top of page

FIDOで利用可能な認証器について

FIDOでは、FIDOに対応した「認証器(オーセンティケータ)」を利用して認証します。本ページでは、認証器の種類や特長などをご紹介します。

authenticator.png

FIDO認証器の種類と役割

認証器の種類

FIDO対応の認証器(オーセンティケータ)には、大きく分けて「プラットフォーム認証器」と「ローミング認証器」の2種類があります。

authenticator_difference.png

  • プラットフォーム認証器
    PC端末やスマートフォンなどのデバイスに内蔵されているTPM(Trusted Platform Module)と呼ばれるセキュリティモジュールを使用したものを指します。FIDOでは、このTPMを使用して    鍵生成や署名を行っています。スマートフォンに関しては、利用するデバイスの外付け認証器として利用することも可能です。
     

  • ローミング認証器
    デバイスに外付けして使用する認証器を指します。FIDOでは、外付け認証器を使用して、鍵生成や署名を行っています。外付けのTPMのようなものです。使用する認証器にもよりますが、USB、NFC(Near Field Communication)、Bluetoothなど様々な接続インターフェースを持っています。

    一般的には「セキュリティキー」と呼ばれています。
    ​※以降、ローミング認証器を「セキュリティキー」と表記します。

認証器の役割

認証器はFIDOの「登録」と「認証」で下記の役割を果たします。

​※FIDOには複数の規格がありますが、本ページではFIDOの最新仕様である「FIDO2(*1)」として説明します。

  • FIDOの登録時の役割

    • ユーザーの認証器であることをPINや生体(指紋 / 顔)で確認

    • 署名に使用するキーペアを作成

    • チャレンジに署名を付け、「検証鍵(公開鍵)」とセットで返却

fido_registration.png

  • FIDOの認証時の役割

    • ユーザーの認証器であることをPINや生体(指紋 / 顔)で確認

    • ​チャレンジに署名を付けて返却

fido_authentication.png

(*1) なぜFIDO「2」なのか?

FIDO2には前身となる「FIDO1」という規格があります。FIDO1は公開鍵暗号をベースとした認証規格として策定され、「Universal Authentication Framework (UAF)」と「FIDO U2F(Universal Second Factor)」という2つの規格で構成されています。UAFはFIDO対応デバイスを用いて、PINや生体などを使用したパスワードレスな認証を行う仕組みです。一方、U2Fは外付け認証器などを用いて、他の認証要素と組み合わせて2要素認証を行う仕組みです。これらの規格は、FIDO Allianceが2つの部会に分かれて並行して策定してきましたが、これらが別々の規格として存在することは好ましくなく、統一した規格の再策定が必要になってきました。そして、UAFとU2Fを統合し、更に認証器の正当性チェック機構などを加えた新たな規格として策定されたのがFIDO2です。

※FIDOについての技術的なことについては、今後公開されるページにて説明します。

セキュリティキーの特長と種類

前述で、認証器にはプラットフォーム認証器や外付けタイプのセキュリティキーがあると説明しましたが、後者のセキュリティキーには更に様々な種類のものがあります。セキュリティキーの特長と弊社で取り扱いのあるものについて簡単にご紹介します。

セキュリティキーの特長

  • フィッシング耐性
    フィッシングを簡単に説明すると、「URLがよく似た偽物サイトに誘導して認証情報を入力させ、アカウントや情報、金銭などを奪う」という行為をフィッシングと言います。セキュリティキーを用いた認証の場合、必ず機械的にドメイン名(URL)の確認をして、一致しているサイトに対してのみ認証情報(結果)を渡す仕組みがあります。そのため、偽のURLにアクセスした場合は、認証情報を渡してしまうことがなく、第三者に情報を盗まれることがありません。
     

  • 利便性
    セキュリティキーをUSBポートに挿し込み、セキュリティキーに予め設定した「PINコードの入力」または「生体の確認」をすることで認証が完了します。ユーザビリティを損なうことなく強力な認証が可能です。
    ​※デバイスとの接続方法は使用するセキュリティキーによって異なります。
     

