WebAuthn

概要

WebAuthn（Web Authentication API）は、Web上でパスワードレス認証を実現するW3C標準規格です。従来のパスワード認証の脆弱性を解決し、生体認証（指紋・顔認証）やハードウェアセキュリティキーを使用した安全で便利な認証体験を提供します。2025年現在、多くの主要Webサービスで採用が進んでいます。

詳細説明

WebAuthnは、FIDO2仕様の一部として開発された認証API です。ユーザーのデバイス上で暗号学的な認証情報を生成・保存し、サーバーとの間で安全な認証を行います。

公開鍵暗号による認証

• 各サイトごとに一意の鍵ペアを生成
• 秘密鍵はデバイス内で保護され、外部に送信されない
• 公開鍵のみがサーバーに登録される

多様な認証手段

• 生体認証: 指紋、顔認証、虹彩認証
• ハードウェアキー: YubiKey、Google Titan Key等
• デバイス認証: スマートフォン、PC内蔵TPM
• PIN認証: デバイスローカルでのPIN入力

セキュリティ機能

• フィッシング耐性: ドメイン固有の認証情報
• リプレイ攻撃防止: チャレンジ・レスポンス方式
• MITM攻撃防止: 暗号学的検証による保護

関連用語

• FIDO2: WebAuthnを含む認証仕様全体
• パスキー: WebAuthnを活用したApple/Google/Microsoftの実装
• CTAP: 外部認証デバイスとの通信プロトコル
• Authenticator: 認証情報を管理するデバイス・ソフトウェア
• 公開鍵暗号: WebAuthnの基盤となる暗号技術
• TPM: Trusted Platform Module（ハードウェアセキュリティ）

主要サービス導入事例

• Google: Googleアカウントでのパスキー認証
• Microsoft: Azure AD、Microsoft アカウント
• Apple: iCloud、App Store認証
• GitHub: 開発者アカウントの2FA代替
• PayPal: 決済時の強化認証

導入メリット

• ユーザー体験: パスワード記憶・入力不要
• セキュリティ: フィッシング・漏洩リスク大幅軽減
• 運用コスト: パスワードリセット等のサポート工数削減
• コンプライアンス: PCI DSS等のセキュリティ要件対応

技術的制約

• ブラウザ対応: Chrome 67+、Firefox 60+、Safari 14+
• デバイス要件: 生体認証センサーまたはハードウェアキー必須
• バックアップ: 認証デバイス紛失時の復旧手順が重要

実装上の考慮事項

• フォールバック: 従来認証との併用が必要
• ユーザー教育: 新しい認証体験への慣れが必要
• デバイス管理: 企業環境での認証デバイス配布・管理
• プライバシー: 生体情報の適切な取り扱い

WebAuthnは、2025年以降のデジタル認証の標準となりつつあり、パスワードに依存しない安全なWeb体験の実現に不可欠な技術です。