top of page

FIDO エコシステム

■「パスワード認証方式」の限界

・情報漏洩の原因は、クレデンシャル(認証情報)の紛失や盗難。
・パスワードの課題は、サーバーや通信経路からの漏洩の可能性や、フィッシングによる盗難、モバイルデバイスからの入力の不便さなどがあり、最大の面倒は、パスワードが多すぎて覚えられないこと。(その結果として、パスワードの使いまわしや、サービスの離脱や停止につながる。)

■FIDO(FastIDentityOnline)認証のコンセプト

f84176a248b506e5306e8cd0efe6b29f.png

・「SSL」のようなセキュリティの業界標準を目指し、パスワード認証に代わる認証のスタンダードを策定。

・特定のメーカーに限定しない、スタンダードをベースに標準仕様化を実施。(FIDOアライアンスは、「FIDOサーバー」、「FIDOクライアント」、「オーセンティケータ」の相互通信テストを行い、製品認定を行う。このことにより、各ベンダーは、FIDO仕様書に合わせた実装を行うことができることにつながる。)
・「モバイル端末のローカル認証」と「デバイスのサーバー認証」とを分離し、サーバー認証にパスワードのような共通鍵(クレデンシャルの共有)方式を利用しない。認証は、公開鍵暗号方式で行われる。
・認証情報は、端末内のセキュアなストア領域(保存領域)に格納でき、生体認証情報がサーバーに保存されない。

■FIDOスペック

・FIDOアライアンスは(当初)2つの仕様化が行われた。その一つが、パスワードを利用しない「UAF(ユニバーサル・オーセンティケーション・フレームワーク)方式」で、もう一方が、パスワード認証とあわせて、セキュリティデバイスをタッチする「U2F(ユニバーサル・セカンド・ファクター)方式」である。その後、FIDOアライアンスからWebブラウザの標準化を行っているW3Cに対して、WebAPIの仕様の提供を行い、Web認証の標準化(FIDO2)が完成。

bc8402285396952845d620ab5d050431.png

■YubiKeyと「FIDO2」で実現するパスワードレス認証

  • 「ユーザビリティ(使いやすさ)」の改良

  • 公開鍵暗号ベースの「強固なセキュリティ」

  • 1つのキーで、いくつものサービスアカウントに利用可能

FIDO2の認証仕様は、W3Cの「WebAuthn API」と「CTAP(Client to Authenticator Protocol)」の内容を含んだ認証のオープンスタンダードです。Yubico社のSecurity Keyを利用したFIDO2では、シングルファクター(パスワードレス)、セカンドファクター(U2Fと同じ、二段階認証)、マルチファクター(シングルファクターにPINなどの二要素目を加えた方式)の3つの解決方法がある。セキュアハードウェアベースによる認証によって、認証情報(クレデンシャル)の盗難や乗っ取りを防止できるため、フィッシングや中間者攻撃、サーバーアタックなどの対策に効果的である。

(参考)

・Windows Blog : Windows Hello and FIDO2 Security Keys enable secure and easy authentication for shared devices
・FIDOアライアンス : FIDO2プロジェクトページ
 

FIDO対応のYubiOn製品

認証サービス

YubiOn FIDO2® Server

お客様のサービスでFIDOによるMFAを実現するためのFIDO2認証基盤を提供します。認証基盤はクラウドタイプとオンプレミスタイプをお選びいただけます。

エンドポイントセキュリティ

YubiOn FIDO Logon

PC端末のログオンにFIDO2プロトコルを使用した多要素認証を提供するクラウドサービス。Web管理コンソールでの統合管理機能や遠隔制御機能など便利な機能もございます。

bottom of page