安全で便利なパスワードレス認証 「WebAuthn」の概要と仕組みを解説

WebAuthn（ウェブオースン）とは、ブラウザ経由でパスワードレス認証を実行するためのAPI（サービス・ソフトウェアとプログラムの間をつなぐもの）です。パスワード認証に代わる技術として注目されています。

スマートフォンやPCなどのデバイスを認証要素として利用することにより、より安全性の高いユーザー認証を実現します。パスワードベースの認証と比較すると、認証にかかる手間を省けるため利便性が高いことも特徴です。

WebAuthnはFIDO2の仕様の一部

FIDO2とは、パスワードレス認証の標準化を目指す「FIDO Alliance」が制定した技術規格であるFIDOが、Web上で利用可能となった規格を指しています。
引用：「FIDO Alliance：ユーザー認証仕様の概要」 

FIDO2の認証には指紋や顔などの生体認証が用いられ、認証結果をFIDOサーバーに送信することでログインが許可される仕組みです。生体認証に使用されるデバイスは、「認証器（Authenticator）」と呼ばれます。

FIDO2を構成する規格のひとつがWebAuthnで、デバイスとFIDOサーバーをつなぐWeb認証を担っています。

従来のWebサービスへのログイン方式

Webサービスへのログイン方式として、広く用いられているのがパスワードによるログインです。パスワード認証は知識要素に基づくものであるため、誰でも便利に利用できる反面、その知識が悪意のある第三者に漏れてしまった場合にはセキュリティリスクに直結してしまうという脆さがあります。

従来型のログイン方式としては、ID・パスワードなどの知識要素に加えて、指定されたデバイスによる端末認証（所有要素）を組み合わせた二要素・多要素認証も挙げられます。この方式では、パスワードのみの認証と比較して安全性は明らかに向上します。ただし実装には大きな費用がかかり、ユーザーの利便性も低下するというデメリットがあります。

WebAuthnはパスワードの暗記やワンタイムパスの取得を必要としませんが、どのようにして高い安全性と利便性を実現しているのでしょうか。

本項では、WebAuthn（FIDO2）の仕組みを簡単に解説いたします。

登録

WebAuthn（FIDO2）では「公開鍵暗号方式」により高い安全性を実現しています。公開鍵暗号方式とは、公開鍵と秘密鍵のペアによってデータを暗号化する仕組みです。ある公開鍵で暗号化されたデータはペアとなる秘密鍵でしか複合できず、逆もまた同様です。
デバイスを登録する流れは以下のようになります。

1. ブラウザ経由でWebサービスにアクセスし、登録を申請
2. WebサーバーがWebアプリケーションにユーザー情報とチャレンジキー送信
   （チャレンジキーはランダムな文字列で1回だけ使用可能）
3. Webアプリケーションが正規ドメイン名を追加後、その情報を認証器に送信
4. 認証器がユーザーに承認を求め、ユーザーが承認後に認証器がクレデンシャルID・公開鍵・秘密鍵・ユーザー情報・ドメイン名をローカル保存
5. WebアプリケーションがWebサーバーにクレデンシャルIDと公開鍵・署名を送信
6. デバイスの登録が完了（この時点でチャレンジキーは無効となる）

認証

デバイスの登録が済めば、素早く安全にユーザー認証を利用できます。登録したあとは、認証機に保存された秘密鍵で認証を行います。認証の流れは以下の通りです。

1. ブラウザ経由でWebサービスにアクセスし、認証を申請
2. Webサーバーがユーザーの登録を確認し、チャレンジキーを認証器に送信
3. 認証器がチャレンジキーのドメイン名を保存
4. 認証器がユーザーに生体認証を求める
5. 生体認証後、認証器が暗号署名を生成しWebサーバーに送信
6. Webサーバーが署名済みのチャレンジを照合し、ユーザーのログインを許可

従来の認証方法と比較した場合に、WebAuthnの導入にはどのようなメリットがあるのでしょうか。

本項では、パスワード認証の問題点を解決し得る、WebAuthnのメリットについて解説いたします。

ログインの利便性向上

パスワード認証では、当然ですがパスワードを覚えていなくてはならないため、使い勝手の悪さを感じる場面は多いのではないでしょうか。

WebAuthnを利用すれば、パスワードの暗記や保存などの煩雑な作業から解放され、より快適にWebサービスを利用できるはずです。それぞれ異なるサービスを利用する場合も同一の認証だけで済むので、業務の効率アップにもつながるでしょう。

セキュリティ強化

パスワード認証では、知識要素であるパスワードが知られてしまった場合に安全性が保てなくなることが最大の弱点と言えます。一般的に、長く複雑なパスワードは安全だとされていますが、パスワードそのものが流出してしまえば元も子もありません。

それに対し、生体認証を利用するWebAuthnならば、流出する可能性はほぼゼロです。認証そのものはローカル環境で実行されるので、生体情報が第三者に漏れることのない仕組みとなっています。

管理の負担軽減

WebAuthnではTouch IDやFace ID・Windows Helloなどの広く知られた認証方法が採用されています。難しい操作や専門的な知識を必要としないため、管理の負担を大幅に軽減できるでしょう。

また、複数のパスワードを管理する手間が省けることに加えて、ITリテラシー教育にかける費用も節減できるというメリットがあります。

WebAuthnの導入には多くのメリットがありますが、メリットだけの完璧なセキュリティは今のところ存在しません。

ここでは、WebAuthnを利用する際のデメリットにも目を向けてみましょう。

普及率の低さ

WebAuthnは大手企業でも採用されてきていますが、新しい技術であるため現状では広く浸透しているとは言えません。将来的に導入が増えることは確実視されていますが、まだまだ限定的な利用にとどまっています。

リモートワークやクラウドサービスの需要が増しているため、今後はパスワード認証が徐々にWebAuthnなどに置き換わっていくでしょう。

導入コストがどれくらいかかるか分からない

比較的新しい技術であるため、WebAuthnの導入に必要なコストが算出しにくいというデメリットがあります。開発にどれくらいの費用が必要か、設備投資にはいくら投入すべきなのか等が不明なため、導入に踏み切れない企業もあるでしょう。

まずは先進的な大企業に普及し、しばらく時間を経てから少しずつ採用企業が増えていくことが見込まれます。

デバイス紛失時の復旧が難しい

パスワード認証では、仮にパスワードを思い出せない場合には再発行を申請することが可能です。しかし生体認証を利用するFIDO認証では、認証に用いるデバイスを紛失してしまった場合には、すぐに復旧することが難しいというデメリットがあります。

複数のデバイスを登録しておく方法も考えられますが、一般的にはデバイス紛失時の復旧には一定の時間がかかってしまうと言えるでしょう。

パスワードのみに頼った認証方法は、今後少しずつ多要素認証やパスワードレス認証に置き換わっていくでしょう。今後WebAuthnが普及するのにしたがって、さらに安価で利用しやすいものとなっていくことは確実です。