パスワードレス認証とは？基礎を解説

パスワードレス認証とは？

パスワードレス認証を導入することで、多くの侵害の原因となる攻撃を排除できます。Verizon 2024 DBIRによると、盗まれた認証情報が最も多い初期攻撃ベクターとなっています。パスワードレス認証は、従来のパスワードベースのログインをFIDO2/WebAuthn標準に基づく暗号鍵、生体認証、またはハードウェアトークンに置き換えます。

基本的なアーキテクチャの変化は、共有シークレットから非対称暗号方式への移行です。IBMのドキュメントによれば、サーバーは認証に使用できない公開鍵のみを保存し、対応する秘密鍵はデバイス上にのみ保持されます。

エンタープライズ要件を満たす主な3つの方法は、生体認証、ハードウェアセキュリティキー、パスキーです。これらはすべて、認証時に再利用可能な認証情報が送信されないという共通の特性を持っています。この根本的な変化により、パスワードが最も悪用される攻撃ベクターとなる脆弱性が解消されます。

パスワードレス認証とサイバーセキュリティの関係

パスワードベースの認証は現代の攻撃手法に対して無力であり、パスワードレス認証は組織のセキュリティに不可欠です。 Verizonの2025年分析によると、被害者の54%がインフォスティーラーのログで認証情報が既に漏洩していました。 CISAのガイダンスでは、連邦機関に対しゼロトラストアーキテクチャの一環としてクラウドベースのパスワードレス認証への移行を明確に指示しています。

2023年のMGM Resorts侵害では、攻撃者がソーシャルエンジニアリングを用いて認証制御を回避し、 1億ドルの損害を引き起こし、スロットマシンやホテルシステムの数日間の停止を余儀なくされました。同様に、2021年のColonial Pipelineランサムウェア攻撃は、単一のVPNパスワードの侵害から始まり、 440万ドルの身代金支払いと米国東部での燃料不足を招きました。 CISAの推奨によれば、フィッシングはサイバースパイ事件やデータ侵害の大部分を引き起こしています。 クレデンシャルスタッフィングは盗まれたパスワードを多数のサービスで試行し、キーロガーはパスワード文字を記録し、データベース侵害は集中管理されたパスワードストアを露出させます。

パスワードレス認証は、暗号的なバインディングによって各攻撃タイプに対応します。CISAのフィッシング耐性MFAガイダンスによれば、FIDO/WebAuthnはフィッシング耐性の 多要素認証のゴールドスタンダードであり、認証が特定ドメインに暗号的にバインドされるため、認証情報の窃取攻撃を防ぎます。

これらのセキュリティ上の利点を理解するには、パスワードレス方式と従来方式の比較が必要です。

パスワードレス認証と従来認証の比較

従来のパスワード認証は、データベースに保存された共有シークレットに依存しています。アカウント作成時、サーバーはパスワードのハッシュ値を保存します。ログイン時にはパスワードを送信し、サーバーがハッシュ化して保存値と比較します。このアーキテクチャは複数の障害点を生み、パスワードデータベースが攻撃対象となり、送信中の認証情報が傍受され、ユーザーが複数サービスでパスワードを使い回す原因となります。

パスワード＋従来型MFAはセキュリティを向上させますが、摩擦を生み、脆弱性も残ります。SMSコードはSIMスワッピング攻撃で傍受される可能性があります。時限式ワンタイムパスワードは手動入力が必要で、リアルタイムフィッシングプロキシによるコードの取得・再利用に脆弱です。プッシュ通知は攻撃者が繰り返しプロンプトを送ることでMFA疲労を引き起こします。

パスワードレス認証は共有シークレットモデルを完全に排除します。秘密鍵はデバイスから決して離れず、認証情報データベースの侵害リスクがありません。認証は特定ドメインに暗号的にバインドされるため、フィッシングサイトで再利用可能な認証情報が取得されることはありません。ユーザー体験も向上し、生体認証による本人確認がパスワード入力やコード転記を不要にします。

運用面の違いも同様に重要です。パスワードリセットはヘルプデスクのリソースを消費し、ソーシャルエンジニアリングの機会を生みます。パスワードレス認証はリセット手続きを完全に排除し、暗号鍵は記憶を必要としません。パスワード忘れによるアカウントロックアウトもなくなり、生体認証による認証はパスワード入力より高速です。

