FIDO Alliance が策定した、パスワードレス認証の標準仕様群。W3C の WebAuthn と クライアント / 認証器プロトコル CTAP の 2 つで構成される。秘密鍵が認証器の外に出ず、フィッシング耐性が極めて高い。 パスキー の基盤技術。
仕様の構成
| コンポーネント | 標準化団体 | 役割 |
|---|---|---|
| WebAuthn | W3C | ブラウザ / RP(サーバー)向けの認証 API |
| CTAP(Client to Authenticator Protocol) | FIDO Alliance | ブラウザと認証器(USB キー・スマホ等)の通信プロトコル |
WebAuthn が 「Web ページから認証を呼び出す API」 を、CTAP が 「ブラウザと外部認証器の通信仕様」 を担い、両者が組み合わさって FIDO2 の完全なエコシステムを形成する。
標準化の経緯
- 2018 年 : FIDO2 仕様群公開
- 2019 年 3 月 : WebAuthn Level 1 が W3C 勧告
- 2021 年 4 月 : WebAuthn Level 2 が W3C 勧告
- 2022 年 : Apple / Google / Microsoft が 「パスキー」 ブランド名で WebAuthn の使い方を統一、クラウド経由のデバイス間同期を追加
なぜフィッシング耐性が高いか
| 攻撃 | 従来パスワード | TOTP / SMS MFA | FIDO2 / WebAuthn |
|---|---|---|---|
| フィッシング | ❌ 騙される | ❌ コードも盗まれる | ✅ ドメインに紐付き署名 |
| クレデンシャル漏洩 | ❌ DB 流出で被害 | △ MFA で軽減 | ✅ サーバーに秘密鍵が無い |
| MITM | ❌ | △ | ✅ チャレンジ・レスポンスで防御 |
秘密鍵が 認証器(端末・USB キー)の外に出ない ため、サーバーが侵害されても認証情報そのものが漏れない。これが他の MFA 手段と決定的に異なる点。
関連用語
- パスキー — FIDO2 / WebAuthn を消費者向けに使いやすくしたブランド
- WebAuthn — FIDO2 の中核を成す W3C 標準 API
- 多層防御 — FIDO2 が認証層の最終形として位置づく