  • 堅牢性
    従来のパスワードによる認証では、パスワードそのものが秘密情報であり、ネットワークの盗聴やサーバー攻撃などにより盗まれる危険性がありました。一方、セキュリティキーの場合は、秘密情報はセキュリティキー内部に保持され、取り出すことができないように設計されています。

セキュリティキーのご紹介

​弊社はセキュリティキーの販売代理店をしています。弊社で取り扱いのあるFIDO2対応のセキュリティキーについて簡単にご紹介します。FIDO以外の機能を持ったキーもありますが、今回はFIDO機能に絞って説明します。

securitykey_table.png

セキュリティキーには大きく2つのモデルがあります。
 

  • PIN対応モデル
    認証器の所有者確認時にPINコード入力を求めるモデルです。上記図の生体項目にチェックのないものが該当します。生体モデルと比べると、比較的安くお買い求めいただけます。
     

  • 生体対応モデル
    認証器の所有者確認時に生体確認を求めるモデルです。上記図の生体項目にチェックのあるものが該当します。PIN対応モデルと比べると、認証時は    センサーにタッチするだけなので、認証操作が楽になります。
     

どちらのタイプもUSB、NFC、Bluetooth​と様々なインターフェースに対応したセキュリティキーがございますので、ご利用用途に合ったセキュリティキーをお選びください。細かい仕様についてはこちらで確認いただけます。ご購入の際はAmazonよりお買い求めください。大量購入時などは弊社までお問い合わせください。

​次に、認証器のセットアップやサポート情報について説明します。

認証器のセットアップおよびサポート情報

セットアップ

プラットフォーム認証器やセキュリティキーをFIDO認証器として利用するには、PINや生体を設定する必要があります。購入段階ではPINや指紋は設定されていません。下記のセットアップ方法を参考に設定を行ってください。

プラットフォーム認証器の利用
 

  • Windows端末
    Windows端末で内蔵認証器を使用する場合、Windows Helloを使用することになると思います。「Windows Hello の概要とセットアップ」を参考に設定を行ってください。​

 

  • Mac端末
    Mac端末で内蔵認証器を使用する場合、Touch IDを使用することになると思います。「MacでTouch IDを使用する」を参考に設定を行ってください。
     

  • スマートフォン
    ​初期セットアップ時にPINや生体も設定するとは思いますが、詳しい操作は対象機種のマニュアルをご参照ください。

セキュリティキーの利用

セキュリティキーの初期セットアップを行うにはPC端末が必要になります。下記を参考にセットアップを行ってください。
 

 

サポート情報

FIDOはブラウザとプラットフォームでネイティブにサポートされています。(最新バージョン推奨)

Chrome_100.png

Chrome

Edge_100.png

Edge

Firefox_100.png

Firefox

Safari

現在サポートしている機能は、ブラウザとプラットフォームの組み合わせによって異なります。

詳細はこちらをご確認ください。

どこで利用できるのか?

Webサービスやアプリケーションで利用したい

FIDO認証器のMFA(多要素認証)に対応しているサービスであればご利用いただけます。現在利用しているサービスが対応しているかどうかについては、各種サービスのMFA対応ページをご確認ください。ブラウザの検索欄に「利用しているサービス名 MFA」などで調べるとすぐに見つかると思います。

※MFAで利用できるものはFIDO2だけとは限りません。SMSやワンタイムパスワードを使用したMFAもあるため、「FIDO2 (WebAuthn)」対応であることをご確認ください。

自社サービスに組み込みたい

YubiOn FIDO2® Server

お客様のサービスでFIDOによるMFAを実現するためのFIDO2認証基盤を提供します。認証基盤はクラウドタイプとオンプレミスタイプをお選びいただけます。

PC端末のログイン強化がしたい

YubiOn FIDO Logon

PC端末のログオンにFIDO2プロトコルを使用した多要素認証を提供するクラウドサービス。Web管理コンソールでの統合管理機能や遠隔制御機能など便利な機能もございます。

bottom of page