パスワードレス認証とは？基礎を解説

パスワードレス認証とは？

パスワードレス認証を導入することで、多くの侵害の原因となる攻撃を排除できます。Verizon 2024 DBIRによると、盗まれた認証情報が最も多い初期攻撃ベクトルとなっています。パスワードレス認証は、従来のパスワードベースのログインをFIDO2/WebAuthn標準に基づく暗号鍵、生体認証、またはハードウェアトークンに置き換えます。

基本的なアーキテクチャの変化は、共有シークレットから非対称暗号方式への移行です。IBMのドキュメントによれば、サーバーは認証に使用できない公開鍵のみを保存し、対応する秘密鍵はデバイス上にのみ保持されます。

エンタープライズ要件を満たす主な3つの方法は、生体認証、ハードウェアセキュリティキー、パスキーです。これらはすべて、認証時に再利用可能な認証情報が送信されないという共通の特性を持っています。この根本的な変化が、パスワードが最も悪用される攻撃ベクトルとなる脆弱性に対処します。

パスワードレス認証とサイバーセキュリティの関係

パスワードベースの認証は現代の攻撃手法に対して無力であり、パスワードレス手法は組織のセキュリティに不可欠です。Verizonの2025年分析によると、被害者の54%がインフォスティーラーのログで以前に認証情報が漏洩していました。 CISAのガイダンスでは、ゼロトラストアーキテクチャの実装の一環として、連邦機関にクラウドベースのパスワードレス認証への移行を明示的に指示しています。

2023年のMGM Resorts侵害では、攻撃者がソーシャルエンジニアリングを用いて認証制御を回避し、 1億ドルの損害を引き起こし、スロットマシンやホテルシステムの数日間の停止を余儀なくされました。同様に、2021年のColonial Pipelineランサムウェア攻撃は、単一のVPNパスワードの侵害から始まり、 440万ドルの身代金支払いと米国東部全域での燃料不足を招きました。 CISAの推奨によれば、フィッシングはサイバースパイ活動やデータ侵害の大部分を可能にしています。 クレデンシャルスタッフィングは盗まれたパスワードを数百のサービスで試し、キーロガーはパスワード文字を記録し、データベース侵害は集中管理されたパスワードストアを露出させます。

パスワードレス認証は、暗号的なバインディングによって各攻撃タイプに対応します。CISAのフィッシング耐性MFAガイダンスによれば、FIDO/WebAuthnはフィッシング耐性の 多要素認証のゴールドスタンダードであり、認証が特定ドメインに暗号的にバインドされるため、認証情報の窃取攻撃を防ぎます。

これらのセキュリティ上の利点を理解するには、パスワードレス手法と従来手法の比較が必要です。

パスワードレス認証と従来認証の比較

従来のパスワード認証は、データベースに保存された共有シークレットに依存しています。アカウント作成時、サーバーはパスワードのハッシュ値を保存します。ログイン時にはパスワードを送信し、サーバーがハッシュ化して保存値と比較します。このアーキテクチャは複数の障害点を生み出し、パスワードデータベースが攻撃対象となり、送信中の認証情報が傍受され、ユーザーが複数サービスでパスワードを使い回すことになります。

パスワード＋従来型MFAはセキュリティを向上させますが、摩擦を生み、脆弱性も残ります。SMSコードはSIMスワッピング攻撃で傍受される可能性があります。時限式ワンタイムパスワードは手動入力が必要で、リアルタイムフィッシングプロキシによるコードの取得・再利用に依然として脆弱です。プッシュ通知は攻撃者が繰り返しプロンプトを送ることでMFA疲労を引き起こします。

パスワードレス認証は共有シークレットモデルを完全に排除します。秘密鍵はデバイスから決して離れず、認証情報データベースの侵害リスクがありません。認証は特定ドメインに暗号的にバインドされるため、フィッシングサイトで再利用可能な認証情報が取得されることはありません。ユーザー体験も向上し、生体認証による本人確認がパスワード入力やコード転記を不要にします。

運用面の違いも同様に重要です。パスワードリセットはヘルプデスクのリソースを消費し、ソーシャルエンジニアリングの機会を生みます。パスワードレス認証はリセット手続きを完全に排除し、暗号鍵は記憶を必要としません。パスワード忘れによるアカウントロックアウトもなくなり、生体認証による認証はパスワード入力より高速です。

