【エバンジェリスト・ボイス】近づくパスワードのいらない世界

サイバー・セキュリティ・ソリューション（CSS）部
エバンジェリスト　内山　史一

こんにちは。 CSS 部 エバンジェリストの内山です。

10 月に入り、すっかり季節は秋になりました。「秋」は、食欲の秋、読書の秋、運動の秋、勉強の秋のように「～の秋」という風によく表現されます。
やっと真夏の暑さから開放されたので、自分の感性を響くことに没頭したいとは思うのですが…最初に「食欲の秋」と書いている時点で、今年の秋も本能の赴くままに活動しそうな予感です。
「秋」は実りのある季節。皆さまに実りと幸が多いことを祈念しつつ、今日も私は身体に残った「収穫の遅れた実り」の刈取りに悩んでいます。


さて、ここからが本題です。
皆さんは PC やスマートフォンで様々な Web サービスを利用されていると思います。
EC サイトやオンラインバンキング、 SNS 、情報キュレーションサービスやニュースサイト等、このような Web サービスにアクセスしない日はないのではないでしょうか。
Web サービスごとにユーザー ID （最近はメールアドレスが多いですね）とパスワードを用意してアクセスしますが、この煩雑な管理が面倒なことから各サービス共通のユーザー ID とパスワードを利用するユーザーが多いようです。

このようなユーザー ID とパスワードの使いまわしは、 Web サービスを安全に利用するうえで、絶対にやってはいけないことです。

Web サービスは大変便利な反面、利用するうえで大変悩ましいのが煩雑な ID ・パスワード管理ですが、その悩みから解放してくれるかもしれない、嬉しい情報を目にしました。

米国時間の 2018 年 9 月 26 日、 FIDO Alliance( ファイド アライアンス ) は「 FIDO2(Fast IDnetity Online2) 」に対応した Web ブラウザと認定製品を発表し、国内からはヤフーが「 FIDO2 」の認定を国内企業で唯一取得したと公表しました。

外部サイト： Web でのパスワード利用を削減すべくハイテク業界のリーダー企業が FIDO2 認定ソリューションを発表
　　
外部サイト： ヤフー、新たなウェブ認証の規格「 FIDO2 」の FIDO Certified （認定）を国内企業で唯一取得　パスワードを使わない安全なログイン環境の実現に前進
　　

Web サービスへのログインが、パスワード認証から生体認証などを用いた安全なログインへ切り替わる日がそう遠くないかもしれません。
普段から Web サービスをよく利用する一般ユーザーにとって、大変身近で嬉しいニュースだと思いますので、本エントリーで以下ポイントにまとめてご紹介します。

　・ FIDO 認証と FIDO2 とは
　・ユーザーにとってのメリット
　・どのような業界、サービスから浸透していくか


【FIDO認証とFIDO2とは】
ここでは FIDO 認証と FIDO2 の概要についてご説明します。
まず、 FIDO Alliance( ファイド アライアンス ) とはどのような組織かご紹介すると、 2012 年 7 月に Paypal 、 Lenovo など 6 社が中心となり、生体認証などを利用した安全な認証技術の標準を策定するために設立された非営利の団体です。
現在では、 Microsoft 、 Google 、 Amazon 、 MasterCard 、 VISA など IT 業界や国際的な金融機関、国内からは富士通、三菱 UFJ 銀行、 NTT ドコモ等、多くの企業が参加しています。

さて、 FIDO 認証のお話をします。
FIDO 認証は「認証の 3 要素」でいうところの、「所持」と「バイオメトリクス情報」を使った認証方式を採用しています。

・記憶 (SYK:Something You Know)
　 → 本人のみが記憶しているデータに基づき認証する方法
　　例：パスワード、パスフレーズ、 PIN など

・所持 (SYH:Something You Have)
　 → 本人のみが所持している物によって認証する方法
　　例： IC カード、ワンタイムパスワードなどのトークンなど

