パスワードレス認証

← 導入ガイドに戻る

できること

パスワード不要のログイン

パスワードを使わずに安全で便利な認証を実現します。

パスワード管理の手間をなくし、フィッシング攻撃にも強いセキュリティを提供します。

4つのパスワードレス方式

1. 生体認証（FIDO2/WebAuthn）

指紋・顔認証でワンタッチログイン

スマートフォン、PCの生体認証機能を利用
ブラウザ標準対応（Chrome、Safari、Edge等）
秘密鍵がデバイス外に出ないので安全

2. セキュリティキー

USBキー等の物理デバイスでログイン

YubiKey等のハードウェアキー
企業や高セキュリティ環境に最適
紛失リスクに対応したバックアップが必要

3. Passkey（デバイス間同期）

iPhoneで登録した認証情報をMacでも使える

Apple、Google等のクラウドで同期
デバイス紛失時も他のデバイスでログイン可能
デバイス間の移行が簡単

4. モバイルアプリ承認（FIDO UAF + CIBA）

PCでログイン開始、スマホで生体認証して承認

消費デバイス（PC）と認証デバイス（スマホ）を分離
プッシュ通知でスマホに承認リクエスト
スマホで生体認証して承認
銀行の高額送金等に最適

フィッシング耐性

ドメイン検証により、偽サイトでは認証不可

認証器が登録時のドメインを記録
ログイン時にドメインを自動検証
フィッシングサイトでは認証が拒否される

段階的な導入

パスワード認証からの移行を段階的に実施できます。

Phase 1: パスワード + パスワードレス（選択可能）
Phase 2: パスワードレス推奨、パスワードはフォールバック
Phase 3: パスワードレスのみ（完全移行）

導入時に決めること

1. どのパスワードレス方式を使うか

選択肢	説明	向いているケース
生体認証（FIDO2）	指紋・顔認証、ブラウザ標準対応	一般消費者向けサービス
セキュリティキー	USBキー等の物理デバイス	企業、高セキュリティ環境
Passkey	デバイス間同期可能な生体認証	Apple/Google環境のユーザー
モバイル承認（FIDO UAF + CIBA）	PCログインをスマホで承認	銀行、決済の高額取引

idp-serverでの設定:

認証ポリシーでFIDO2/CIBA認証を有効化
認証器の種類（プラットフォーム/外部キー）を設定

2. パスワードとの併用をどうするか

選択肢	説明	移行シナリオ
パスワードレスのみ	パスワード認証を廃止	最終形態
パスワードレス推奨	パスワードレスを優先表示、パスワードも可	移行期
ユーザーが選択	両方並列で提供	導入初期

idp-serverでの設定:

認証ポリシーで利用可能な方式の組み合わせを定義
UIでの表示順序を設定

3. デバイス登録をどう管理するか

3-1. デバイス登録前の事前認証

選択肢	説明	向いているケース
パスワード認証	パスワードで本人確認してから登録	初回登録時の基本パターン
MFA	パスワード + SMS/メールで確認してから登録	高セキュリティ要件
既存デバイスで認証	登録済みデバイスで認証してから新デバイス登録	2台目以降の追加
身元確認必須	eKYC完了ユーザーのみ登録可能	金融サービス

idp-serverでの設定:

デバイス登録時の認証ポリシーを設定
登録後の身元確認の必須化の有無

3-2. デバイス登録の管理

決めること	選択肢の例
登録可能台数	無制限、3台まで、5台まで
デバイス削除	いつでも可能、管理者承認必要
紛失時の対応	バックアップデバイス必須、管理者がリセット

idp-serverでの設定:

デバイス登録ポリシーで台数制限を設定

4. モバイル承認（FIDO UAF + CIBA）の設定

決めること	選択肢の例
通知方法	プッシュ通知（FCM/APNS）
承認タイムアウト	1分、3分、5分

idp-serverでの設定:

プッシュ通知サービス（FCM/APNS）との連携
タイムアウト、メッセージテンプレート設定

まとめ

パスワードレス認証を導入する際の重要なポイント:

必ず決めること

パスワードレス方式: FIDO2、セキュリティキー、Passkey、FIDO UAF + CIBA
パスワードとの併用: パスワードレスのみ、推奨、選択式
デバイス登録前の事前認証: パスワード、MFA、既存デバイス、身元確認必須
デバイス登録管理: 登録可能台数、削除可否、紛失時の対応
モバイル承認設定: 通知方法、タイムアウト（CIBA利用時）

idp-serverが提供すること

FIDO2/WebAuthn標準準拠の実装
Passkey対応
FIDO UAF + CIBA連携
デバイス登録ポリシー管理
プッシュ通知連携（FCM/APNS）
フィッシング耐性（ドメイン検証）

自分で実装すること

パスワードレス認証画面（UI）
デバイス登録画面（UI）
デバイス管理画面（登録済みデバイス一覧、削除）
モバイル承認画面（CIBA利用時）

セキュリティの注意点

デバイス登録はアカウント乗っ取りの危険が高い: 登録前の事前認証を強化する（MFA、既存デバイス、身元確認等）
デバイス紛失に備えて、複数デバイス登録またはバックアップ手段を推奨
パスワードレスのみにする場合、リカバリー手段を必ず用意する
Passkeyはクラウド同期なので、クラウドアカウント乗っ取りリスクに注意

テンプレートで試す

ローカル環境ですぐに試せるテンプレートが用意されています。

cd config/templates/use-cases/passwordless-fido2
./setup.sh

セットアップ後の動作確認は VERIFY.md を参照してください。

詳細: config/templates/use-cases/passwordless-fido2/

できること​

パスワード不要のログイン​

4つのパスワードレス方式​

1. 生体認証（FIDO2/WebAuthn）​

2. セキュリティキー​

3. Passkey（デバイス間同期）​

4. モバイルアプリ承認（FIDO UAF + CIBA）​

フィッシング耐性​

段階的な導入​

導入時に決めること​

1. どのパスワードレス方式を使うか​

2. パスワードとの併用をどうするか​

3. デバイス登録をどう管理するか​

3-1. デバイス登録前の事前認証​

3-2. デバイス登録の管理​

4. モバイル承認（FIDO UAF + CIBA）の設定​

まとめ​

必ず決めること​

idp-serverが提供すること​

自分で実装すること​

セキュリティの注意点​

テンプレートで試す​

関連ドキュメント​

できること

パスワード不要のログイン

4つのパスワードレス方式

1. 生体認証（FIDO2/WebAuthn）

2. セキュリティキー

3. Passkey（デバイス間同期）

4. モバイルアプリ承認（FIDO UAF + CIBA）

フィッシング耐性

段階的な導入

導入時に決めること

1. どのパスワードレス方式を使うか

2. パスワードとの併用をどうするか

3. デバイス登録をどう管理するか

3-1. デバイス登録前の事前認証

3-2. デバイス登録の管理

4. モバイル承認（FIDO UAF + CIBA）の設定

まとめ

必ず決めること

idp-serverが提供すること

自分で実装すること

セキュリティの注意点

テンプレートで試す

関連ドキュメント