これらの利点を踏まえ、適切なパスワードレス手法の選択は組織のセキュリティ要件とユーザーワークフローに依存します。

パスワードレス認証の主な方式

組織は、用途やセキュリティ特性ごとに複数の異なる方法でパスワードレス認証を実装できます。

• 生体認証は身体的特徴によって本人確認を行います。指紋スキャナー、顔認証システム、虹彩スキャナーは、生体特徴をデバイス上にローカル保存される数理テンプレートに変換します。Windows Hello、Apple Face IDおよびTouch ID、Androidの生体認証システムが代表的な実装例です。生体認証は利便性を提供しますが、センサー故障時の代替手段が必要です。
• ハードウェアセキュリティキーは専用の暗号デバイスとして機能します。YubiKeyやGoogle Titan Keyなどの製品は、耐タンパー性ハードウェア内で秘密鍵を生成・保存します。これらのローミング認証器はUSB、NFC、Bluetooth経由で複数デバイス間で動作します。セキュリティキーは物理的所持が必要で、ドメインバインディングを自動検証するため、最強のフィッシング耐性を提供します。
• パスキーは急速に普及している最新の方式です。Apple、Google、Microsoftは各プラットフォームでパスキーをサポートし、iCloudキーチェーン、Googleパスワードマネージャー、Microsoftアカウントを通じて認証情報を安全に同期できます。パスキーはハードウェアベースのセキュリティと自動同期の利便性を兼ね備えています。
• マジックリンクはメール経由でワンタイム認証URLを配信します。アクセス要求時にサービスが一意かつ有効期限付きのリンクを生成し、リンクをクリックすることで関連メールアカウントの制御を証明します。マジックリンクは頻繁でないアクセスシナリオに適していますが、メールのセキュリティに依存します。
• スマートカードおよびPIV認証情報は、政府機関やエンタープライズ環境で広く利用されています。これらの物理カードには証明書や秘密鍵を格納する暗号チップが組み込まれています。連邦機関ではHSPD-12要件に基づきPIV認証情報が義務付けられています。スマートカードはカードリーダーが必要ですが、高い保証レベルの認証を提供します。

各方式は、技術アーキテクチャで詳細に定義されたFIDO2コンポーネントやセキュリティ要件に対応しています。

パスワードレス認証のコアコンポーネント

FIDO2はエンタープライズ向けパスワードレス認証の技術基盤を形成します。 FIDO Allianceの仕様によれば、WebAuthnはWebアプリケーションと認証器の通信方法を定義し、CTAP2はプラットフォームと外部セキュリティキー間の通信を処理します。

• WebAuthnはW3C標準のブラウザネイティブAPIとして動作します。 ブラウザはnavigator.credentials.create()で登録、navigator.credentials.get()で認証を提供します。これらのAPIにより、サーバーはFIDO2仕様に従い、パスワードの代わりに公開鍵暗号方式でユーザー登録が可能です。
• 認証器は2つのカテゴリに分類されます。 プラットフォーム認証器はWindows Hello、Apple Touch ID、Android生体認証システムなどデバイスに直接統合され、暗号処理にTrusted Platform Moduleを使用します。FIDO Allianceによれば、秘密鍵はソフトウェアによる抽出を防ぐハードウェアセキュリティモジュール内に保存されます。ローミング認証器はUSB、NFC、Bluetooth経由で複数デバイス間で利用できるポータブルセキュリティキーです。
• 公開鍵暗号方式が暗号基盤を提供します。 登録時、認証器はサービスごとに一意の鍵ペアを生成します。 IBMのドキュメントによれば、秘密鍵はデバイスのセキュアハードウェアに恒久的に保存され、公開鍵のみが認証サーバーに送信されるため、集中管理されたパスワードデータベースが不要です。
• 生体認証はローカルデバイス上でのみ実行されます。 FIDO Allianceのアーキテクチャ設計により、生体テンプレートは認証器から外部に出ることはありません。デバイスはライブ生体サンプルと保存テンプレートをローカルで照合し、認証成功時のみ秘密署名鍵を解放します。

これらのコンポーネントが連携し、パスワード送信を排除する厳密な認証フローを実現します。

パスワードレス認証の仕組み

パスワードレス認証は、暗号的な本人性を確立する初回登録と、登録済み認証情報の制御を証明する認証の2つのプロセスに依存します。両フローを理解することで、この方式がパスワードの脆弱性を排除する理由が明らかになります。