これらの利点を踏まえ、適切なパスワードレス方式の選択は組織のセキュリティ要件とユーザーワークフローに依存します。

パスワードレス認証方式の種類

組織は、用途やセキュリティ特性に応じて複数のパスワードレス認証方式を導入できます。

• 生体認証は身体的特徴によって本人確認を行います。指紋スキャナー、顔認証、虹彩認証は、生体特徴をデバイス上にローカル保存される数理テンプレートに変換します。Windows Hello、Apple Face IDやTouch ID、Androidの生体認証システムが代表的な実装例です。生体認証は利便性が高い一方、センサー故障時の代替手段が必要です。
• ハードウェアセキュリティキーは専用の暗号デバイスとして機能します。YubiKeyやGoogle Titan Keyなどは、耐タンパー性のハードウェア内で秘密鍵を生成・保存します。これらのローミング認証器はUSB、NFC、Bluetooth経由で複数デバイス間で利用可能です。セキュリティキーは物理的所持と自動ドメインバインディング検証により、最強のフィッシング耐性を提供します。
• パスキーは急速に普及している最新方式です。Apple、Google、Microsoftは各プラットフォームでパスキーをサポートし、iCloudキーチェーン、Googleパスワードマネージャー、Microsoftアカウントを通じて認証情報を安全に同期できます。パスキーはハードウェアベースのセキュリティと自動同期の利便性を兼ね備えています。
• マジックリンクはメール経由でワンタイム認証URLを送信します。アクセス要求時にサービスが一意かつ有効期限付きのリンクを生成し、クリックすることでメールアカウントの所有を証明します。マジックリンクは利用頻度の低いシナリオに適していますが、メールセキュリティに依存します。
• スマートカードおよびPIV認証情報は、政府機関やエンタープライズ環境で広く利用されています。これらの物理カードは暗号チップを内蔵し、証明書や秘密鍵を格納します。連邦機関ではHSPD-12要件によりPIV認証情報が義務付けられています。スマートカードはカードリーダーが必要ですが、高い保証レベルの認証を提供します。

各方式は、技術アーキテクチャで定義されるFIDO2コンポーネントやセキュリティ要件に対応しています。

パスワードレス認証のコアコンポーネント

FIDO2はエンタープライズ向けパスワードレス認証の技術基盤です。 FIDO Allianceの仕様によれば、WebAuthnはWebアプリケーションと認証器の通信を定義し、CTAP2はプラットフォームと外部セキュリティキー間の通信を担当します。

• WebAuthnはW3C標準のブラウザネイティブAPIとして動作します。 ブラウザはnavigator.credentials.create()で登録、navigator.credentials.get()で認証を提供します。これらのAPIにより、サーバーはFIDO2仕様に従い、パスワードの代わりに公開鍵暗号方式でユーザー登録が可能です。
• 認証器は2つのカテゴリに分類されます。 プラットフォーム認証器はWindows Hello、Apple Touch ID、Android生体認証などデバイスに直接統合され、暗号処理にTrusted Platform Moduleを使用します。FIDO Allianceによれば、秘密鍵はソフトウェア抽出を防ぐハードウェアセキュリティモジュール内に保存されます。ローミング認証器はUSB、NFC、Bluetooth経由で複数デバイス間で利用可能なポータブルセキュリティキーです。
• 公開鍵暗号方式が暗号基盤を提供します。 登録時、認証器はサービスごとに一意の鍵ペアを生成します。 IBMのドキュメントによれば、秘密鍵はデバイスのセキュアハードウェアに恒久的に保存され、公開鍵のみが認証サーバーに送信されるため、集中管理されたパスワードデータベースが不要です。
• 生体認証はローカルデバイス上でのみ実行されます。 FIDO Allianceのアーキテクチャ設計により、生体テンプレートは認証器から外部に出ることはありません。デバイスはライブ生体サンプルと保存テンプレートをローカルで照合し、認証成功時のみ秘密署名鍵をアンロックします。

これらのコンポーネントが連携し、パスワード送信を排除した厳密な認証フローを実現します。

パスワードレス認証の仕組み

パスワードレス認証は、暗号的な本人性を確立する初回登録と、登録済み認証情報の所有を証明する認証の2つのプロセスに依存します。両フローを理解することで、パスワードの脆弱性がなぜ排除されるのかが明らかになります。