・バイオメトリクス情報 (SYA:Something You Are)
　 → 本人の生体に基づくデータにより認証する方法
　　例：指紋、音声、虹彩、顔の形など

次に、 FIDO 認証は従来の認証モデルと比較すると、その違いがよく分かります。
以下に従来の認証モデルと FIDO 認証モデルの概念を図示してみます。

＜従来の認証モデル＞

Figure-1 ：従来の認証モデル

＜ FIDO 認証モデル＞

Figure-2 ： FIDO 認証モデル

このように、 FIDO 認証は Figure-2 で言うと手元の認証器（例えば、スマートフォンや PC ）で、本人性の検証が済んでしまい、非常に効率がよく、ネットワークにクレデンシャル情報を流すことはありません。
FIDO 認証の大きな特徴は、ユーザーの検証結果の妥当性確認に「公開鍵暗号方式」を活用している点にあります。
どのように活用されているかの詳細については、下記サイトをご参照ください。

外部サイト： FIDO の仕組み
　　

FIDO 認証について、おおよその概要はご理解いただけたかと思います。

FIDO2 とは、 W3C の Web 認証の仕様 (WebAuthn) と FIDO の対応する Client To Authenticator プロトコル (CTAP) で構成されている技術です。
これにより、 WebAuthn に対応した Web ブラウザから FIDO 認証を実装した Web サイトへログインする際、指紋認証や顔認証などを利用することが可能になります。


Figure-3 ： FIDO2 WEBAUTHN + CTAP フロー（出典： https://fidoalliance.org/fido2/ ）




Figure-4 ： FIDO2 概要（出典： https://fidoalliance.org/fido2/ ）


既に Google Chrome と Mozilla Firefox の最新版では WebAuthn に対応しています。
また、 Microsoft Edge については、この秋の Windows10 の大型アップデートで WebAuthn に対応します。
今後、 Web サイト側でも FIDO 認証の実装が浸透していくと、 Web ブラウザから Windows Hello のような顔認証や Android の指紋認証で、 Web サイトのサービスを利用することができるようになっていくでしょう。


【ユーザーにとってのメリット】
ここまで本コラムを読んで頂いた皆さまには容易に想像がついていると思いますが、 FIDO2 のメリットは「簡単な認証」を提供することです。
Web サイトのログインにパスワード入力をする必要がなくなり、スマートな認証が可能になりますので、非常にユーザーエクスペリエンスが高いものになるでしょう。
感覚的に近いものとして iPhone や Android を例にあげると、指紋センサーを搭載したデバイスなら、指紋認証で簡単にストアからアプリ購入することができますよね。（このおかげで、指紋センサーがないデバイスは考えられなくなりました…）
これ自体は Apple や Google に閉じたローカルな認証モデルですが、このような認証体験が様々な Web サービスで広がっていくなら、ユーザーにとって非常に嬉しいことではないでしょうか。

そして、もう一つのメリットは「強固な認証」です。
パスワードや生体情報 ( クレデンシャル情報 ) は、ユーザーのデバイス側で検証され、クレデンシャル情報はネットワークを流れずサーバーには保管されません。
これにより、フィッシングやパスワードリスト攻撃、リプレイ攻撃に対する攻撃耐性の高さを実現しています。


【どのような業界、サービスから浸透していくか】
さて、最後に FIDO2 がどのような業界、サービスに浸透していくかですが、本人認証が必要な金融・決済系サービスかとは予想しつつも、現段階においては正直分からないといったところです。
やはり、 Amazon や Facebook のようなグローバルで人気の高い Web サイトに採用されるかどうかがポイントではないでしょうか。
そういう意味で、国内で唯一「 FIDO2 」認定を取得したヤフーが、今後どのようなサービスを展開していくか非常に興味がありますし、 FIDO2 を実装したサービスを、一人のユーザーとして積極的に利用したいと思っています。


それでは、次のエントリーでお会いしましょう！

当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。

エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。