主要な当人認証手法の解説
フィッシング耐性を有する当人認証手法
実物のマイナンバーカード(利用者証明用電子証明書)
手法の概要
マイナンバーカードの「利用者証明用電子証明書」は、Webサイト等へのログイン時において、公開鍵認証による当人認証を行うことができる機能です。実装において適切なフィッシング対策を講じることで[^23]、当人認証保証レベル3の当人認証を実現できます[^24]。
脅威耐性と留意事項
オンライン上でのパスワードの推測
- 暗証番号による当人認証はローカルで処理されるため、オンライン上での推測攻撃を受けません。
盗聴・リプレイ攻撃
- 通信の暗号化やチャレンジレスポンス等による対策が可能です。
パスワードや認証器の盗用
-
多要素認証であるため、単一の認証要素を盗まれた場合にも耐性を有します。
-
マイナンバーカードと暗証番号が同時に盗まれた場合の耐性は有しません。
フィッシング
- mTLSによる相互認証や、スマホアプリ等によるアクセス先ドメインの制限等による対策が可能です。
暗号鍵の不正な取り出し・複製
- マイナンバーカードのICチップが備える耐タンパ性による耐性を有します。
その他の考慮事項
事業目的の遂行/公平性の考慮
- 採用に当たっては、マイナンバーカードを保有していない方、暗証番号を覚えていない方、紛失中の方等の存在の考慮が必要です。
アクセシビリティ及びユーザビリティに関する考慮事項
- ログイン時には、実物のマイナンバーカードの読み取りが必要となりますが、スマートフォンでの読み取り時にはマイナンバーカードの表裏・上下の判別やスマートフォンを重ねる位置の確認を非視覚的に行うことが難しかったり、上肢に障害があると困難だったりすることがあります。また、暗証番号を覚えていない方はログインができなくなる点についても留意が必要です。
その他の考慮事項
- この機能の取扱いは、公的個人認証法に基づく必要があります。
スマートフォンのマイナンバーカード(利用者証明用電子証明書)
手法の概要
スマートフォンに搭載されたマイナンバーカード機能のうち、スマートフォン用の利用者証明用電子証明書(移動端末設備用利用者証明用電子証明書)を用いることで、実物のマイナンバーカードと同じく、公開鍵認証による当人認証を行うことができます。実装において適切なフィッシング対策を講じることで、当人認証保証レベル3の当人認証を実現できます。
脅威耐性と留意事項
オンライン上でのパスワードの推測
- 暗証番号による当人認証はローカルで処理されるため、オンライン上での推測攻撃を受けません。
盗聴・リプレイ攻撃
- 通信の暗号化やチャレンジレスポンス等による対策が可能です。
パスワードや認証器の盗用
- 多要素認証であるため、単一の認証要素を盗まれた場合にも耐性を有します。
フィッシング
- mTLSによる相互認証や、スマホアプリ等によるアクセス先ドメインの制限等による対策が可能です。
暗号鍵の不正な取り出し・複製
- 移動端末設備用利用者証明用電子証明書はスマートフォンの安全な領域に格納され、不正な取り出しや電子的な複製攻撃への耐性を備えます。
ウ その他の考慮事項
a) 事業目的の遂行/公平性の考慮
-
採用に当たっては、マイナンバーカードを保有していない方、暗証番号を覚えていない方、マイナンバーカードに電子証明書を搭載されていない方[^25]、紛失中の方等の存在の考慮が必要です。
-
移動端末設備用利用者証明用電子証明書を搭載可能なスマートフォンを有していない方への考慮も必要です。
b) アクセシビリティ及びユーザビリティに関する考慮事項
- 実物のマイナンバーカードと比べ、カードの読み取りが必要なく、暗証番号入力についても生体認証等で代替できる点で、アクセシビリティ及びユーザビリティに優れる手法です。
c) その他の考慮事項
- この機能の取扱いは、公的個人認証法に基づく必要があります。
パスキー
手法の概要
パスキーは、FIDO標準に基づきパスワードに代わる認証方式として普及が進められている手法です。パスキーはフィッシング耐性を有しており、かつ多要素認証として機能するため、当人認証保証レベル3の当人認証を実現できます。
なお、デバイス間で同期できる方式は「同期パスキー」、特定のデバイスから取り出せない方式のものは「デバイス固定パスキー」と呼ばれます。
脅威耐性と留意事項
オンライン上でのパスワードの推測
- オンライン上で推測・試行され得るパスワードのような認証要素を利用しないため、攻撃を受けません。
盗聴・リプレイ攻撃
- 通信の暗号化やチャレンジレスポンス等による対策が可能です。
パスワードや認証器の盗用
