パスワードレス認証とは？基礎を解説

パスワードレス認証とは？

パスワードレス認証を導入することで、多くの侵害の原因となる攻撃を排除できます。Verizon 2024 DBIRによると、盗まれた認証情報が最も多い初期攻撃ベクターとなっています。パスワードレス認証は、従来のパスワードベースのログインをFIDO2/WebAuthn標準に基づく暗号鍵、生体認証、またはハードウェアトークンに置き換えます。

基本的なアーキテクチャの変化は、共有シークレットから非対称暗号方式への移行です。IBMのドキュメントによれば、サーバーは認証に使用できない公開鍵のみを保存し、対応する秘密鍵はデバイス上にのみ保持されます。

エンタープライズ要件を満たす主な3つの方法は、生体認証、ハードウェアセキュリティキー、パスキーです。これらはすべて、認証時に再利用可能な認証情報が送信されないという共通の特性を持っています。この根本的な変化により、パスワードが最も悪用される攻撃ベクターとなる脆弱性が解消されます。

パスワードレス認証とサイバーセキュリティの関係

パスワードベースの認証は現代の攻撃手法に対して無力であり、パスワードレス認証は組織のセキュリティに不可欠です。Verizonの2025年分析によると、被害者の54%がインフォスティーラーのログで認証情報が既に漏洩していました。 CISAのガイダンスでは、連邦機関に対しゼロトラストアーキテクチャの一環としてクラウドベースのパスワードレス認証への移行を明示的に指示しています。

2023年のMGM Resorts侵害では、攻撃者がソーシャルエンジニアリングを用いて認証制御を回避し、 1億ドルの損害を引き起こし、スロットマシンやホテルシステムの数日間の停止を余儀なくされました。同様に、2021年のColonial Pipelineランサムウェア攻撃は、単一のVPNパスワードが侵害されたことから始まり、 440万ドルの身代金支払いと米国東部での燃料不足を招きました。 CISAの推奨によれば、フィッシングはサイバースパイ活動やデータ侵害の大部分を可能にしています。 クレデンシャルスタッフィングは盗まれたパスワードを多数のサービスで試し、キーロガーはパスワード文字を記録し、データベース侵害は集中管理されたパスワードストアを露出させます。

パスワードレス認証は暗号的なバインディングによって各攻撃タイプに対応します。CISAのフィッシング耐性MFAガイダンスによれば、FIDO/WebAuthnはフィッシング耐性の 多要素認証のゴールドスタンダードであり、認証が特定ドメインに暗号的にバインドされるため、認証情報の窃取攻撃を防ぎます。

これらのセキュリティ上の利点を理解するには、パスワードレス方式と従来方式の比較が必要です。

パスワードレス認証と従来認証の比較

従来のパスワード認証は、データベースに保存された共有シークレットに依存しています。アカウント作成時、サーバーはパスワードのハッシュ値を保存します。ログイン時にはパスワードを送信し、サーバーがハッシュ化して保存値と比較します。このアーキテクチャは複数の障害点を生み出します：パスワードデータベースが攻撃対象となり、送信された認証情報が傍受され、ユーザーが複数サービスでパスワードを使い回します。

パスワード＋従来型MFAはセキュリティを向上させますが、摩擦を生み、脆弱性も残ります。SMSコードはSIMスワッピング攻撃で傍受される可能性があります。時限式ワンタイムパスワードは手動入力が必要で、リアルタイムフィッシングプロキシによるコードの取得・再利用に依然として脆弱です。プッシュ通知は攻撃者が繰り返しプロンプトを送ることでMFA疲労を引き起こします。

パスワードレス認証は共有シークレットモデルを完全に排除します。秘密鍵はデバイスから決して離れず、認証情報データベースが侵害されることはありません。認証は特定ドメインに暗号的にバインドされるため、フィッシングサイトでは再利用可能な認証情報を取得できません。ユーザー体験も向上し、生体認証による本人確認がパスワード入力やコード転記を不要にします。

運用面の違いも同様に重要です。パスワードリセットはヘルプデスクのリソースを消費し、ソーシャルエンジニアリングの機会を生みます。パスワードレス認証はリセット手続きを完全に排除し、暗号鍵は記憶を必要としません。パスワード忘れによるアカウントロックアウトもなくなり、生体認証による認証はパスワード入力より高速です。