登録フロー

登録フローは暗号的な本人性を確立します。アカウント作成画面でパスワードレス認証を選択し、サーバーが登録チャレンジを生成します。

ブラウザがnavigator.credentials.create()をチャレンジパラメータ付きで呼び出します。ユーザーは生体認証またはPINで本人確認を行います。認証器はセキュアハードウェア内で新しい公開鍵・秘密鍵ペアを生成します。共有シークレットによる本人確認は行われず、パスワードの脆弱性が完全に排除されます。

秘密鍵はセキュアエレメントから決して離れず、公開鍵・認証情報ID・アテステーションステートメントがサーバーに返送されます。サーバーはアテステーションを検証し、チャレンジとオリジンを確認した上で、公開鍵と認証情報IDを保存します。

認証フロー

認証要求はログインページへのアクセス時に開始されます。サーバーが暗号チャレンジを生成し、登録済み公開鍵を取得します。ブラウザがnavigator.credentials.get()をチャレンジ付きで呼び出します。ユーザーは生体認証またはPINで本人確認し、秘密鍵を解放します。

認証器がチャレンジに署名し、認証情報ID・署名済みチャレンジ・認証器データを含むアサーションを返します。サーバーは公開鍵を取得し、署名を数理的に検証、チャレンジの一致とリライングパーティIDを確認します。検証成功時にアクセスが許可されます。

組み込みのセキュリティ保護

暗号的バインディングにより、フィッシング耐性が本質的に提供されます。認証情報は正規サービスのドメインに暗号的にバインドされます。フィッシングサイトにアクセスしても、ブラウザはオリジン不一致の場合に認証器を呼び出しません。認証情報は攻撃者のドメインでは物理的に機能しません。

デバイス盗難対策はユーザー検証の必須化に依存します。デバイスを盗まれても、認証器ハードウェアへの物理アクセスのみで秘密鍵にはアクセスできません。秘密鍵は生体認証またはPIN入力の成功時のみ解放され、「持っているもの」と「本人であること／知っていること」の両方が必要です。

これらのセキュリティ機構は、運用面・セキュリティ面で測定可能なメリットをもたらします。

パスワードレス認証の主なメリット

多くの侵害の原因となる攻撃ベクトルを排除できます。 FIDO Allianceの調査（従業員500人以上の企業の経営幹部400人対象）によれば、パスキー導入後に90%がセキュリティ向上、77%がヘルプデスクへの問い合わせ減少を報告しています。多くの組織でパスワード関連のサポート要求が大幅に減少し、年間のヘルプデスクコスト削減につながります。

認証パフォーマンスも大幅に向上します。 FIDO Allianceのケーススタディによれば、パスワードレス認証は従来のパスワード認証と比較して95～97%の成功率と高速なサインインを実現しています。

クレデンシャルスタッフィング攻撃はパスワードレスシステムに対して無効です。Verizon 2025年分析によれば、多くの ランサムウェア被害者はインフォスティーラーのログで認証情報が漏洩していました。パスワードレス認証はサービスごとに一意の暗号認証情報を公開鍵暗号方式で生成し、秘密鍵はユーザーデバイスから決して離れません。1つのサービスが侵害されても、他サービスで利用可能な認証情報は存在せず、共有パスワードシークレットの危険がありません。

コンプライアンスやアーキテクチャの観点でも、パスワードレス認証は追加の利点を提供します：

• ゼロトラストアーキテクチャの基盤的な認証制御を実現し、CISAの成熟度モデルではフィッシング耐性手法が特権アクセス制限に不可欠とされています
• NIST SP 800-63Bの認証器保証レベルは、パスワードレス手法が最高レベルに直接対応し、コンプライアンス要件を簡素化します

これらの利点にもかかわらず、導入前に組織が理解すべき課題も存在します。

パスワードレス認証の課題と制限

レガシーシステムとの統合が主な技術的障壁となります。 ACM Communicationsに掲載された査読済み研究によれば、レガシーシステムは認証コードがコア機能に組み込まれており、FIDO2/WebAuthnプロトコル用のAPIがありません。多くの組織がこの複雑さを過小評価しています。ユーザーにパスワードレス認証を提供しつつ、バックエンドはパスワードベース通信を維持するゲートウェイアーキテクチャが必要であり、FIDO2非対応システムには早期からアーキテクチャ計画が求められます。

