CyberFix Noteハードウェアセキュリティキー(FIDO2)の選び方とおすすめ。フィッシングに原理的に強い認証
対象の目安: 情報システム担当・開発者 / 実務レベル
不正ログインの被害が後を絶たない大きな理由は、パスワードという「知っているもの」一つに守りを預けている点にあります。多要素認証(MFA)を入れれば前進しますが、SMSのワンタイムコードや認証アプリの6桁コードは、巧妙な偽サイトに入力させられると盗まれ得ます。攻撃者が本物そっくりのログイン画面を用意し、入力されたコードをその場で本物のサイトへ中継する「中間者型フィッシング」が現実の脅威になっています。コードを盗む側にとって、人間が画面に打ち込む情報は、結局のところ「横取りできる秘密」だからです。
この弱点を原理から断つのが、FIDO2に対応したハードウェアセキュリティキーです。USBやNFCで使う小さな物理デバイスで、認証のたびにアクセス先のドメインに技術的に紐づいた署名を行います。偽サイトはドメインが違うため、鍵が正しい署名を返さず、フィッシングが成立しません。この記事では、なぜセキュリティキーがフィッシングに強いのかという原理から、製品を選ぶ際の判断基準、対応サービスの確認方法、そして実在する代表的な製品の使い分けまでを、技術者と導入を判断する立場の双方に向けて整理します。
なお本記事にはアフィリエイトリンクを含みます。紹介する製品は編集部が選定したものですが、効果や適合性を保証するものではなく、最終的な購入判断はご自身の利用環境に照らしてお願いします。詳細は記事冒頭の表示と広告・アフィリエイトについてをご覧ください。
早見表: 認証手段の強さと特徴
まず、ほかの認証手段と比べてハードウェアセキュリティキーがどこに位置するのかを俯瞰します。フィッシング耐性とは「偽サイトに認証情報を盗まれにくいか」を指します。
| 認証手段 | フィッシング耐性 | 持ち運び | 備考 |
|---|---|---|---|
| SMSワンタイムコード | 低 | 不要 | 傍受・SIMスワップに弱い |
| 認証アプリ(TOTP) | 中 | スマホ | コードを偽サイトに打たせると盗まれ得る |
| プッシュ通知承認 | 中 | スマホ | 承認疲れによる誤承認のリスク |
| パスキー(スマホ・PC内蔵) | 高 | 端末 | 利便性が高く、まず広めやすい |
| ハードウェアセキュリティキー(FIDO2) | 最高 | キー本体 | OSやマルウェアから隔離され、最高水準の保証 |
MFA全体の方式比較や組織導入の進め方は あわせて読みたい 多要素認証(MFA)の選び方と導入の勘所。方式比較から運用まで徹底解説
なぜフィッシングに原理的に強いのか
仕組みを理解すると、「コードを盗まれない」理由が腑に落ちます。FIDO2は、WebブラウザのAPIである WebAuthn と、キーとの通信規格である CTAP という2つの標準の組み合わせです。認証の流れはおおよそ次のようになります。
1. サービスがランダムな「チャレンジ」を送る
2. キーが「チャレンジ + サービスのドメイン(rpId)」を秘密鍵で署名する
3. サービスは登録済みの公開鍵で署名を検証する
ここで決定的に重要なのは、署名する対象にアクセス先のドメイン(rpId)が含まれている点です。利用者が example.com に登録した鍵は、example.com 向けの署名しか作りません。攻撃者が examp1e.com のような偽サイトを用意しても、ブラウザはその偽ドメインを鍵に渡すため、本物のサイトでは検証が通る署名が生成されません。つまり「人間が偽物に気づけるか」に頼らず、ブラウザと鍵の側でドメインの一致を機械的に確認しているのです。
加えて、秘密鍵はキーのセキュアチップ内部に保管され、外部に取り出せません。サーバー側に保存されるのは公開鍵だけなので、サービス側が漏えいしても、それだけでは他人がなりすませません。パスワードのように「漏れたら終わり」の共有秘密が存在しないことが、設計上の強みです。
「パスキー」とハードウェアキーの関係