これらの利点を踏まえ、適切なパスワードレス方式の選択は組織のセキュリティ要件とユーザーワークフローに依存します。

パスワードレス認証方式の種類

組織は、用途やセキュリティ特性に応じて複数のパスワードレス認証方式を導入できます。

• 生体認証は身体的特徴によって本人確認を行います。指紋スキャナー、顔認証システム、虹彩スキャナーは、生体特徴をデバイス上にローカル保存される数理テンプレートに変換します。Windows Hello、Apple Face IDやTouch ID、Androidの生体認証システムが代表的な実装例です。生体認証は利便性を提供しますが、センサーが失敗した場合の代替手段が必要です。
• ハードウェアセキュリティキーは専用の暗号デバイスとして機能します。YubiKeyやGoogle Titan Keyなどの製品は、改ざん耐性のあるハードウェア内で秘密鍵を生成・保存します。これらのローミング認証器はUSB、NFC、Bluetooth経由で複数デバイスで利用可能です。セキュリティキーは物理的所持が必要で、ドメインバインディングを自動検証するため、最も強力なフィッシング対策となります。
• パスキーは急速に普及している最新方式です。Apple、Google、Microsoftは各プラットフォームでパスキーをサポートし、iCloudキーチェーン、Googleパスワードマネージャー、Microsoftアカウントを通じて認証情報を安全に同期できます。パスキーはハードウェアベースのセキュリティと自動同期の利便性を兼ね備えています。
• マジックリンクはメール経由でワンタイム認証URLを配信します。アクセス要求時にサービスが一意かつ有効期限付きのリンクを生成し、リンクをクリックすることで関連メールアカウントの制御を証明します。マジックリンクは頻度の低いアクセスシナリオに適していますが、メールのセキュリティに依存します。
• スマートカードおよびPIV認証情報は、政府機関やエンタープライズ環境で広く利用されています。これらの物理カードには証明書や秘密鍵を格納する暗号チップが組み込まれています。連邦機関ではHSPD-12要件によりPIV認証情報が義務付けられています。スマートカードはカードリーダーが必要ですが、高い保証レベルの認証を提供します。

各方式は、技術アーキテクチャで定義されるFIDO2の特定コンポーネントやセキュリティ要件に対応しています。

パスワードレス認証のコアコンポーネント

FIDO2はエンタープライズ向けパスワードレス認証の技術基盤です。 FIDO Allianceの仕様によれば、WebAuthnはWebアプリケーションと認証器の通信方法を定義し、CTAP2はプラットフォームと外部セキュリティキー間の通信を担当します。

• WebAuthnはW3C標準のブラウザネイティブAPIとして動作します。 ブラウザは登録用にnavigator.credentials.create()、認証用にnavigator.credentials.get()を提供します。これらのAPIにより、サーバーはFIDO2仕様に従い、パスワードの代わりに公開鍵暗号方式でユーザー登録が可能です。
• 認証器は2つのカテゴリに分類されます。 プラットフォーム認証器はWindows Hello、Apple Touch ID、Android生体認証システムなどデバイスに直接統合され、暗号処理にTrusted Platform Moduleを使用します。FIDO Allianceによれば、秘密鍵はソフトウェア抽出を防ぐハードウェアセキュリティモジュール内に保存されます。ローミング認証器はUSB、NFC、Bluetooth経由で複数デバイス間で利用できるポータブルセキュリティキーです。
• 公開鍵暗号方式が暗号基盤を提供します。 登録時、認証器はサービスごとに一意の鍵ペアを生成します。 IBMのドキュメントによれば、秘密鍵はデバイスのセキュアハードウェアに恒久的に保存され、公開鍵のみが認証サーバーに送信されるため、集中管理されたパスワードデータベースが不要です。
• 生体認証はローカルデバイス上でのみ実行されます。 FIDO Allianceのアーキテクチャ設計により、生体テンプレートは認証器から外部に出ることはありません。デバイスはライブ生体サンプルと保存テンプレートをローカルで照合し、認証成功時のみ秘密署名鍵をアンロックします。

これらのコンポーネントが連携し、パスワード送信を排除した厳密な認証フローを実現します。

パスワードレス認証の仕組み

パスワードレス認証は、暗号的な本人性を確立する初回登録と、登録済み認証情報の制御を証明する認証の2つのプロセスに依存します。両フローを理解することで、この方式がパスワードの脆弱性を排除する理由が明らかになります。

