FIDO2とは?
FIDO(Fast Identity Online)は、FIDOアライアンスの最新仕様の総称です。
FIDO2技術に基づくパスキーにより、パスワードを使用することなく、オンラインサービスを迅速かつ安全に認証することができます。
パスキーとFIDO2認証は、世界的なパスワードの課題に対応する業界の将来を見据えたソリューションです。デスクトップ環境とモバイル環境の両方で、耐フィッシング認証と強化されたユーザー体験を提供することで、従来の認証に関するすべての懸念に対応します。
組織がFIDOを検討すべき理由とは?
便利
FIDO2はパスワードレスの認証方式であるため、ユーザーはパスワードを覚えておく必要がありません。ユーザーへの普及を促進するために、指紋などの生体認証と組み合わせることができます。
優れたフィッシング耐性
非対称公開鍵暗号を活用するFIDO2は、各秘密鍵が1つのサービスドメインにバインドされているため、フィッシング攻撃を阻止します。アクセスしたサービスが偽物の場合、認証は失敗します。
攻撃を防止
FIDO2セキュリティキーは、各秘密鍵がハードウェアデバイスに安全に保存されるため、中間者攻撃(MiTM)を阻止します。
将来に対応
最近のWebアプリケーションはFIDO2をサポートしています。サイバーセキュリティ機関やアナリストは、FIDO2セキュリティキーを投資すべき「ゴールド」テクノロジーと位置づけています(NIST、ENISA、CSA、Gartnerなど)。
どこでも認証
スマートカードやUSBトークンなどの様々なフォームファクターと、非接触オプションにより、ユーザーはモバイルデバイスや共有デスクトップから認証を行うことができます。
導入が容易
オープンスタンダードに基づくFIDO2は、システムの互換性を簡素化します。パスワードに関連するヘルプデスクのコストや、ITのオーバーヘッドを削減します(個別のインフラが不要)。
データ侵害の主な初期攻撃ベクトル
49 %
認証情報の盗難または漏洩
16 %
フィッシング
WindowsセッションやWebアプリケーションなど、機密性の高いデジタルリソースに接続する際のなりすましやセキュリティ侵害のリスクを軽減するため、Thalesでは組織に対し、高特権ユーザー、現場の従業員、一般ユーザー向けに、ハードウェアセキュリティキーにバインドされたパスキーを使用して、フィッシングに強いパスワードレス多要素認証を有効にすることを推奨しています。
耐フィッシングMFA、パスキー、FIDOセキュリティキーに関する包括的ガイド
PKI認証と組み合わせたFIDO2は、ベンダーがパスワードレス認証を実装し、クラウドベースのアプリケーションへのアクセスを保護できるよう支援する、将来を見据えたソリューションを提供します。
Thales FIDO2セキュリティキーのメリット
Thalesの多要素認証デバイスは現行および最新のプロトコルを使用して、複数のアプリケーションを同時にサポートします。FIDO2、WebAuthn、U2F、PKIを組み合わせた1つのセキュリティキーを使用して、物理スペースと論理リソースの両方にアクセスします。
最高クラスのセキュリティ
Thalesは製造サイクル全体を管理し、独自のFIDO暗号ライブラリを開発することで、侵害リスクを低減します。
複数のユースケースに対応
- FIDO、PKI、物理的アクセスを単一のデバイスに統合
- モバイルエンドポイントから強力な認証を体験
採用を促進する高いユーザー利便性
- 生体認証(スマートカードでの指紋認証)のサポート
- 高感度存在検知センサーを備えたUSB FIDOキー
高いセキュリティ市場基準に準拠
- U2FおよびFIDO2認証取得済み
- 耐フィッシング認証に関する米国とEUの規制に準拠
- 欧州で製造され、貿易協定法(TAA)に準拠(オプション)
- PKI運用のためのFIPSおよびCC認証取得済み
長寿命を実現する堅牢性と拡張性
- 硬質成型プラスチック製の耐タンパーUSB FIDOキー
- USBポートにダメージを与えない高感度存在検知センサー
- ファームウェアのアップデートに対応し、保守性とアップグレーダビリティを向上
エンタープライズFIDO対応
- FIDO2.1仕様に準拠
- Thales FIDOエンタープライズ機能のメリットを活用
- SafeNet FIDO key Managerを無料で使用可能
ニーズに合ったFIDO2セキュリティキーを見つける
Thalesは幅広いFIDO認証システムによって、数多くのパスワードレス認証への取り組みを支援しています。
FIDO USBトークン
FIDOを使用したWebアプリケーションやデバイスへの安全なアクセス
SafeNet eToken FIDOシリーズ
- パスワードレス化を目指す組織に最適なソリューション
- コンパクトな耐タンパーUSBトークン(タイプAおよびタイプC)
- 人の存在を確認する存在検知センサー
- 特権ユーザー、最前線で働く労働者、派遣労働者に最適
- 従業員はPCやタブレットなどの共有デバイスに迅速にアクセス可能
Thales Enterprise features
- Manage FIDO Keys
- Ensure appropriate usage of FIDO Keys
- Unblock FIDO Keys
- Manage Reset
- Ensure Persistent PIN Length
- Enforce user verification
FIDO USB Tokens
Secure access to web applications and devices using FIDO
SafeNet eToken FIDO series
- Ideal solution for organizations to go passwordless
- Compact, tamper-evident USB tokens, available in type A, type C and NFC in option
- Presence detection sensor to confirm human presence
- Ideal for privilege users, frontline and temporary workers
- Quick access for employees to any shared device such as PC or tablet
FIDO + 生体認証
ユーザーによる導入の簡素化。
SafeNet IDPrime FIDO Bio Smart Card
生体認証とNFCを組み合わせた革新的なSafeNet IDPrime FIDO Bio Smart Cardにより、エンドユーザーはパスワードの代わりに指紋だけを使用して、複数の種類のデバイスから安全かつ簡単に認証を行うことができます。
Authenticate to your data with your fingerprint
eToken Fusion Bio
By combining biometric fingerprint verification, FIDO2, and PIN-based PKI support in a single device, it brings phishing-resistant, passwordless authentication to life without disrupting users. A simple fingerprint replaces passwords and codes, strengthening identity security while accelerating user adoption of phishing-resistant MFA across the organization.
