Authentication Methods (認証方式)
認証の 3 要素・MFA・SSO・FIDO2/WebAuthn・パスキーを俯瞰。2025 年にパスキーが主流化(ユーザーの 69% 保有、上位サイトの 48% 対応)、NIST が syncable authenticator を AAL2 に正式認定。パスワードレス移行の実践指針を整理する。
article technology ja 認証の 3 要素・MFA・SSO・FIDO2/WebAuthn・パスキーを俯瞰。2025 年にパスキーが主流化(ユーザーの 69% 保有、上位サイトの 48% 対応)、NIST が syncable authenticator を AAL2 に正式認定。パスワードレス移行の実践指針を整理する。認証方式
認証(Authentication)とは「あなたは本当にあなたか」を証明するプロセスであり、アクセス制御の起点となる。パスワードだけに頼る時代は終わりを迎えつつあり、2025 年はパスキー(FIDO2 ベースの同期可能認証器)が主流化の転換点となった。本記事は認証の 3 要素から MFA・SSO・FIDO2/WebAuthn・パスキーまで俯瞰し、パスワードレス移行に向けた実践的な視点を整理する。
認証の 3 要素と多要素認証(MFA)
認証要素は大きく三種類に分類される。
| 要素 | 定義 | 代表例 |
|---|---|---|
| 知識(Something you know) | 本人のみが知る情報 | パスワード・PIN・秘密の質問 |
| 所持(Something you have) | 本人が持つデバイス・トークン | スマートフォン(TOTP・プッシュ)・ハードウェアキー |
| 生体(Something you are) | 本人の身体的特徴 | 指紋・顔認証・虹彩 |
多要素認証(MFA: Multi-Factor Authentication) は異なるカテゴリの要素を 2 つ以上組み合わせることで、1 要素が漏洩しても不正アクセスを防ぐ。
MFA の実装形態
- TOTP(Time-based One-Time Password): RFC 6238 準拠。認証アプリ(Google Authenticator・Authy・Microsoft Authenticator)が 30 秒ごとに 6 桁コードを生成する。サーバー秘密の共有が必要で、共有鍵の漏洩はすべてのユーザーのワンタイムコードを危殆化する。
- プッシュ通知型: スマートフォンアプリに承認プッシュを送り、ユーザーが承認・拒否を選択する。Duo Security・Microsoft Authenticator が代表例。
- SMS OTP: 電話番号にワンタイムコードを送信する。SIM スワップ攻撃・SS7 プロトコル脆弱性により、他の MFA 方式に比べてセキュリティ強度が低い。規制環境(NIST SP 800-63B)では「制限付き認証器」として分類される。
MFA 疲労攻撃(MFA Fatigue)
プッシュ型 MFA の弱点として MFA 疲労攻撃がある。攻撃者が正規ユーザーのパスワードを入手した後、大量のプッシュ通知を送り続け、ユーザーが「誤って」または「煩わしさから」承認してしまうパターン。2022 年の Uber・Okta 侵害でこの手法が確認された。対策として、承認時に番号照合(number matching)を要求する機能(Microsoft Authenticator の「追加コンテキスト」など)が有効である。
SSO(シングルサインオン)
SSO(Single Sign-On) は一度認証するだけで複数のサービスにアクセスできる仕組みである。企業環境では IdP(アイデンティティプロバイダー)が認証を担い、各アプリケーション(SP: Service Provider)は IdP の認証結果を信頼する。
主要プロトコル
SAML 2.0(Security Assertion Markup Language): XML ベースのフェデレーション標準。2005 年に標準化され、エンタープライズ SaaS との統合で広く採用される。IdP → SP への認証アサーション(XML 署名済み)を HTTP リダイレクトまたは POST で伝達する。
OIDC(OpenID Connect): OAuth 2.0 の上に ID レイヤーを追加したプロトコル。JWT(JSON Web Token)ベースで、モバイルアプリ・シングルページアプリケーションとの親和性が高い。Google・Apple・GitHub など多くの「ソーシャルログイン」で採用される。
SSO の利点と単一障害点
利点: ユーザーはパスワードを 1 つ(または IdP のパスワードレス認証)で管理できる。アカウント管理が IdP に集中し、退職者対応が容易になる。
単一障害点: IdP がダウンすると接続するすべてのサービスにアクセス不能になる。IdP の冗長化・フェイルオーバー設計が必須。また IdP アカウントが侵害されると接続するすべてのサービスへの不正アクセスが可能になるため、IdP 自体の MFA・特権アクセス管理が最重要となる。
FIDO2 / WebAuthn
FIDO2 は FIDO Alliance が策定したオープン標準であり、W3C が WebAuthn(Web Authentication API) として採用している。公開鍵暗号を使い、サーバーにパスワード・秘密を一切保存しない認証方式である。
