用語集パスキー | passkey | FIDO認証 用語集

基本用語

パスキー（passkey）

FIDOが提唱するFIDO2規格に基づく認証資格情報です。秘密鍵と公開鍵のペアで構成、秘密鍵は端末内に安全に保存され、公開鍵のみがサーバーに登録・保管されます。様々なwebサイトやニュースの文脈によっては、FIDO2規格基づく認証技術（方式）やFIDO認証規格全体（パスワードレス技術として）を指す場合もあります。

秘密鍵（Private Key）

認証時に署名を生成するための鍵です。端末内に安全に保存され、外部に送信されることはありません。

公開鍵（Public Key）

サーバーに登録される鍵です。秘密鍵とペアで動作し、認証時に秘密鍵で生成された署名を検証します。

クレデンシャル（Credential）

デバイス内で秘密鍵と公開鍵のペアで構成される認証情報です。FIDO認証では、サーバーに保存された公開鍵とデバイス内の対応する秘密鍵をもってそのサービス固有の識別子を持つペアを作成します。

認証サーバー

FIDO認証を実現するためのサーバーです。ユーザーの端末で生成された署名を検証することで本人確認を完了します。これにより認証情報がサーバーに保存されず、情報漏洩のリスクを低減してフィッシング詐欺に強い認証が実現します。

クロスプラットフォーム対応

異なるOSやデバイス間でパスキー（秘密鍵）を同期・利用できることを指します。例えば、iPhoneで作成したパスキーをPCやAndroidデバイスで利用できるようになり、デバイスを跨いだスムーズで安全なログイン・認証が可能になります。

クライアント

エンドユーザーが直接操作するWebブラウザーやモバイルアプリケーションを指します。

RP（Relying Party／証明書利用者）

エンドユーザーの認証を認証サーバーに依頼する、Webサイトやアプリケーションなどのサービス提供者のことです。RPはユーザーの身元を確認し、安全なアクセスが必要なサービスを提供します。

FIDO技術規格と関連用語

FIDO2（ファイドツー）

FIDO AllianceとW3Cが策定したパスワードレス認証の国際標準技術規格です。WebAuthnとCTAPで構成され、Webサービスでのパスワードレス認証を実現します。

FIDO Alliance（ファイドアライアンス）

パスワードレス認証の普及を推進する国際団体です。Google、Apple、Microsoftなどが加盟し、FIDO2やWebAuthnの標準化を主導しています。

W3C（World Wide Web Consortium／ワールドワイドウェブコンソーシアム）

Web技術の標準化を行う国際的な団体です。パスキーはWebAuthn仕様に基づいています。

WebAuthn（ウェブオースン／Web Authentication）

W3CがFIDO Allianceと共同で策定した、WebブラウザーとWebサービス（サーバー）間で安全にユーザー認証を行うためのAPIです。

CTAP（Client to Authenticator Protocol／シータップ）

FIDO Allianceが定める、認証器（スマートフォンやセキュリティキー）とクライアント（PCやブラウザ）を接続するためのプロトコルです。CTAP2がFIDO2に対応しています。CTAP1はFIDO U2Fに対応します。

認証器（Authenticator／オーセンティケーター）

秘密鍵を保持し、署名を生成する装置や機能（例：Windows Hello、Touch ID、セキュリティキーなど）です。

• Touch ID/Face ID：プラットフォーム型認証器の一つで、Appleが提供する指紋認証機能です。デバイスのロック解除やアプリへのサインイン、購入・支払いの承認などを安全に行えます。
• 指紋認証/顔認証：プラットフォーム型認証器の一つで、Googleが提供する指紋認証機能です。デバイスのロック解除やアプリへのサインイン、購入・支払いの承認などを安全に行えます。
• Windows Hello：プラットフォーム型認証器の一つで、Microsoftが提供する生体認証機能です。顔認証、指紋認証、またはPINを使ってWindowsデバイスにサインインできます。
• セキュリティキー：ローミング型認証器。オンラインアカウントへのログインに使う外付けの物理的な認証デバイスです。指紋認証やPINコード、またはUSB接続などで使用され、パスワードよりも安全な認証方式とされています。

FIDO UAF（Universal Authentication Framework／ファイド ユーエーエフ）

モバイル中心のパスワードレス認証を実現したFIDO第一世代の技術です。生体認証やPINを利用してパスワードを排除しました。

FIDO U2F（Universal Second Factor／ファイド ユーツーエフ）

ID・パスワードを第1要素認証とし、認証器の使用を第2要素認証とする二段階認証を実現したFIDO第二世代の技術です。現在はFIDO2の登場に伴い、パスワード必須の旧仕様の位置付けとなります。

認証の要素と方式

多要素認証（MFA：Multi-Factor Authentication）

複数の認証要素（所持・知識・生体）を組み合わせて本人確認を行う認証方式です。FIDO2は「所持（認証器）＋生体（指紋・顔）」などの組み合わせでMFAを実現します。

2要素認証（2FA：Two-Factor Authentication）

パスワードを一つ目の認証とし、それに加えて「生体情報（指紋・顔）」や「所持物（スマートフォン・セキュリティキー）」など、2つの異なる要素を組み合わせて本人確認を行う技術です。

生体認証（Biometric Authentication）

指紋や顔認証など、本人確認に利用する生体情報です。FIDO2では、生体情報は端末外に送信されません。

PIN認証（Personal Identification Number）

生体認証の代替や補助として利用される数字コードです。FIDO2では、秘密鍵を利用する際のローカル認証に使われます。

パスキーで防げる攻撃・防げない攻撃

パスキーで防げる攻撃

• フィッシング：パスキーはドメインに紐づくため、偽サイトでは認証できません。
• パスワードリスト攻撃：パスワードが存在しないため、流出したID・パスワードの使い回しが無効になります。
• ブルートフォース攻撃：パスキーは秘密鍵で署名するため、推測できる情報が存在しません。
• サーバー侵害：認証情報がサーバーに保存されないため、データ漏洩による盗難を防げます。
• なりすましログイン：生体認証やPINが必要なため、本人以外は認証できません。

パスキーで防げない攻撃

• なりすまし初期登録：パスキーを使う前の手続きであるため、防ぐにはeKYCやJPKIが有効です。
• 端末の乗っ取り（マルウェア感染）：認証器がある端末自体が乗っ取られると、パスキーが悪用される可能性があります。防ぐにはエンドポイントセキュリティやウイルス対策が有効です。
• スマホの盗難・PIN突破：スマホが盗まれ、PINが突破されるとパスキーが使われる可能性があります。防ぐには生体認証の強化、PINの複雑化、リモートワイプが有効です。
• ソーシャルエンジニアリング：ユーザーが騙されて端末を操作してしまうケースです。セキュリティ教育、操作ログの監視、リスクベース認証が有効です。
• サーバー側の脆弱性：認証後のセッション管理や権限処理に問題があると、攻撃者の不正操作が可能になります。防ぐにはWebアプリケーションのセキュリティ強化が有効です。
• セッションハイジャック：認証後のセッションIDが盗まれると、なりすましが可能になります。防ぐにはHTTPSの徹底、セッション管理の強化が有効です。