【ITニュース解説】【セキスぺ】WebAuthnの仕組みをざっくりと

WebAuthnは、パスワードを使わずにウェブサイトやアプリケーションに安全にログインするための新しい技術だ。正式には「Web Authentication」と呼ばれ、ウェブにおける認証のセキュリティと使いやすさを向上させることを目的としている。

これまで、多くのウェブサービスではユーザーIDとパスワードを使った認証が主流だった。しかし、このパスワード認証にはいくつかの大きな課題がある。例えば、パスワードの使い回しによるリスクだ。一つのサービスからパスワードが流出すると、同じパスワードを使っている他のサービスも不正ログインの被害に遭う可能性がある。また、記憶しやすくするために簡単なパスワードを設定したり、逆に複雑なパスワードを設定したために忘れてしまったり、フィッシング詐欺によって偽サイトでパスワードを入力させられて盗まれたりするケースも後を絶たない。このような問題は、ユーザーだけでなく、サービス提供者にとっても大きな負担となっていた。

WebAuthnは、このようなパスワード認証の課題を解決するために登場した。WebAuthnを使うと、パスワードの代わりに、指紋や顔認証といった生体認証、あるいはPINコード、USB接続のセキュリティキーといった物理的な認証器を使ってログインできるようになる。これにより、ユーザーは複雑なパスワードを覚える必要がなくなり、よりスムーズで安全なログインが可能になる。

WebAuthnの最大のメリットの一つは、フィッシング詐欺に非常に強いことだ。従来のパスワード認証では、ユーザーが偽サイトに騙されてパスワードを入力してしまうと、その情報が盗まれてしまう。しかし、WebAuthnでは、認証時にウェブサイトの正規のドメイン（URL）と認証器が紐づけられるため、偽サイトでは認証が成功しない仕組みになっている。これにより、ユーザーが誤って偽サイトにアクセスしても、認証器がその不正を検知し、安全を守ってくれる。

WebAuthnの仕組みを理解する上で重要なのが、「公開鍵暗号方式」と「認証器」という概念だ。公開鍵暗号方式は、データを暗号化・復号化するためのペアとなる二つの鍵（公開鍵と秘密鍵）を使う技術で、WebAuthnではユーザーの身元を安全に証明するためにこの技術が利用される。そして、「認証器」（Authenticator）とは、指紋センサーや顔認証カメラ、USBセキュリティキーなど、ユーザーの認証情報を安全に保管し、認証処理を行うデバイスのことだ。これはスマートフォンの生体認証機能やパソコンの内蔵セキュリティチップ、あるいは外部接続の専用デバイスなど、さまざまな形態がある。

WebAuthnを使った認証には、大きく分けて「登録（Registration）」と「認証（Authentication）」の二つの段階がある。

まず、サービスを初めて利用する際の「登録」の段階だ。ユーザーがWebAuthnを利用するウェブサイト（サービス提供者、記事ではRelying Party、略してRPとも呼ばれる）にアクセスし、WebAuthnによる認証を有効にすると、ユーザーのウェブブラウザやOS（クライアント）を通じて、ユーザーの認証器が呼び出される。ここで、ユーザーは認証器に指紋をかざしたり、顔を認識させたり、PINを入力したりして本人確認を行う。認証器は、ユーザーの本人確認が成功すると、公開鍵と秘密鍵のペアを生成する。このうち、公開鍵だけが、ユーザーの身元情報とともにウェブブラウザを通じてサービス提供者のサーバーに送られ、安全に保存される。秘密鍵は認証器の中に厳重に保管され、外部に出ることはない。これにより、ユーザーとサービス提供者の間で、この公開鍵と秘密鍵のペアが結び付けられる。

次に、次回以降の「認証」、つまりログインの段階だ。ユーザーがWebAuthnに対応したウェブサイトにアクセスし、ログインを試みると、サービス提供者のサーバーは、以前登録されたユーザーの公開鍵に対応する「チャレンジ（challenge）」と呼ばれるランダムなデータをウェブブラウザに送る。ウェブブラウザは、このチャレンジデータをユーザーの認証器に渡し、認証器に秘密鍵を使って署名するよう要求する。ユーザーは再度、認証器に指紋をかざしたり、PINを入力したりして本人確認を行う。本人確認が成功すると、認証器は秘密鍵を使ってチャレンジデータに電子署名を行い、その署名結果をウェブブラウザを通じてサービス提供者のサーバーに送り返す。サービス提供者のサーバーは、保存しておいたユーザーの公開鍵を使って、送られてきた署名が正しいかどうかを検証する。署名が正しければ、ユーザーが本物であることが確認され、ログインが許可される。

この一連のプロセスの中で、秘密鍵が認証器から外部に漏れることはなく、また、公開鍵と秘密鍵のペアは特定のウェブサイトのドメインと紐づけられているため、別の偽サイトで認証情報が利用される心配がない。これが、WebAuthnが安全である理由だ。

WebAuthnは、FIDO（Fast IDentity Online）アライアンスという業界団体が推進する認証標準「FIDO2」の一部として開発された技術だ。FIDOアライアンスは、より安全で使いやすい認証技術の普及を目指しており、WebAuthnはその中でもウェブブラウザを通じて利用できる認証技術の基盤となっている。これにより、さまざまなデバイスやプラットフォームで統一された高セキュリティな認証体験が提供される。

このように、WebAuthnは従来のパスワード認証の弱点を克服し、フィッシング詐欺に強く、ユーザーにとってより簡単で安全なログイン方法を提供する次世代の認証技術だ。システムエンジニアを目指す上では、このようなセキュリティと利便性を両立させる技術の登場背景や仕組みを理解することは、今後のシステム開発において非常に重要な知識となるだろう。これにより、より安全で信頼性の高いウェブサービスを構築するための基盤が整えられつつあるのだ。