登録フロー

登録フローは暗号的な本人性を確立します。アカウント作成画面でパスワードレス認証を選択し、サーバーが登録チャレンジを生成します。

ブラウザがnavigator.credentials.create()をチャレンジパラメータ付きで呼び出します。ユーザーは生体認証またはPINで本人確認を行い、認証器がセキュアハードウェア内で新しい公開鍵・秘密鍵ペアを生成します。共有シークレットによる本人確認は不要で、パスワードの脆弱性が完全に排除されます。

秘密鍵はセキュアエレメントから決して離れず、公開鍵・認証情報ID・アテステーションステートメントがサーバーに返送されます。サーバーはアテステーションを検証し、チャレンジとオリジンを確認した上で公開鍵と認証情報IDを保存します。

認証フロー

認証要求はログインページへのアクセス時に開始されます。サーバーが暗号チャレンジを生成し、登録済み公開鍵を取得します。ブラウザがnavigator.credentials.get()をチャレンジ付きで呼び出します。ユーザーは生体認証またはPINで本人確認し、秘密鍵をアンロックします。

認証器がチャレンジに署名し、認証情報ID・署名済みチャレンジ・認証器データを含むアサーションを返します。サーバーは公開鍵を取得し、署名を数理的に検証、チャレンジの一致とリライングパーティIDを確認します。検証成功時にアクセスが許可されます。

組み込みのセキュリティ保護

暗号的バインディングにより、フィッシング耐性が本質的に提供されます。認証情報は正規サービスのドメインに暗号的にバインドされます。フィッシングサイトにアクセスしても、ブラウザはオリジン不一致で認証器を呼び出しません。認証情報は攻撃者のドメインでは物理的に機能しません。

デバイス盗難対策は必須のユーザー検証に依存します。デバイスを盗まれても認証器ハードウェアへの物理アクセスしか得られず、秘密鍵は取得できません。秘密鍵は生体認証またはPIN入力による認証成功時のみアンロックされ、「持っているもの」と「本人であること／知っていること」の両方が必要です。

これらのセキュリティ機構は、運用面・セキュリティ面で測定可能なメリットをもたらします。

パスワードレス認証の主なメリット

多くの侵害の原因となる攻撃ベクターを排除できます。 FIDO Allianceの調査（従業員500人以上の企業の経営幹部400人対象）によれば、パスキー導入後に90%がセキュリティ向上、77%がヘルプデスクへの問い合わせ減少を報告しています。多くの組織でパスワード関連のサポート依頼が大幅に減少し、年間のヘルプデスクコスト削減につながっています。

認証パフォーマンスも大幅に向上します。 FIDO Allianceのケーススタディによれば、パスワードレス認証は従来のパスワード認証と比較して95～97%の成功率と高速なサインインを実現しています。

クレデンシャルスタッフィング攻撃はパスワードレスシステムでは無効です。Verizon 2025年分析によれば、多くの ランサムウェア被害者はインフォスティーラーのログで認証情報が漏洩していました。パスワードレス認証はサービスごとに一意の暗号認証情報を生成し、秘密鍵はユーザーデバイスから決して離れません。1つのサービスが侵害されても他サービスで利用可能な認証情報は得られず、共有パスワードシークレットの危険がありません。

コンプライアンスやアーキテクチャの観点でも、パスワードレス認証は追加の利点を提供します：

• ゼロトラストアーキテクチャの基盤となる認証制御を実現し、CISAの成熟度モデルではフィッシング耐性方式が特権アクセス制限に不可欠とされています
• NIST SP 800-63Bの認証器保証レベルは、パスワードレス方式が最高レベルに直接対応し、コンプライアンス要件を簡素化します

これらの利点にもかかわらず、導入前に課題を理解することが重要です。

パスワードレス認証の課題と制限

レガシーシステムとの統合が主な技術的障壁となります。 ACM Communicationsに掲載された査読論文によれば、レガシーシステムは認証コードがコア機能に組み込まれており、FIDO2/WebAuthnプロトコル用APIがありません。多くの組織がこの複雑さを過小評価しています。ユーザーにパスワードレス認証を提供しつつ、バックエンドはパスワードベース通信を維持するゲートウェイアーキテクチャが必要であり、FIDO2非対応システムには早期からアーキテクチャ計画が求められます。