FIDO + PKIスマートカード
最新のFIDO認証をPKIユースケースに拡張します。
SafeNet IDPrime FIDO Smart Cardシリーズ
- 新世代PKIスマートカード
- クラウド移行と認証の近代化を促進
- FIDOとPKIのユースケースをサポート:認証、デジタル署名、ファイル暗号化
- レガシーアプリ、ネットワークドメイン、クラウドサービスへのアクセスを1つのバッジで保護
- NFCにより、デスクトップパソコンからタブレットまで複数のデバイスで使用可能
- 組織が市場規制を満たせるよう支援
FIDO + PKI USBトークン
最新のFIDO認証をPKIユースケースに拡張します。
SafeNet eToken Fusionシリーズ
- 新世代PKI USBトークン
- クラウド移行と認証の近代化を促進
- FIDOとPKIのユースケースをサポート:認証、デジタル署名、ファイル暗号化
- レガシーアプリ、ネットワークドメイン、クラウドサービスへのアクセスを1つのトークンで保護
- NFCオプションにより、デスクトップパソコンからタブレットまで複数のデバイスで使用可能
- 組織が市場規制を満たせるよう支援
- 組織がライフサイクルを管理できるよう支援する「エンタープライズFIDO対応」オプション
FIDO + 物理的アクセス
デジタルアクセスと物理的アクセスを組み合わせます。
Thalesは、物理的アクセスとデジタルPKI/FIDO認証を組み合わせたスマートカードを組織に提供しています。コンバージドバッジは、安全なエリアや機密性の高いデジタルリソースへのアクセスを保護する必要がある組織にとって理想的なソリューションです。バッジの配備とフリート管理にかかるコストが大幅に削減され、従業員による導入が促進されます。
FIDOキーの管理
Thales FIDOエンタープライズ機能により、FIDOキーのライフサイクルを管理することができます。
Thales FIDOエンタープライズ機能により、組織はFIDOキーをライフサイクルを通じて安全かつ容易に管理することができます。これらの機能は、ITチームがエンドユーザーを導入、管理、サポートできるように、管理レイヤーと構成ポリシーを追加します。FIDOアライアンスのFIDO2.1仕様を超えて、ThalesのFIDOエンタープライズ機能は組織に以下のメリットを提供します:
- セキュリティの向上 - あらゆるデバイスからの認証時にユーザー検証を強制し、PINの最小長を管理し、PINポリシーセットを保護し、FIDOキーのデータが悪意を持って、または非意図的に削除されるのを防ぎます。
- 組織資産の適切な利用 - FIDO認証システムの利用を優先サービスのリストに限定します。
- ITコストの削減とユーザー体験の向上 - すべてのキーデータをリセットすることなくFIDOキーのブロックを解除し、エンドユーザーがセルフサービスでPINコードを設定・変更できるようにします。
SafeNet FIDO Key manager、Versasec Credential Management System、OneWelcome FIDO Key Lifecycle Management SolutionでサポートされるThales FIDOエンタープライズ機能の詳細をご覧ください。
Microsoft 365とWindowsデバイスへの安全なアクセス
ThalesとMicrosoftは、Microsoft 365の顧客にFIDOと証明書ベースの認証(CBA)を提供するために提携しています。
Microsoftの顧客はEntra IDにより、Thales X.509証明書ベーストークン 、スマートカード、およびFIDO認証システムを使用して、ID保護のあらゆるニーズに対応することができます。
すべてのThales FIDOセキュリティキー(トークンまたはスマートカード)は、Microsoft Entra IDと完全に互換性があり、統合されています。
Microsoft環境向けのThales FIDO2セキュリティキーの詳細については、デモ動画やソリューション概要をご覧になるか、インストールガイドをダウンロードしてご確認ください。Azure Marketplaceでオファーをご確認ください。
Identity Trailblazer賞受賞企業と提携
Microsoft Securityから2024 Identity Trailblazer賞を受賞したThalesは、片面にMicrosoft Securityのロゴが入ったUSB-CおよびUSB-A FIDOセキュリティキーを提供する唯一のベンダーです。クラウドサービスやWindowsのログオンの保護に最適です。
推奨リソース
パスワードを使わずに機密性の高いオンラインサービスに安全にアクセスするために使用できる、USBまたはスマートカードのコンパニオンデバイスです。FIDOアライアンスによって開発されたFIDO2(Fast identity Online)標準を使用しています。