仕組み
- 登録フェーズ: ユーザーのデバイス(認証器)が公開鍵・秘密鍵ペアを生成する。サーバー(Relying Party)に公開鍵のみを登録する。
- 認証フェーズ: サーバーが challenge(ランダムデータ)を送信 → 認証器が秘密鍵で署名 → サーバーが公開鍵で検証。サーバー側に秘密はない。
- フィッシング耐性: challenge にはオリジン(ドメイン)が含まれるため、フィッシングサイトで取得した認証情報を正規サイトで使い回すことができない。
認証器の種類
- プラットフォーム認証器(Platform Authenticator): デバイスに組み込まれた認証器。Touch ID(macOS・iOS)・Windows Hello・Android 指紋/顔認証が該当。生体認証がローカルで完結するため、生体情報はネットワークに送出されない。
- ローミング認証器(Roaming Authenticator): USB・NFC・Bluetooth で接続する外部ハードウェアキー。YubiKey・Google Titan Key が代表例。デバイスを問わず使用できる。
なぜフィッシング耐性が高いか
TOTP や SMS OTP は「コードをフィッシングサイトに入力させる」攻撃が成立するが、FIDO2 はオリジン検証が組み込まれており、フィッシングサイトでは署名が完成しない(正規サイトの challenge に対する署名にならない)。これが FIDO2 を フィッシング耐性(Phishing-resistant)MFA と呼ぶ理由である。
パスキー(Passkeys)— 2025 年の主流化
パスキーは FIDO2/WebAuthn の 同期可能版実装であり、Apple・Google・Microsoft が共同で推進する。秘密鍵をデバイス固定(device-bound)にするのではなく、クラウドキーチェーン(iCloud キーチェーン・Google Password Manager・Windows Hello クラウド同期)で端末間に同期できる点が特徴である。
2025 年時点の普及状況
検証済みファクト(情報カットオフ ~2025-08 時点):
- ユーザーの 69% がパスキーを 1 つ以上保有(2 年前の認知率 39% から大幅上昇)
- 上位 100 ウェブサイトの 48% がパスキーに対応(2022 年比約 2 倍)
- 企業の 約 87% が導入済みまたは導入中
- パスキーでのログイン成功率 93%(パスワード 63% と比較)
- Google は、パスキーサインインがパスワードサインインに比べて 4 倍高い成功率を報告
- NIST SP 800-63B が syncable authenticator(同期可能認証器)を AAL2(Authenticator Assurance Level 2) に正式認定
device-bound vs synced passkeys
| 種別 | 同期 | 主なユースケース |
|---|---|---|
| Device-bound passkey | なし | 高セキュリティ要件(金融・政府)、ハードウェアキー |
| Synced passkey | iCloud / Google / Windows 経由 | 一般消費者・企業の生産性向上 |
Synced passkey は端末紛失時の復旧が容易な一方、クラウドアカウント侵害時のリスクがある。AAL2 認定はセキュリティと利便性のバランスを認めたものといえる。
Apple iOS 26 のパスキー改善
情報カットオフ ~2025-08、confidence: medium 固定。Apple は iOS 26 でのパスキー体験改善を発表しているが、2026-05 時点での正確な機能詳細は要確認。
パスワードレスへの移行
パスワードレス認証への移行は段階的アプローチが現実的である。
移行ステップの例:
- MFA を必須化: まず全ユーザーに MFA を有効化(TOTP またはプッシュ型)。SMS OTP のみの環境は強化。
- SSO 統合: 複数サービスへの分散パスワードを IdP 一元管理に集約。
- パスキー登録を促進: 主要サービスにパスキー登録の選択肢を提供し、インセンティブを設ける。
- パスワードを廃止: パスキーが十分普及した後、パスワードサインインを無効化。
よくある落とし穴(Anti-Pattern)
| Anti-Pattern | 問題 | 対策 |
|---|---|---|
| SMS OTP を MFA と過信 | SIM スワップ・SS7 攻撃に脆弱 | TOTP・プッシュ型・FIDO2 へ移行を優先 |
| パスキーのリカバリ未設計 | 端末紛失時にアカウントにアクセス不能 | バックアップコード・追加認証器の登録を必須化 |
| フィッシング耐性なし MFA で満足 | プッシュ型 MFA 疲労攻撃に脆弱 | 高権限アカウントは FIDO2 必須化 |
| SSO IdP の MFA を省略 | IdP 侵害で全サービスが被害 | IdP アカウントは最強の MFA(FIDO2)を適用 |
| TOTP 共有鍵を安全でない場所に保存 | 鍵漏洩でワンタイムコードが予測可能に | シークレット管理ツール(Vault 等)で厳重保護 |