• 監視インフラの事前更新が必要です。 インシデント対応は不完全なログ記録、未文書化エラーコード、不足するフォレンジック情報により複雑化します。 脅威ハンティングクエリやSIEM相関ルールを更新せずにパスワードレス認証を導入すると、認証失敗の調査ができないセキュリティブラインドスポットが生じます。
• アカウント復旧とバックアップ認証には慎重な計画が必要です。 FIDO Allianceガイドラインによれば、パスワードレス認証導入前にユーザーごとに最低2つの認証器登録が必要です。バックアップ方式も主要方式と同等のセキュリティ基準を満たす必要があります。NISTガイドラインでは、連邦システムでのSMS認証を禁止し、FIDO2準拠ハードウェアキーや時限式ワンタイムパスワード、追加認証器の登録を推奨しています。
• プッシュ通知攻撃やMFA疲労戦術は残る脆弱性です。 攻撃者は繰り返し認証プロンプトを送信し、ユーザーが正当性を確認せず承認することを狙います。ユーザーには認証要求が実際のログイン試行と一致するか確認するよう教育し、認証承認のレート制限を実装してください。最も危険な見落としは、導入前にログ機能を更新しないことです。
• 導入期間は想定より長期化します。 FIDO Allianceによれば、多くの組織で1～2年にわたる段階的導入が必要です。即時切り替えを試みると失敗することが多く、成功企業はまず機密データアクセスユーザーから優先的に展開し、ターゲットを絞ったコミュニケーション戦略を用いてから全体展開へと拡大しています。

これらの課題は、成功する導入のためのベストプラクティス策定に役立ちます。

パスワードレス認証のベストプラクティス

NISTおよびCISAフレームワークとの整合から開始してください。 NIST SP 800-63Bは認証強度要件を定義する認証器保証レベルを規定しています。 CISAのゼロトラスト成熟度モデルを参照し、パスワードレス認証を基盤的なアイデンティティ制御として位置付けてください。

リスクの高いユーザーから段階的に展開してください。 FIDO Allianceの調査によれば、成功企業は機密データアクセスユーザーを優先し、技術実装を検証し、フィードバックを収集し、手順を改善してから拡大しています。パイロット段階で 脅威ハンティング機能を構築し、本番運用初日から監視を開始してください。

インフラ準備とユーザー登録時には、以下の重要要件に注力してください：

• 本番導入前に、パスワードレス認証イベント（異常なエラーコードや失敗試行を含む）用のSIEM相関ルールを更新する
• 登録時にユーザーごとに最低2つの認証器登録を義務付け、冗長性と復旧経路を確保する
• NIST SP 800-63B基準に従い、複数種類の認証器（プラットフォーム認証器とローミング認証器）をサポートする
• バックアップ認証にはFIDO2準拠ハードウェアキーまたは時限式ワンタイムパスワードを使用し、SMSは使用しない
•  アイデンティティセキュリティをSIEMやインシデント対応手順など広範なセキュリティ運用と統合する
• すべての認証器ハードウェアについてFIDO Alliance認証プログラムによるFIDO2認証を確認する

導入期間の長期化を計画してください。レガシーシステム統合にゲートウェイアーキテクチャ、監視インフラの更新、ユーザー定着には段階的かつ継続的な取り組みが必要です。全社的なカバレッジ達成には経営層の長期的コミットメントを確保してください。

堅牢なパスワードレス認証を導入しても、セキュリティはログイン時点で終わりません。認証後の継続的なアクティビティ監視がアイデンティティセキュリティ戦略を完成させます。

重要なポイント

パスワードレス認証は、デバイスから決して離れない暗号鍵でパスワードを置き換えることで、主要な攻撃ベクターを排除します。FIDO2標準はフィッシング耐性を提供し、クレデンシャルスタッフィングを排除し、パスワードレス導入組織はFIDO Alliance調査で大幅なセキュリティ向上とヘルプデスク問い合わせ減少を報告しています。 

リスクの高いユーザーから段階的に展開し、本番導入前に監視インフラを更新し、ゼロトラストアーキテクチャと統合してください。レガシーシステム統合は主な技術的障壁であり、ゲートウェイソリューションと長期的な導入期間が必要です。