FIDO(Fast Identity Online)プロトコルは、秘密鍵が認証チャレンジに対するレスポンスに署名するために使用される前に、「ユーザーによるジェスチャー」(トークンに触れるかタップする)および/または(PINまたは生体情報を介した)ユーザー検証を必要とします。
オンラインサービスにアクセスするには、ユーザーインターフェースに表示されるオンラインガイドラインに従うだけです。指示に従ってトークンをデバイスのUSBポートに差し込み、存在検知センサーに触れて存在を確認し、PINを入力することでログインが完了します。また、SafeNet FIDO Bio Smart Cardのような非接触型の生体認証トークンを使用する場合は、生体認証センサーに指を当てながら、カードをデバイスにタップするだけでログインできます。
FIDO2では、パスキーがパスワードの代わりとなり、ウェブサイトやアプリへのサインインをより速く、よりアクセスしやすく、より安全なものにします。フィッシングや認証情報スタッフィングに耐性があり、シークレットが共有されないように設計されています。
パスキーには、同期パスキー(クラウドサービスを介して他のデバイスにエクスポート可能)とデバイス固定パスキー(1つのデバイスに保存され、コピー不可)の2種類があります。FIDO2セキュリティキー/トークンは、デバイス固定パスキーです。
はい、FIDO2トークンはあらゆるモバイルデバイスで使用できますが、トークンのコネクター(USB-CまたはUSB-A)によっては、ユーザーはアダプターを使用する必要があります。トークンとデバイスがNFCに対応している場合、ユーザーはトークンをモバイルデバイスの背面にタップすることで、NFC機能を直接使用することもできます。
Thales FIDO2トークンはすぐに使用でき、ソフトウェアやドライバーのインストールは不要です。FIDO2トークンはオンラインサービスに登録することで設定できます。設定方法はサービスプロバイダーによって異なる場合がありますので、ユーザーインターフェースに表示される指示に従ってください。一般的に、サービスプロバイダーは、ログイン名、PINコード、登録されたFIDO2トークンの名前を定義するよう求めます。または、SafeNet FIDO Key Managerを使用して、Thales FIDO2トークンのPINを設定・変更することもできます。
このトピックの詳細は、専門セクションをご参照ください。
FIDO2トークンは、FIDO2標準をサポートするすべてのオンラインサービスと互換性があります。
詳しくはFIDO対応サービスのページをご覧ください。
FIDO2パスキーの使用には、従来のパスワードとは異なる利点があります:
- セキュリティ:すべてのWebサイトで一意のログイン認証情報がサーバーに保存されることはなく、フィッシングなどの攻撃リスクを排除します。
- ユーザー体験:ユーザーログインには、デバイスに組み込まれたシンプルな方法を使用するか、使いやすいFIDO2セキュリティキーを活用します。
- プライバシー:各インターネットサイトに対して一意のキーがあり、サイト間でユーザーを追跡するために使用されることはありません。生体認証データは、使用された場合、ユーザーのデバイスから外部に流出することはありません。
- スケーラビリティ:すべての主要なブラウザーとプラットフォームでサポートされているシンプルなAPIコールを介してFIDO2を有効にします。
暗号技術に基づくFIDO2認証は、最も安全な認証方法の1つとして世界中のサイバーセキュリティ機関に認められています。FIDO2ハードウェアトークンは、フィッシングや中間者攻撃に耐性があります。
FIDOとCBAは、NIST、ENISA、ANSSI、オランダのサイバーセキュリティ機関NCSC(National Cybersecurity Center)などのサイバーセキュリティ規制機関によって、フィッシング耐性があると認められている2つの認証プロトコルです。
非対称公開鍵暗号に基づくFIDO2セキュリティキー(USBトークンまたはスマートカード)は、各秘密鍵がサービスプロバイダーのドメインにバインドされているため、フィッシングを防ぐことができます。ドメインが偽物の場合、認証は失敗します。さらに、すべての秘密鍵はFIDO2キーにローカルかつ安全に保存されるため、中間者攻撃を防ぐことができます。
はい、FIDO2トークンは、公開鍵暗号に基づく個人データの保護を包含しています。FIDO2は、強力なMFAに対する米国政府とEU安全保障機関の要件を満たしています。ハードウェアFIDOセキュリティキーは、NISTのAAL3(NISTによる認証保証の最高レベルである保証レベル3)の評価を獲得しています。
