WebAuthnとCTAPについて

2023年8月18日2023年8月31日

こんにちは。SCSKセキュリティプロダクト部Yubicoチームです。

今回はWebAuthnとCTAPについて記載します。

WebAuthn（Web Authentication）は、ウェブサイトにおける認証技術の1つで、セキュリティキー（USBキー、NFCキー、スマートフォンなど）を使用して、パスワードレスの認証を提供することができます。WebAuthnは、W3C(World Wide Web Consortium)によって作成されたオープンスタンダードであり、主要なウェブブラウザ（Edge、Chrome、Safariなど）がサポートしています。

CTAP（Client to Authenticator Protocol）は、FIDO（Fast Identity Online）アライアンスによって策定された、クライアント（ノートPCなど）とオーセンティケーター（セキュリティキーなど）の間を通信するためのプロトコルです。CTAPには、バージョン1（CTAP1）およびバージョン2（CTAP2）が存在し、バージョン2は、FIDO2認証をサポートする多くのセキュリティキーで使用されています。

バージョンの違いは下記の通りです。

　CTAP1：FIDO U2F で使うための認証の第二要素であるセキュリティ―キーなどを読み込むことができます。

　CTAP2：FIDO2で使うためのセキュリティキーなどを読み込むことができます。

FIDO U2FとFIDO2の違いについてはこちらの記事を参考にしてください。

　FIDO U2FとFIDO 2の違いとは – 多要素認証「YubiKey」| SCSK株式会社

WebAuthnとCTAPを組み合わせたのをFIDO２と呼び、ウェブサイトは高度なセキュリティを提供しながら、ユーザーにより簡単かつ便利な認証方法を提供することができます。