対象試験と出題頻度
FIDO(Fast Identity Online)は、情報セキュリティマネジメント・ITパスポート・基本情報技術者・応用情報技術者の全試験で出題されるセキュリティ用語です。
頻出度は「B(覚えておくと有利)」。パスワードレス認証やパスキーに関連する最新のセキュリティトピックとして注目度が高まっています。
詳細をクリックして確認
情報セキュリティマネジメント
ITパスポート
基本情報技術者
応用情報技術者
★★★☆☆
ランクB(覚えておくと有利)
用語の定義
FIDO(ファイド:Fast Identity Online)とは、一言で言うと「パスワードを使わずに、生体認証やセキュリティキーで安全にログインするための国際標準規格」のことです。
イメージとしては、「パスワードを入力する代わりに、指紋や顔で『自分だ』と証明する新しいログイン方法」のようなものです。
従来のパスワード認証は、パスワードを覚えて入力する必要がありました。FIDOでは、スマートフォンの指紋認証やUSBセキュリティキーを使うことで、パスワードを入力せずに安全にログインできます。最近話題の「パスキー(Passkey)」も、このFIDO規格に基づいた技術です。
📊 パスワード認証とFIDO認証の違い
| 比較項目 | パスワード認証 | FIDO認証 |
|---|---|---|
| 認証方法 | パスワードを入力 | 生体認証やセキュリティキー |
| 秘密情報の保管場所 | サーバー側にパスワード(ハッシュ)を保存 | 秘密鍵はユーザーのデバイス内のみ |
| フィッシング耐性 | 弱い(偽サイトに入力してしまう) | 強い(サイトごとに異なる鍵を使用) |
| 漏洩リスク | サーバー攻撃で大量漏洩の恐れ | 秘密鍵はサーバーに送らないため低い |
解説
「パスワードが多すぎて覚えられない…」「同じパスワードを使い回してしまう…」という悩みを抱えている人は多いのではないでしょうか。実際、パスワードに関するトラブル(漏洩、使い回し、フィッシング詐欺など)は後を絶ちません。
FIDOは、この「パスワード問題」を根本から解決するために生まれた国際標準規格です。FIDOアライアンスという業界団体が策定しており、Google、Apple、Microsoft、Amazonなど世界中の大手企業が参加しています。
💡 FIDOの仕組み(公開鍵暗号方式)
FIDOは公開鍵暗号方式を使っています。ユーザーがサービスに登録すると、デバイス内で「秘密鍵」と「公開鍵」のペアが生成されます。公開鍵だけがサーバーに送られ、秘密鍵はデバイス内に安全に保管されます。
ログイン時には、サーバーから送られた「チャレンジ(認証用のランダムデータ)」に対して、デバイス内の秘密鍵で署名し、その署名をサーバーが公開鍵で検証します。パスワードのように「秘密情報をサーバーに送る」必要がないため、漏洩リスクが大幅に低減します。
FIDO2とパスキー
FIDOには複数のバージョンがありますが、現在主流なのはFIDO2です。FIDO2は、Webブラウザ向けの「WebAuthn」という仕様と、デバイスとの通信規格である「CTAP(Client to Authenticator Protocol)」で構成されています。
最近よく耳にするパスキー(Passkey)は、FIDO2をベースにした「パスワードレス認証」の呼び名です。Apple、Google、Microsoftが協力して普及を進めており、iCloudやGoogleアカウントを通じてパスキーを複数デバイス間で同期できるようになっています。
FIDOのメリット
- パスワード不要:パスワードを覚える必要がなく、入力の手間もありません。
- フィッシング耐性:認証はサイト(オリジン)ごとに紐づくため、偽サイトでは認証が成立しません。
- 漏洩リスクの低減:秘密鍵はサーバーに送信されないため、サーバー攻撃による大量漏洩のリスクがありません。
- 利便性:指紋や顔認証でワンタッチでログインできます。
⚠️ FIDOの注意点
①デバイス依存:秘密鍵はデバイス内に保管されるため、デバイスを紛失・故障すると認証できなくなるリスクがあります。パスキーではクラウド同期で対応していますが、バックアップ手段の確保は重要です。
②対応サービスの限定:FIDO認証に対応していないサービスでは従来のパスワード認証が必要です。普及は進んでいますが、すべてのサービスで使えるわけではありません。
③生体情報への依存:生体認証を使う場合、怪我や加齢で認証できなくなる可能性があります。代替手段(PINなど)を設定しておくことが推奨されます。
試験ではこう出る!
FIDOは、パスワードレス認証や最新のセキュリティ技術に関する問題で出題されます。以下のキーワードとセットで確実に覚えましょう。
【重要キーワード】
- パスワードを使わない認証(パスワードレス認証)
- 生体認証やセキュリティキーで本人確認
- 公開鍵暗号方式を使用(秘密鍵はデバイス内に保管)
- フィッシング耐性が高い
- FIDO2 / WebAuthn / パスキー(Passkey)
- FIDOアライアンスが策定した国際標準規格
試験問題で「パスワードを使わずに生体認証やセキュリティキーで認証する」や「公開鍵暗号方式を用いて、秘密鍵をサーバーに送信せずに認証する」といった記述があれば、それは「FIDO」に関する記述です。
📊 認証技術の比較(試験対策)
| 認証技術 | 特徴 |
|---|---|
| FIDO(パスキー) | パスワード不要。公開鍵暗号方式でフィッシング耐性が高い |
| 多要素認証(MFA) | 知識・所持・生体の2つ以上を組み合わせて認証 |
| シングルサインオン(SSO) | 1回の認証で複数システムにアクセス可能 |
| ワンタイムパスワード(OTP) | 一度きりの使い捨てパスワードで認証 |
📝 IPA試験での出題ポイント
FIDOの問題では、「パスワードレス」「公開鍵暗号方式」「フィッシング耐性」がキーワードになります。特に「秘密鍵はデバイス内に保管され、サーバーには送信されない」という点が重要です。
従来のパスワード認証では、サーバー側にパスワード(のハッシュ)が保存されるため、サーバー攻撃で漏洩するリスクがありました。FIDOではこのリスクがない点を押さえておきましょう。試験ではここまででOK。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. FIDO(Fast Identity Online)に関する説明として、最も適切なものはどれでしょうか?
- A. 1回の認証で複数のシステムやサービスにログインできるようにする仕組み
- B. パスワードを使わずに、生体認証やセキュリティキーで安全にログインするための国際標準規格であり、公開鍵暗号方式を用いてフィッシング耐性を高めている
- C. ユーザーのアクセス状況を分析し、普段と異なるリスクの高いアクセスを検知した場合にのみ追加認証を要求する方式
正解と解説を見る
正解:B
解説:
FIDO(Fast Identity Online)は、パスワードを使わずに生体認証やセキュリティキーで安全にログインするための国際標準規格です。公開鍵暗号方式を採用しており、秘密鍵はユーザーのデバイス内にのみ保管され、サーバーには送信されません。また、認証はサイト(オリジン)ごとに紐づくため、偽サイトでは認証が成立せず、フィッシング耐性が高いのが特徴です。最近話題の「パスキー(Passkey)」もFIDO2規格に基づいています。
選択肢Aは「シングルサインオン(SSO)」の説明です。選択肢Cは「リスクベース認証」の説明であり、いずれもFIDOとは異なる認証技術です。