• 監視インフラの事前更新が必要です。 インシデント対応は不完全なログ記録、未文書化のエラーコード、不足するフォレンジック情報により複雑化します。 脅威ハンティングクエリやSIEM相関ルールを更新せずにパスワードレス認証を導入すると、認証失敗の調査ができないセキュリティの死角が生じます。
• アカウント復旧とバックアップ認証には慎重な計画が必要です。 FIDO Allianceガイドラインによれば、パスワードレス認証導入前にユーザーごとに最低2つの認証器登録が必要です。バックアップ手法も主要手法と同等のセキュリティ基準を満たす必要があります。NISTガイドラインでは、連邦システムでのSMS認証を禁止し、FIDO2準拠ハードウェアキー、時限式ワンタイムパスワード、追加認証器の登録を推奨しています。
• プッシュ通知攻撃やMFA疲労戦術は残存する脆弱性です。 攻撃者は繰り返し認証プロンプトを送信し、ユーザーが正当性を確認せず承認することを狙います。ユーザーには認証要求が実際のログイン試行と一致するか確認するよう教育し、認証承認のレート制限を実装してください。最も危険な見落としは、導入前にログ機能を更新しないことです。
• 導入スケジュールは想定より長期化します。 FIDO Allianceによれば、多くの組織で1～2年にわたる段階的導入が必要です。即時切り替えを試みると失敗することが多く、成功企業はまず機密データアクセスユーザーから優先的に展開し、ターゲットを絞ったコミュニケーション戦略を用いてから全体展開へと拡大しています。

これらの課題は、成功する導入のためのベストプラクティス策定に役立ちます。

パスワードレス認証のベストプラクティス

NISTおよびCISAフレームワークとの整合から開始してください。 NIST SP 800-63Bは認証強度要件を定義する認証器保証レベルを規定しています。 CISAのゼロトラスト成熟度モデルを確認し、パスワードレス認証を基盤的なアイデンティティ制御として位置付けてください。

リスクの高いユーザーから段階的に展開してください。 FIDO Allianceの調査によれば、成功企業は機密データアクセスユーザーを優先し、技術実装を検証し、フィードバックを収集し、手順を改善してから拡大しています。パイロット段階で 脅威ハンティング機能を構築し、本番運用初日から監視を開始してください。

インフラ準備とユーザー登録時には、以下の重要要件に注力してください：

• 本番導入前に、パスワードレス認証イベント（異常なエラーコードや失敗試行を含む）用のSIEM相関ルールを更新する
• 登録時にユーザーごとに最低2つの認証器登録を義務付け、冗長性と復旧経路を確立する
• NIST SP 800-63B基準に従い、複数種類の認証器（プラットフォーム認証器とローミング認証器）をサポートする
• バックアップ認証にはFIDO2準拠ハードウェアキーまたは時限式ワンタイムパスワードを使用し、SMSは使用しない
•  アイデンティティセキュリティをSIEMシステムやインシデント対応手順など広範なセキュリティ運用と統合する
• すべての認証器ハードウェアについてFIDO Alliance認証プログラムによるFIDO2認証を検証する

長期的な導入スケジュールを計画してください。レガシーシステム統合にゲートウェイアーキテクチャが必要となり、監視インフラの更新やユーザー定着には段階的かつ継続的な取り組みが求められます。全社的なカバレッジ達成には複数年にわたる経営層の支援が不可欠です。

堅牢なパスワードレス認証を導入しても、セキュリティはログイン時点で終わりません。認証後のアクティビティを継続的に監視することで、アイデンティティセキュリティ戦略が完成します。

重要なポイント

パスワードレス認証は、デバイスから決して離れない暗号鍵でパスワードを置き換えることで、主要な攻撃ベクトルを排除します。FIDO2標準はフィッシング耐性を提供し、クレデンシャルスタッフィングを排除し、パスワードレスを導入した組織はFIDO Allianceの調査で大幅なセキュリティ向上とヘルプデスク問い合わせ減少を報告しています。

リスクの高いユーザーから段階的に展開し、本番導入前に監視インフラを更新し、ゼロトラストアーキテクチャと統合してください。レガシーシステム統合は主な技術的障壁であり、ゲートウェイソリューションと長期的な導入スケジュールが必要です。