-
多要素認証であるため、パスキーを格納したデバイスが盗まれた場合にも耐性を有します。
-
デバイスとアクティベーションに用いる暗証番号等が同時に盗まれた場合の耐性は有しません。
-
同期パスキーの場合、何らかの手段によって同期に用いるアカウントを攻撃者に奪われた場合の耐性は有しません。
フィッシング
- パスキーはドメイン名と紐付けられる仕組みとなっており、紐づけられたドメイン名以外では使用できないため、フィッシング耐性を有します。
暗号鍵の不正な取り出し・複製
- 詳細については利用者が用いるデバイスや同期用クラウドサービス等の実装に依存します。多くの場合、パスキーはデバイス内の安全な領域に格納されます。また、同期パスキーがデバイス間で同期するときには、エンドツーエンドでの暗号化により保護されます。
その他の考慮事項
事業目的の遂行/公平性に関する考慮事項
- パスキーを利用可能なデバイスには対応条件があり、対応したデバイスの所持が前提となる点に考慮が必要です。
アクセシビリティ及びユーザビリティに関する考慮事項
- 他の当人認証手法と比べて比較的新しい手法であるため、利用者の認知度や理解度についての考慮が求められます。
セキュリティに関する考慮事項
-
パスキー自体はフィッシング耐性を有していますが、パスキーの登録・再設定時の本人確認が不十分であった場合、そこが脆弱性となってなりすまし攻撃による不正アクセスやアカウント奪取等につながるおそれがある点に留意が必要です[^26]。パスキーの登録・再設定等のプロセスが脆弱性とならないよう、適切な設計が必要です。
-
同期パスキーの場合、同期に利用するクラウドサービスのアカウントが乗っ取られた場合のリスクの考慮が必要です。
-
利用者側のデバイスやOS、同期に利用するクラウドサービスによって、実装の差異が生じる点に留意が必要です。例えば、デバイス内に保存される秘密鍵の保護方法、パスキー利用時の当人認証(ローカルユーザー検証)の挙動、同期パスキーのバックアップ方法、エクスポートの可否、リカバリ方法等は、利用者側の環境等に依存します。
その他の当人認証手法
パスワード認証+ワンタイムパスワード認証
手法の概要
ワンタイムパスワードは、一回限りのパスワードを生成して認証する方式です。ワンタイムパスワードの生成・伝達方法によって複数の方式があり、利用者側のスマートフォンのTOTP(Time-based One-Time Password)アプリでワンタイムパスワードを生成する方式や、サーバ側で生成したワンタイムパスワードを「認証コード」としてSMSや電子メール等によって送信する方式等が代表的です。
いずれの方式においても、ワンタイムパスワードは所有物認証としてみなすことができ、知識認証であるパスワード認証と組み合わせることで当人認証保証レベル2に該当する多要素認証として機能します。ただし、ワンタイムパスワードはフィッシングへの耐性を有さない点には留意が必要です。また、ワンタイムパスワードの生成又は送信方法によって脅威や留意事項が異なります。
脅威耐性と留意事項
オンライン上でのパスワードの推測
- ワンタイムパスワードは通常ランダムに生成されるため、オンライン上での推測攻撃に耐性を有します。
盗聴・リプレイ攻撃
- 盗聴に対しては通信の暗号化等により対策します。ワンタイムパスワードのリプレイ攻撃に対しては、ワンタイムパスワードの有効期限が短期間であること、ワンタイムパスワードによる認証回数を1回きりに制限することによって耐性を有します。
パスワードや認証器の盗用
-
多要素認証であるため、単一の認証要素を盗まれた場合にも耐性を有します。
-
パスワードとワンタイムパスワードを生成又は受信する環境が同時に盗まれた場合の耐性は有しません。
フィッシング
- 利用者が偽サイトに誘導され入力したワンタイムパスワードを攻撃者が正規サイトに中継することでの不正アクセスが可能であるため、フィッシングへの耐性を有しません。
暗号鍵の不正な取り出し・複製
-
TOTP方式の場合、ワンタイムパスワードの生成に使用する暗号鍵(シード値)が漏えいするとワンタイムパスワードを推測可能となるため、安全に管理する必要があります。
-
SMSや電子メール等によってワンタイムパスワードを送信する方式の場合は、該当する脅威はありません。
その他の考慮事項
事業目的の遂行/公平性に関する考慮事項
- それぞれの方式において、ワンタイムパスワードの生成又は受信のための環境の所持が前提となる点に考慮が必要です。具体的には、TOTP方式の場合はスマートフォンのAuthenticatorアプリ、SMSで送信する方式の場合はSMSを受信できる携帯電話番号、電子メールで送信する場合は電子メールアドレスの所持が前提となります。