混乱しやすいのが「パスキー」という言葉です。パスキーはFIDO2の認証情報(クレデンシャル)の総称で、保管場所によって性質が変わります。スマートフォンやPCの中に保存され、クラウド同期されるものは「同期パスキー」、ハードウェアキーの中に保存され、その鍵から出ないものは「デバイス束縛パスキー(hardware-bound passkey)」と呼ばれます。
同期パスキーは複数端末で使えて便利ですが、同期の仕組みやアカウントの保護に守りが依存します。一方ハードウェアキーのパスキーは、物理的にその鍵を持っている人しか使えません。利便性を取るか、最高水準の保証を取るかという違いであり、優劣ではなく用途で選ぶものです。管理者アカウントや特権アカウントには後者を、一般利用には前者を、と使い分けるのが現実的です。
製品を選ぶ4つの基準
製品選びで迷うのは型番の多さですが、見るべき軸は多くありません。次の4点を押さえれば、自分の環境に合うものを絞り込めます。
| 基準 | 確認するポイント |
|---|---|
| 端子・接続方式 | PCの端子(USB-A / USB-C)とスマホでの利用(NFC / Lightning) |
| 対応プロトコル | FIDO2/U2Fだけで足りるか、PIV・OpenPGP・OTPも要るか |
| 利用者検証 | PINのみか、指紋(生体)対応が要るか |
| 本数・予備 | 紛失に備えて最低2本登録できる運用にするか |
端子と接続方式
最初に決めるのは物理的な接続です。最近のノートPCやMacはUSB-Cが主流ですが、社内に旧型のUSB-A端末が残っていることもあります。スマートフォンで使うならNFC対応が便利で、かざすだけで認証できます。iPhoneは近年NFCでのセキュリティキー利用に対応しており、Androidも広く対応しています。手持ちの端末すべてで使えるかを、購入前に必ず確認してください。
対応プロトコル
「FIDO2に対応していればよい」のか、「スマートカード(PIV)やOpenPGP、ワンタイムパスワードもこの1本で済ませたい」のかで、選ぶ製品が変わります。Webサービスのログインを強化したいだけなら、FIDO2/U2Fに対応したシンプルな製品で十分です。SSHの鍵管理やコード署名、社内認証基盤との連携まで1本に集約したい技術者向けには、多機能なマルチプロトコル製品が向きます。
注意
セキュリティキーは「2本以上」での運用を前提にしてください。1本しか登録していないと、紛失・故障時にアカウントから締め出されます。1本を常用、もう1本を金庫や別の場所に保管する予備にするのが定石です。多くのサービスは複数の鍵を登録できます。
実在製品の使い分け
ここでは編集部が選定した、入手しやすく実績のある製品を用途別に紹介します。価格や仕様は変動するため、購入時に公式情報で最新の対応状況を確認してください。効果を保証するものではなく、選定はあくまで参考としてご活用ください。
まず1本、Webサービスのログイン強化に
FIDO2/WebAuthn と U2F に対応した、用途を絞ったシンプルな製品です。多機能版より安価で、「主要なWebサービスのログインをフィッシングに強くしたい」という目的にはこれで十分です。最初の1本や、組織で人数分を配る用途に向きます。
Yubico Security Key C NFC
広告USB-CとNFCに対応し、FIDO2/WebAuthnとU2Fをサポートする入門に適した1本。多機能版より手頃で、Webサービスのログイン強化が目的ならまずこれが候補になります。スマホにかざして使えるNFCも備えます。対応プロトコルは限定されるため、PIVやOpenPGPが必要な場合は上位機種を検討してください。
※価格・在庫は変動します。最新の情報は各販売サイトでご確認ください。
1本に機能を集約したい技術者に
FIDO2に加えて、スマートカード(PIV)、OpenPGP、ワンタイムパスワード(OATH)など複数のプロトコルに対応する多機能モデルです。Webログインだけでなく、SSHの認証やコード署名まで1本に集約したい人に向きます。USB-CとNFCを備えた構成が、現在の端末環境では使いやすい選択です。
YubiKey 5C NFC
広告
