本稿では,FIDO(ファイド)アライアンスがW3C(World Wide Web Consortium)と共に推進するFIDO認証について解説する.近年,フィッシング攻撃などによる不正アクセスへの対策が急がれる中,FIDO認証はその対策の大きな決め手の一つとなる.FIDO認証は,リモートからの悪意者による攻撃を防ぐため,利用者による認証器の所持を基本とし,公開鍵暗号に基づく署名検証を利活用する.利用者にとって使い勝手が良く,フィッシング攻撃への耐性をもつ「シンプルで堅牢な」認証方式である. FIDO認証は,2014年12月に公開されたFIDO 1.0仕様を皮切りに本格的な商用利用が開始され,現在はW3Cが策定するWeb認証(Web Authentication,WebAuthn)の勧告仕様を含めて総称するFIDO2が議論の中心となっている.そして,普及に向けて長い間課題となっていたいわゆるアカウントリカバリーについても一定の方向性が確立し,いま「パスキー」としてさらなる広がりが期待されている.その一方,FIDO認証のために必要な認証資格情報(クレデンシャル)を認証器から取り出すことを認めた結果,新たに取り組むべき課題も認識されつつあり,業界を挙げての取り組みが必要である. FIDOアライアンスは,FIDO2とパスキーに加えて,バイオメトリック部品認定,IoTデバイスと認証にまつわる課題を解決するFDO(FIDO Device Onboard)仕様なども展開し,パスワード課題の解決に向けてさまざまな観点から取り組んでいる.FIDO認証とWeb認証に対しては国内からの貢献も顕著で,引き続くグローバルとしての取り組みで,社会課題の解決に向けてさらに貢献できる.