アクセシビリティ及びユーザビリティに関する考慮事項
- パスワード認証+ワンタイムパスワード認証をログインのたびに求めることは、ユーザビリティの面では好ましくありません。ワンタイムパスワード認証に短い時間制限がある場合は、アクセシビリティ観点での懸念も生じます。利用者側のOSやブラウザが備えるワンタイムパスワードの自動入力機能を利用可能としたり、ログインは単要素認証のみで可能としつつ、高リスクの操作を行う場合にのみワンタイムパスワードを組み合わせた多要素認証を求めたりするといった検討が望まれます。
セキュリティに関する考慮事項
-
フィッシングへの耐性を有していない点に十分な留意が必要です。
-
ワンタイムパスワードを生成又は伝達する方式によって、下表のように考慮すべき脅威が異なります。
パスワード認証
手法の概要
パスワード認証は、あらかじめ登録した文字列によって利用者を認証する方式です。オンラインサービスにおいて最も普及している当人認証手法の1つです。
しかしながら、利用者側が複数のサービスで同じパスワードを使い回すことが少なくなく、他のサービスから漏えいしたパスワードによって不正アクセスを受けるリスクが大きな問題となっています。また、フィッシングに対しても耐性がなく脆弱です。これらのリスクは、利用者側の運用や注意に依存する部分が多分にあり、サービス提供側での根本的な対策が難しいのが実情です。
加えて、利用者側にとっても複数のサービスのパスワードを覚える必要があるなど利便性が良いとは言えない方式であるため、昨今はパスワード認証を用いない「パスワードレス」な認証方式を採用することが、民間サービスでの一つの潮流となっています。
脅威耐性と留意事項
オンライン上でのパスワードの推測
- パスワードの複雑性の確保、一定時間当たりの認証試行回数の制限等により対策を講じる必要があります。
盗聴・リプレイ攻撃
- 通信の暗号化等により対策します。
パスワードや認証器の盗用
- 耐性を有しません。
フィッシング
- 耐性を有しません。
暗号鍵の不正な取り出し・複製
- 利用者側で暗号鍵は管理しないため、該当する脅威はありません。
その他の考慮事項
アクセシビリティ及びユーザビリティに関する考慮事項
-
パスワードの設定画面や入力画面は、利用者がパスワードマネージャーを円滑に利用できる実装とすべきです。パスワードマネージャーの利用を禁止又は阻害するような実装は、ユーザビリティを低下させるだけでなくフィッシングに対しても脆弱となるため、推奨されません。なお、「パスワードマネージャーの利用を禁止又は阻害するような実装」とは、以下のような実装が該当します。
-
利用可能な特殊文字やパスワード長が、一般的なパスワードマネージャーの仕様に対応しておらず、パスワードマネージャーが生成したパスワードがエラーとなり登録できない
-
IDやパスワードの入力欄において、オートフィル機能に向けた適切な属性が設定されていない又は明示的にオートフィル機能を無効化されていることで、パスワードマネージャーが円滑に起動できない
-
IDの入力欄が複数に分割されているなど、一般的なパスワードマネージャーの入力に対応していない
-
パスワード設定時のドメイン名とログイン時のドメイン名が異なるなどして、ログイン時にドメイン名に紐づくパスワードをパスワードマネージャーが自動選択できず、利用者が手動で選択しなければならない
-
IDやパスワードの入力欄において、コピー&ペーストが無効に設定されている
-
セキュリティに関する考慮事項
-
フィッシングへの耐性を有していない点に十分な留意が必要です。
-
利用者側が複数のサービスで同じパスワードを使い回すことが少なくなく、他のサービスから漏えいしたパスワードによって不正アクセスを受けるリスクがあります。利用者側のパスワードの使い回しが原因である場合であっても、サービス提供側に不正アクセスについて一定の責任が問われるケースもあります。
-
パスワード認証に関する詳細な要求事項(パスワード長の要求事項、複雑性等)については、NIST SP 800-63B-4についても参考とすることが望まれます。
別紙3 参考資料一覧
本別紙では、ガイドライン本編に基づく検討や、本人確認に関連するシステム整備等の実務において参考となる外部資料とその概要を示します。
なお、各文書の概要やURLについては本解説書の執筆時点(2026年2月時点)のものですので、参照される際には改版の有無を確認の上で、最新版を参照してください。