USB-CとNFCを備えたマルチプロトコル対応の定番。FIDO2/WebAuthnに加え、PIV・OpenPGP・OATH・Yubico OTPなどに対応し、Webログインから開発者向け用途まで1本でカバーできます。機能を集約したい技術者の常用機に。価格はシンプル版より上がります。
※価格・在庫は変動します。最新の情報は各販売サイトでご確認ください。
USB-A端末が残る環境に
社内にUSB-Aポートの端末が多い場合や、デスクトップPCで使う場合はUSB-A版が便利です。NFC対応なのでスマートフォンでもそのまま使えます。手持ちの環境に合わせて端子を選ぶのが、運用の手間を減らすコツです。
YubiKey 5 NFC
広告USB-AとNFCを備えたマルチプロトコル対応モデル。USB-A端子のPCが多い環境や、デスクトップでの利用に向きます。5C NFCと機能はほぼ同等で、端子の違いで選び分けられます。予備の1本として、常用機と端子を変えて持つ運用にも適します。
※価格・在庫は変動します。最新の情報は各販売サイトでご確認ください。
PINの代わりに指紋で使いたい
通常利用時に、キー本体の指紋センサーで利用者を確認できる生体対応モデルです。普段はPINを打ち込まずに指紋で認証でき、所持(鍵)と生体(指紋)を1台で組み合わせられます。ただし指紋を登録する前にFIDO2 PINの設定が必要で、指紋認証に失敗・ブロックされた際はPINがフォールバックとして使われます。PINそのものが不要になるわけではない点に注意してください。共用環境でのPIN盗み見が気になる場合にも一案です。
YubiKey Bio Series
広告
指紋認証に対応したシリーズで、通常時は指紋でパスワードレスにログインできます。所持と生体を1本で兼ねられるのが特長です。なお指紋登録の前にFIDO2 PINの設定が必要で、PINは指紋失敗時のフォールバックも兼ねます。対応プロトコルや指紋登録の運用は事前に確認してください。指紋情報はキー内部で扱われます。
※価格・在庫は変動します。最新の情報は各販売サイトでご確認ください。
Googleのアカウントを中心に固めたい
Googleが提供するセキュリティキーで、FIDO2に対応し、複数のパスキーを保存できます。USB-A/USB-CとNFCの構成があり、Googleアカウントの保護を中心に検討する場合の選択肢になります。価格が比較的抑えめな点も導入しやすさにつながります。
Google Titan Security Key
広告Googleが提供するFIDO2対応のセキュリティキー。複数のパスキーを保存でき、USB-CとNFCを備えたモデルなどがあります。Googleアカウントを軸に守りを固めたい場合の選択肢です。対応サービスや在庫・地域は公式ストアで確認してください。
※価格・在庫は変動します。最新の情報は各販売サイトでご確認ください。
製品ラインの対応プロトコルや端子は更新されます。購入前に各製品の公式ページで、FIDO2/WebAuthn対応や接続方式、現行の仕様を確認してください。
導入の手順と運用設計
製品を選んだら、登録から運用までを設計します。ここを丁寧にやるかどうかで、締め出し事故やサポート負荷が大きく変わります。
- 1
対応サービスを確認する
使いたいサービスがセキュリティキー(FIDO2/WebAuthn)に対応しているかを先に確認します。主要なIDプロバイダーや業務システムの設定画面で「セキュリティキー」「パスキー」の項目を探します。
- 2
鍵を2本用意して両方登録する
常用1本と予備1本を用意し、各サービスに両方を登録します。1本しか登録しないと紛失時に締め出されます。予備は別の場所に保管します。
- 3
PINまたは指紋を設定する
多くのFIDO2キーは、所持に加えてPIN(または指紋)で利用者を確認します。推測されにくいPINを設定し、共用しないようにします。
- 4
他のMFA手段を見直す
弱い認証経路が残っていると、攻撃者はそこを狙います。SMS単独などの弱い手段を、可能なら無効化または優先度を下げます。回復経路の強度も確認します。
- 5
紛失時の対応を決めておく