登録フロー

登録フローは暗号的な本人性を確立します。アカウント作成画面でパスワードレス認証を選択し、サーバーが登録チャレンジを生成します。

ブラウザがnavigator.credentials.create()をチャレンジパラメータとともに呼び出します。ユーザーは生体認証またはPINで本人確認を行います。認証器はセキュアハードウェア内で新しい公開鍵・秘密鍵ペアを生成します。共有シークレットによる本人確認は行われず、パスワードの脆弱性は完全に排除されます。

秘密鍵はセキュアエレメントから決して離れず、公開鍵・認証情報ID・アテステーションステートメントがサーバーに返されます。サーバーはアテステーションを検証し、チャレンジとオリジンを確認した上で公開鍵と認証情報IDを保存します。

認証フロー

認証要求はログインページへのアクセス時に開始されます。サーバーが暗号チャレンジを生成し、登録済み公開鍵を取得します。ブラウザがnavigator.credentials.get()を呼び出し、チャレンジを提示します。ユーザーは生体認証またはPINで本人確認し、秘密鍵をアンロックします。

認証器がチャレンジに署名し、認証情報ID・署名済みチャレンジ・認証器データを含むアサーションを返します。サーバーは公開鍵を取得し、署名を数理的に検証、チャレンジの一致とリライングパーティIDを確認します。検証成功時にアクセスが許可されます。

組み込みのセキュリティ保護

暗号的バインディングにより本質的なフィッシング耐性が提供されます。認証情報は正規サービスのドメインに暗号的にバインドされます。フィッシングサイトにアクセスしても、ブラウザはオリジン不一致の場合に認証器を呼び出しません。認証情報は攻撃者のドメインでは物理的に機能しません。

デバイス盗難対策はユーザー検証の必須化に依存します。デバイスを盗まれても認証器ハードウェアへの物理アクセスしか得られず、秘密鍵は取得できません。秘密鍵は生体認証またはPIN入力による認証成功時のみアンロックされ、「持っているもの」と「本人であること／知っていること」の両方が必要です。

これらのセキュリティ機構は、運用面・セキュリティ面で測定可能なメリットをもたらします。

パスワードレス認証の主なメリット

多くの侵害の原因となる攻撃ベクターを排除できます。 FIDO Allianceの調査（従業員500人以上の企業の経営者400人対象）によると、パスキー導入後に90%がセキュリティ向上、77%がヘルプデスクへの問い合わせ減少を報告しています。多くの組織でパスワード関連のサポート依頼が大幅に減少し、年間のヘルプデスクコスト削減につながっています。

認証パフォーマンスも大幅に向上します。 FIDO Allianceのケーススタディによれば、パスワードレス認証は従来のパスワード認証と比較して95～97%の成功率と高速なサインインを実現しています。

クレデンシャルスタッフィング攻撃はパスワードレスシステムに対して無効です。Verizon 2025年分析によると、多くの ランサムウェア被害者はインフォスティーラーのログで認証情報が漏洩していました。パスワードレス認証はサービスごとに一意の暗号認証情報を生成し、秘密鍵はユーザーデバイスから決して離れません。1つのサービスが侵害されても他サービスで利用可能な認証情報は得られず、共有パスワードシークレットの危険がありません。

コンプライアンスやアーキテクチャの観点でも、パスワードレス認証は追加の利点を提供します：

• ゼロトラストアーキテクチャの基盤的な認証制御を実現し、CISAの成熟度モデルではフィッシング耐性方式が特権アクセス制限に不可欠とされています
• NIST SP 800-63BのAuthenticator Assurance Levelsは、パスワードレス方式を最高レベルで直接対応させており、コンプライアンス要件を簡素化します

これらの利点がある一方で、導入前に組織が理解すべき課題も存在します。

パスワードレス認証の課題と制限

レガシーシステムとの統合が主な技術的障壁となります。 ACM Communicationsに掲載された査読済み研究によれば、レガシーシステムは認証コードがコア機能に組み込まれており、FIDO2/WebAuthnプロトコル用APIがありません。多くの組織がこの複雑さを過小評価しています。ユーザーにはパスワードレス認証を提供しつつ、バックエンドではパスワードベース通信を維持するゲートウェイアーキテクチャが必要であり、FIDO2非対応システムには早期からアーキテクチャ計画が求められます。

