はアカウントにアクセス、もしくはサービスを利用できるようになる。

他のセキュリティ手法と同様、FIDOも時代に合わせて変更・アップグレードされています。最新バージョンのFIDO2は、従来のFIDOの主要な問題点を改善した先進的なものです。確かにFIDOにも欠点はあります。同業他社に比べ優れているとはいえ、完璧ではありません。FIDOの懸念点としては、

・UAFがPCで動作せず、モバイルでのみ利用可能な点。

・U2F利用時に別の端末を所有し持ち歩く必要がある点。小型であっても常に携帯しなければなりません。

これらの課題を受け、FIDO Allianceは改良版FIDO2を開発しました。FIDO2はFIDOを基に、パスワードレスでより安全かつ実装しやすい認証の実現を目指しています。FIDOと同様、FIDO2も2つの規格が相互に連携しています。

FIDO2の第一の要素であるWebAuthnは、2019年にW3Cによって策定され、認証に公開鍵の利用を推進します。従来のFIDOと似ていますが、モバイル端末に限らず、JavaScript API対応のブラウザを搭載すればあらゆる端末で利用可能です。実質、ほぼ全てのデバイスでFIDO2が使えます。

第二の規格であるCTAP（Client to Authenticator Protocol）は、WebAuthnサービス提供者と利用者のPCを容易に連携させ、別の認証機器の利用を可能にします。この仕様はCTAP1とCTAP2に分類され、CTAP1は改良されたU2F、CTAP2はその拡張版として、データ端末やウェアラブル、スマートフォンがPCと連携しパスワードレスログインを実現します。連携は通常、Wi-Fi、USB、またはBluetoothを介して行われます。

FIDOとFIDO2の比較は以下の表をご参照ください。

FIDO Allianceは業界動向を注視し、認証手順の改善に努めています。

‍

FIDO認証

FIDOの有効性を鑑み、多くの組織がFIDO認証を目指しています。ソフトウェアや機器を提供する企業にとって、FIDO認証の取得は、セキュリティに配慮した安全な製品を提供している証明となります。なお、FIDOの仕様は無料で公開され、誰でも利用可能です。

Androidは2019年にFIDO認証を取得し、Safariはその後認証を得ました。2020年にはSafariもFIDO認証を受ける予定です。

現在、主要なブラウザはすべてFIDO認証を取得しています。FIDO認証の取得は大きな手間や時間を要するものではなく、FIDO準拠の事業体になるためのリソースが多数用意されています。ハードウェアと相互運用性に関してはそれぞれ異なる認証手順があるため、該当する手順に従って対応してください。