「SSO(シングルサインオン)と生体認証によるパスワードレス化」

最もオーソドックスな個人認証方法はパスワード方式です。
“合言葉” という通り、「パスワードを知っていること」をもって個人認証を行う方式ですが、パスワードを共有できてしまうことによる個人特定の信頼度の低さや、複数のサービスで共通のパスワードを使用してしまうことによるセキュリティの低下、そしてこのセキュリティ低下の防止のためにサービスごとに一つずつ複雑なパスワードを設定することによる運用の煩雑さが課題です。

OTP (One-Time Password: ワンタイムパスワード) は1回限り使用できるパスワードを発行して個人認証を行う方式です。
ユーザの電話番号/メールアドレスに対してSMS/メールでOTPを発行する方式や、事前に登録しておいたOTPジェネレータで発行したOTPを使用する方式などがあります。
SMS/メールの受信ができるかどうかや、OTPジェネレータの所持性をもって、パスワード方式より信頼度の高い個人認証を提供します。
ただ私見ながら、これのみにて個人認証を行うというよりは、他の個人認証方式と組み合わせた多要素認証の一つとして導入されているケースが多いように思います。
一部のOTP方式は標準化され、RFCとして公開されています。 [1]

FIDO2はFIDOアライアンスによって策定された標準規格です。 [2]
FIDO2認証では、事前に認証器に秘密鍵を作成・保存し、またサービス側にはその秘密鍵とペアになる公開鍵を保存しておきます。
認証時には、サービス側の認証要求に対して、ユーザの持つ認証器内の秘密鍵で署名した応答を返し、サービス側は公開鍵を使用して署名の正当性を検証します。
認証器の所持性・操作可能性をもって、より信頼度の高い個人認証をする方式です。
また、秘密鍵は通常サーバドメインに紐づけて管理されるため、フィッシング攻撃が通用しないという利点も持ちます。 [2]
専用の認証器としてYubiCo社のYubiKey [3] のような製品が知られていますが、ここ数年で秘密鍵をセキュアにクラウドに保存し、ユーザの持つスマートフォン、タブレット、PCなどを並行して認証器として使用できる機能がOSネイティブに組み込まれ、さらに普及が進んでいます。

パスキーという言葉は、2022年5月にApple、Google、Microsoftの3社が共同で出した「FIDO認証のプラットファーム上での実装を拡大する」とした声明の中で初めて用いられ、 [4] 同年9月にリリースされたiOS16で「FIDO認証情報をクラウド上に保存して端末間で同期する」機能として初めて市場に投入されました。 [5]
現在ではFIDO2認証の一般名として浸透しつつあります。 [2]

図1. FIDO2/パスキー認証のシーケンス

エージェント型のアプリによって、パスワード入力のWebページの表示やダイアログポップアップを検知して、事前に保存しておいたそのサービス用のIDとパスワードをID入力欄やパスワード入力欄に対して流し込む方式です。
ユーザに代行してIDとパスワードの入力を行うためにこの名で呼ばれます。
EdgeやChromeなどのブラウザに組み込まれているパスワード管理機能や、Androidスマートフォンに標準的に含まれる “Google パスワードマネージャー” 、MacOS/iOS/iPadOS標準アプリの “パスワード”、サードパーティアプリでは “1Password” などもこの方式で個人認証を肩代わりすることがあります。
また、Windows上で動くデスクトップアプリなども対象に代行入力できる “Evidian Enterprise SSO” [7]も有名です。

サービスが直接個人認証を行うのではなく、サービスから外部のIdP(Identification Provider: 認証プロバイダ) に認証を委任し、IdP側の認証結果をもってサービス側の認証成否とする方式です。
何かアプリやWebサービスに登録/ログインする際に “Googleでログイン” といったボタンを目にしたことがあるかと思いますが、これはそのサービスがGoogleアカウントサービスをIdPとして使用できるためです。
また、業務中に社内向けサービスにログインしようとするたびにいつもOktaやMicrosoft Entra IDのログイン画面に遷移するという方もいらっしゃるでしょう。
これはその方の会社が社内向けサービスの共通ユーザ管理手段としてOktaやAzureをIdPに設定しているためです。

図2. IdP型SSOのシーケンス

現状の『生体認証によるパスワードレス化』を支える技術は、主に前述のFIDO2です。
例えばパスキー認証では、事前にスマートフォンなどのデバイスに登録しておいた指紋や顔を使用して、都度デバイスの所有者を認証することでFIDO2認証を実行し、パスワードレスな個人認証を実現します。
また一部のYubiKey認証器も指紋認証インタフェースを備えており、都度の認証を要求することで紛失・盗難にも強いパスワードレス認証を提供します。 [3]
Nymi社の展開するリストバンド型のウェアラブルデバイスであるNymi Band [8] は、オンボディセンサにより着用状態を監視するため、装着時に1度だけ指紋を認証しておけば、あとは着用中を通じてNFCリーダへのデバイスのタップのみでFIDO2認証を実行できます。 [9]
そのため、グローブ・保護メガネ・マスクなどを着用する必要があり指紋/虹彩/顔などを用いた生体認証の実行に難がある環境でも、装備を外すことなく生体認証の認証信頼度を享受できます。
また、生体認証とOTPを組み合わせて使用したパスワードレス構成も技術的に可能です。
前にも挙げた “Google パスワードマネージャー”、Apple社 “パスワード”、 “1Password” などのパスワードマネージャアプリはOTPジェネレータとしての機能を具備していることが多く、また多くの場合スマートフォンの生体認証を活用してOTPへのアクセス制限を提供するためです。
ただし、OTP方式の説明の項でも述べた通り、OTPは多要素認証の一要素として補助的に用いられる例が多いため、OTPのみに頼ってパスワードレスを実現している例は少ないように思います。
これは、生成したOTPをフィッシングサイトに打ち込んでしまったり、SIMの乗っ取りやショルダーハッキングによってOTPが傍受されてしまったり、といったセキュリティリスクがあることが原因の一つとして考えられます。 [10]

SSOと生体認証によるパスワードレス化を組み合わせることで、私たちが1日に何度も実行する個人認証はより簡略に、かつより信頼性の高いものになります。
例えば、多くのIdPはすでにFIDO2認証に対応しているため、サービスに対してパスワードレスな認証を提供できます。

図3. SSOとFIDO2認証を組み合わせた個人認証の概要


図4. IdP型SSOとFIDO2認証を組み合わせた個人認証のシーケンス

認証をIdPに委ねることによってサービス側でパスワードなどのセンシティブな認証情報を管理する必要がなくなるというのは、サービス提供者とユーザの双方にとってメリットとなり得るため、各サービス・アプリ側のIdPへの対応も今後ますます進んでいくと考えられます。
IdPとサービスとの間の認証要求/結果交換のインタフェースもOIDC(OpenID Connect) [11]、OAuth 2.0 [12]、SAMLといった仕組みで規格化され、サービス側の対応に技術的障壁が小さいこともポイントです。
なお、代行入力型SSOを使用する場合、代行入力エージェントとサービスとの間でパスワードが介在する以上、 “完全”パスワードレスとはいかないのが実情です。ただこの場合であっても、ユーザが日常的に個人認証を実施する範疇ではパスワードの文字列を意識する必要がない “準”パスワードレス程度の運用が可能です。