• 監視インフラの事前更新が必要です。 インシデント対応は不完全なログ記録、未記載のエラーコード、不足するフォレンジック情報により複雑化します。 脅威ハンティングクエリやSIEM相関ルールを更新せずにパスワードレス認証を導入すると、認証失敗の調査ができないセキュリティブラインドスポットが生じます。
• アカウント復旧とバックアップ認証には慎重な計画が必要です。 FIDO Allianceガイドラインによれば、パスワードレス認証導入前にユーザーごとに最低2つの認証器登録が必要です。バックアップ方式も主要方式と同等のセキュリティ基準を満たす必要があります。NISTガイドラインでは、連邦システムでのSMS認証を禁止し、FIDO2準拠ハードウェアキー、時限式ワンタイムパスワード、追加認証器の登録を推奨しています。
• プッシュ通知攻撃やMFA疲労戦術は残る脆弱性です。 攻撃者は繰り返し認証プロンプトを送信し、ユーザーが正当性を確認せず承認することを狙います。ユーザーには認証要求が実際のログイン試行と一致するか確認するよう教育し、認証承認のレート制限を実装してください。最も危険な見落としは、導入前にログ機能を更新しないことです。
• 導入期間は想定より長期化します。 FIDO Allianceによれば、多くの組織で1～2年にわたる段階的導入が必要です。即時切り替えを試みると失敗することが多く、成功企業はまず機密データアクセスユーザーから優先的に展開し、ターゲットを絞ったコミュニケーション戦略で徐々に拡大しています。

これらの課題は、成功する導入のためのベストプラクティス策定に役立ちます。

パスワードレス認証のベストプラクティス

NISTおよびCISAフレームワークとの整合から開始してください。 NIST SP 800-63Bは認証強度要件を定義するAuthenticator Assurance Levelsを策定しています。 CISAのゼロトラスト成熟度モデルを確認し、パスワードレス認証を基盤的なアイデンティティ制御として位置付けてください。

リスクの高いユーザーから段階的に展開してください。 FIDO Allianceの調査によれば、成功企業は機密データアクセスユーザーを優先し、技術実装を検証し、フィードバックを収集し、手順を改善してから拡大しています。パイロット段階で 脅威ハンティング機能を構築し、本番運用初日から監視を開始してください。

インフラ準備やユーザー登録時には以下の重要要件に注力してください：

• 本番導入前に、パスワードレス認証イベント（異常なエラーコードや失敗試行を含む）用のSIEM相関ルールを更新する
• 登録時にユーザーごとに最低2つの認証器登録を義務付け、冗長性と復旧経路を確保する
• NIST SP 800-63B基準に従い、複数種類の認証器（プラットフォーム認証器とローミング認証器）をサポートする
• バックアップ認証にはFIDO2準拠ハードウェアキーまたは時限式ワンタイムパスワードを使用し、SMSは使用しない
•  アイデンティティセキュリティをSIEMシステムやインシデント対応手順など広範なセキュリティ運用と統合する
• すべての認証器ハードウェアについてFIDO Alliance認証プログラムによるFIDO2認証を確認する

導入期間の長期化を計画してください。レガシーシステム統合にゲートウェイアーキテクチャ、監視インフラの更新、ユーザー定着化には段階的かつ継続的な取り組みが必要です。全社的なカバレッジ達成には経営層の長期的コミットメントを確保してください。

堅牢なパスワードレス認証を導入しても、セキュリティはログイン時点で終わりません。認証後のアクティビティを継続的に監視することで、アイデンティティセキュリティ戦略が完成します。

重要なポイント

パスワードレス認証は、デバイスから決して離れない暗号鍵でパスワードを置き換えることで、主要な攻撃ベクターを排除します。FIDO2標準はフィッシング耐性を提供し、クレデンシャルスタッフィングを排除し、パスワードレスを導入した組織はFIDO Allianceの調査で大幅なセキュリティ向上とヘルプデスク問い合わせ減少を報告しています。

リスクの高いユーザーから段階的に展開し、本番導入前に監視インフラを更新し、ゼロトラストアーキテクチャと統合してください。レガシーシステム統合は主な技術的障壁であり、ゲートウェイソリューションと長期的な導入期間が必要です。