鍵を紛失したら、まず登録から削除(失効)し、予備で運用を継続します。組織なら、本人確認を伴う再登録フローを定めておきます。
最初に1本だけ配って運用を始めたところ、利用者が鍵を自宅に忘れた日にログインできず、問い合わせが集中しました。最初から2本を前提にし、予備の登録と保管を案内すれば防げた失敗です。鍵そのものより、紛失と予備の運用設計のほうが導入の成否を分けると痛感しました。
よくある誤解と注意点
セキュリティキーは強力ですが、万能ではありません。誤解しやすい点を整理します。
第一に、セキュリティキーはフィッシングに強い一方で、すでにログイン済みのセッションを乗っ取る攻撃(セッションクッキーの窃取など)まで防ぐわけではありません。端末がマルウェアに感染していれば、認証後の通信が悪用される余地は残ります。認証の強化と、端末の保護は別の対策として両立させる必要があります。
第二に、回復経路(リカバリー)が弱いと、せっかくの強い認証が台無しになります。鍵を紛失した際に、本人確認の甘い手続きでリセットできてしまうと、そこが攻撃の入り口になります。これは個人を狙うフィッシングと地続きの問題で、手口と対策は あわせて読みたい フィッシングの手口と対策の基本。個人と組織でできることを徹底解説
第三に、すべてのサービスが対応しているわけではありません。対応していないサービスでは、引き続き認証アプリやパスワードマネージャーとの併用になります。「キーを買えば全部解決」ではなく、対応サービスから順に強化し、未対応分は別手段で補う、という現実的な進め方が必要です。
メモ
セキュリティキーを導入しても、パスワード自体の強度や使い回しの回避は引き続き重要です。未対応サービスではパスワードが守りの中心であり続けます。強いパスフレーズの作り方とあわせて運用してください。
よくある質問
セキュリティキーは何本買えばよいですか?
スマホのパスキーがあれば、わざわざ鍵は不要では?
対応しているサービスはどう調べますか?
鍵を紛失したらどうなりますか?
FIDO2とU2Fだけの安い鍵でも大丈夫ですか?
まとめ
セキュリティキー導入チェックリスト
- 手持ちの端末に合う端子・接続方式(USB-A/C・NFC)を確認したか
- 必要なプロトコル(FIDO2のみか、PIV・OpenPGP等も要るか)を整理したか
- 最低2本を用意し、各サービスに常用と予備を登録したか
- PINまたは指紋を設定し、共用しない運用にしたか
- 対応サービスから順に強化し、未対応分の代替手段を決めたか
- 紛失時の失効・再登録フロー(回復経路の本人確認)を整えたか
ハードウェアセキュリティキーは、フィッシングに「原理的に」強いという点で、ほかのMFA手段と一線を画します。鍵そのものの性能だけでなく、2本での運用と回復経路の設計まで含めて整えることで、初めてその強さを安全に活かせます。まず管理者や特権アカウントなど影響の大きいところから1本(実際には2本)を導入し、対応サービスへ着実に広げていきましょう。方式全体の比較と組織導入の進め方は あわせて読みたい 多要素認証(MFA)の選び方と導入の勘所。方式比較から運用まで徹底解説 あわせて読みたい フィッシングの手口と対策の基本。個人と組織でできることを徹底解説
出典・参考
関連する記事
多要素認証(MFA)の選び方と導入の勘所。方式比較から運用まで徹底解説
パスワード漏えい対策の決め手となる多要素認証(MFA)について、認証要素の考え方、方式ごとの強度と使い勝手の違い、フィッシング耐性、組織導入の進め方、運用とリカバリーの設計までを実務目線で網羅的に整理します。
フィッシングの手口と対策の基本。個人と組織でできることを徹底解説
依然として被害が絶えないフィッシング詐欺について、典型的な手口とその進化、見破り方、個人と組織それぞれでできる対策、そして万一被害に遭ったときの対応までを、専門知識がなくても分かるように網羅的に解説します。
パスワードマネージャーの選び方とおすすめ。方式・同期・共有を実務目線で比較
クラウド型かローカル型か、同期や共有はどう設計するか。ゼロ知識暗号やパスキー対応といった判断軸から、自分や組織に合うパスワードマネージャーの選び方を入門者にも噛み砕いて整理します。