Microsoft Entra IDの認証メソッド - パスキー (FIDO2)

リモート フィッシング攻撃が増加しています。 これらの攻撃は、ユーザーのデバイスに物理的にアクセスすることなく、ID 証明 (パスワード、SMS コード、電子メール ワンタイム パスコードなど) を盗んだり中継したりすることを目的とします。 攻撃者は多くの場合、ソーシャル エンジニアリング、資格情報の収集、またはダウングレードの手法を使用して、パスキーやセキュリティ キーなどの強力な保護をバイパスします。 AI 主導の攻撃ツールキットにより、これらの脅威はより高度でスケーラブルになっています。

パスキーは、パスワード、SMS、電子メール コードなどのフィッシング詐欺の方法を置き換えることで、リモート フィッシングを防ぐのに役立ちます。 FIDO (Fast Identity Online) 標準に基づいて構築されたパスキーでは、配信元にバインドされた公開キー暗号化が使用され、資格情報を再生したり、悪意のあるアクターと共有したりできなくなります。

業界のセキュリティ専門家によって開発された相互運用可能な FIDO (Fast Identity Online) 標準 に基づいて構築されています。 配信元にバインドされた公開キー暗号化を使用し、ローカル ユーザーの操作を必要とします。 これらの特性を組み合わせると、パスキーはフィッシングされることがほとんど不可能である。

秘密キーはデバイスに格納され、公開キーはサインインしたアプリまたは Web サイトに格納されます。 サインインするには、両方の一意のキーが必要です。 このキー ペアの組み合わせは一意であるため、パスキーは Web サイトまたは作成したアプリでのみ機能します。

サインインを試みるたびに、サインインに使用するデバイスでパスキーのロックを解除する必要があります。 他人が管理する別のデバイスにサインインするように騙されることはありません。

より強力なセキュリティに加えて、パスキー (FIDO2) は、パスワードを排除し、プロンプトを減らし、デバイス間で高速で安全な認証を有効にすることで、摩擦のないサインイン エクスペリエンスを提供します。 これらを使用してMicrosoft Entra IDを使用してハイブリッド参加済みのWindows 11デバイスにサインインし、クラウドおよびオンプレミスのリソースにシングルサインオンを利用できます。

パスキーとは何ですか

パスキーは、 強力な認証 を提供するフィッシングに強い資格情報であり、デバイスの生体認証または PIN と組み合わせると 多要素認証 (MFA) メソッドとして機能します。 認証子は、検証者のなりすましに対する耐性を提供します。これにより、パスキーが登録された証明書利用者（RP）にのみシークレットを解放し、そのRPを装う攻撃者には解放しません。 Passkeys (FIDO2) は FIDO2 標準に従い、ブラウザーには WebAuthn を使用し、認証子通信には CTAP を使用します。

次のプロセスは、ユーザーがパスキー (FIDO2) を使用してMicrosoft Entra IDにサインインするときに使用されます。

1. ユーザーがMicrosoft Entra IDへのサインインを開始します。
2. ユーザーはパスキーを選択します。
   • 同じデバイス (デバイスに格納)
   • デバイス間 (QR コード経由) または FIDO2 セキュリティ キー
3. Microsoft Entra IDは、認証子にチャレンジ (nonce) を送信します。
4. 認証子は、ハッシュ RP ID と資格情報 ID を使用してキー ペアを検索します。
5. ユーザーは生体認証または PIN ジェスチャを実行して秘密キーのロックを解除します。
6. 認証子は秘密キーを使用してチャレンジに署名し、署名を返します。
7. Microsoft Entra ID公開キーを使用して署名を検証し、トークンを発行します。

パスキーの種類

• デバイス バインド パスキー: 秘密キーは作成され、1 つの物理デバイスに格納され、残されることはありません。 例：
  • Microsoft Authenticator
  • FIDO2 セキュリティ キー
• 同期されたパスキー: 秘密キーは、ハードウェア セキュリティ モジュール (HSM) によって作成され、ローカル デバイスで暗号化されます。 この暗号化されたキーは同期され、クラウド パスキー プロバイダーに格納されます。 その後、パスキー プロバイダーで認証された他のデバイスで、パスキーを使用できます。 これはプロバイダーによって異なる場合があります。 同期されたパスキーは認証をサポートしていません。 例：
  • Apple iCloud キーチェーン
  • Google パスワード マネージャー

同期されたパスキーは、ユーザーが顔、指紋、PIN などのデバイスのネイティブロック解除メカニズムを使用して認証できるシームレスで便利なユーザー エクスペリエンスを提供します。 同期されたパスキーを登録して使用しているMicrosoft アカウントの何億ものコンシューマー ユーザーからの学習に基づいて、次の点を学習しました。

• 99% のユーザーが同期されたパスキーを正常に登録する
• 同期されたパスキーは、 パスワードと従来の MFA の組み合わせに比べて 14 倍高速です。69 秒ではなく 3 秒
• ユーザーは、従来の認証方法 (95% 対 30%) よりも、同期されたパスキーを使用したサインインの方が 3 倍成功しています
• Microsoft Entra IDで同期されたパスキーを使用すると、すべてのエンタープライズ ユーザーが MFA を大規模に簡素化できます。 これは、SMS や認証アプリなどの従来の MFA オプションに代わる便利で低コストの代替手段です。

組織内でパスキーを展開する方法の詳細については、「 同期されたパスキーを有効にする方法」を参照してください。

構成証明 は、登録時にパスキープロバイダーまたはデバイスの真正性を検証します。 適用される場合:

• FIDO メタデータ サービス (MDS) を介して、暗号で検証可能なデバイス ID を提供します。 構成証明が適用されると、証明書利用者は認証モデルを検証し、認定デバイスにポリシーの決定を適用できます。
• 未認証のパスキーには、同期されたパスキーや、未認証のデバイスに結び付けられたパスキーが含まれており、デバイスの由来は提供されません。

Microsoft Entra ID において:

• 構成証明は、 パスキー プロファイル レベルで適用できます。
• 構成証明が有効な場合は、デバイスに結び付けられたパスキーのみが許可されます。同期されたパスキーは使用できません。

適切なパスキー オプションを選択する

FIDO2 セキュリティ キーは、高度に規制された業界または特権を持つユーザーに推奨されます。 強力なセキュリティを提供しますが、特にユーザーが物理的なキーを紛失し、アカウントの回復が必要な場合は、機器、トレーニング、ヘルプデスクのサポートのコストを増やすことができます。 Microsoft Authenticator アプリのパスキーは、これらのユーザー グループのもう 1 つのオプションです。

ほとんどのユーザー (厳しく規制された環境外のユーザー、または機密性の高いシステムにアクセスしないユーザー) には、同期されたパスキー によって、従来の MFA に代わる便利で低コストの代替手段が提供されます。 Apple と Google は、クラウドに格納されているパスキーに対する高度な保護を実装しています。

種類 (デバイスバインドまたは同期) に関係なく、パスキーは、フィッシング可能な MFA メソッドよりも重要なセキュリティ アップグレードを表します。

詳細については、「Microsoft Entra ID におけるフェッシングに強い MFA 展開の開始」をご覧ください。

関連コンテンツ

• Microsoft Entra IDでパスキー (FIDO2) を有効化する
• Microsoft Entra ID でパスキープロファイルを有効にする
• 同期されたパスキーを Microsoft Entra ID
• Authenticator アプリにおけるパスキー
• 証明要件