IDコラム

【エバンジェリスト・ボイス】近づくパスワードのいらない世界 2018/10/10 (水)

サイバー・セキュリティ・ソリューション（CSS）部
エバンジェリスト　内山　史一

こんにちは。CSS部 エバンジェリストの内山です。

10月に入り、すっかり季節は秋になりました。「秋」は、食欲の秋、読書の秋、運動の秋、勉強の秋のように「～の秋」という風によく表現されます。
やっと真夏の暑さから開放されたので、自分の感性を響くことに没頭したいとは思うのですが…最初に「食欲の秋」と書いている時点で、今年の秋も本能の赴くままに活動しそうな予感です。
「秋」は実りのある季節。皆さまに実りと幸が多いことを祈念しつつ、今日も私は身体に残った「収穫の遅れた実り」の刈取りに悩んでいます。


さて、ここからが本題です。
皆さんはPCやスマートフォンで様々なWebサービスを利用されていると思います。
ECサイトやオンラインバンキング、SNS、情報キュレーションサービスやニュースサイト等、このようなWebサービスにアクセスしない日はないのではないでしょうか。
WebサービスごとにユーザーID（最近はメールアドレスが多いですね）とパスワードを用意してアクセスしますが、この煩雑な管理が面倒なことから各サービス共通のユーザーIDとパスワードを利用するユーザーが多いようです。

このようなユーザーIDとパスワードの使いまわしは、Webサービスを安全に利用するうえで、絶対にやってはいけないことです。

Webサービスは大変便利な反面、利用するうえで大変悩ましいのが煩雑なID・パスワード管理ですが、その悩みから解放してくれるかもしれない、嬉しい情報を目にしました。

米国時間の2018年9月26日、FIDO Alliance(ファイド アライアンス)は「FIDO2(Fast IDnetity Online2)」に対応したWebブラウザと認定製品を発表し、国内からはヤフーが「FIDO2」の認定を国内企業で唯一取得したと公表しました。

外部サイト：Webでのパスワード利用を削減すべくハイテク業界のリーダー企業がFIDO2認定ソリューションを発表
　　
外部サイト：ヤフー、新たなウェブ認証の規格「FIDO2」のFIDO Certified（認定）を国内企業で唯一取得　パスワードを使わない安全なログイン環境の実現に前進
　　

Webサービスへのログインが、パスワード認証から生体認証などを用いた安全なログインへ切り替わる日がそう遠くないかもしれません。
普段からWebサービスをよく利用する一般ユーザーにとって、大変身近で嬉しいニュースだと思いますので、本エントリーで以下ポイントにまとめてご紹介します。

　・FIDO認証とFIDO2とは
　・ユーザーにとってのメリット
　・どのような業界、サービスから浸透していくか


【FIDO認証とFIDO2とは】
ここではFIDO認証とFIDO2の概要についてご説明します。
まず、FIDO Alliance(ファイド アライアンス)とはどのような組織かご紹介すると、2012年7月にPaypal、Lenovoなど6社が中心となり、生体認証などを利用した安全な認証技術の標準を策定するために設立された非営利の団体です。
現在では、Microsoft、Google、Amazon、MasterCard、VISAなどIT業界や国際的な金融機関、国内からは富士通、三菱UFJ銀行、NTTドコモ等、多くの企業が参加しています。

さて、FIDO認証のお話をします。
FIDO認証は「認証の3要素」でいうところの、「所持」と「バイオメトリクス情報」を使った認証方式を採用しています。

・記憶(SYK:Something You Know)
　→本人のみが記憶しているデータに基づき認証する方法
　　例：パスワード、パスフレーズ、PINなど

・所持(SYH:Something You Have)
　→本人のみが所持している物によって認証する方法
　　例：ICカード、ワンタイムパスワードなどのトークンなど

・バイオメトリクス情報(SYA:Something You Are)
　→本人の生体に基づくデータにより認証する方法
　　例：指紋、音声、虹彩、顔の形など

次に、FIDO認証は従来の認証モデルと比較すると、その違いがよく分かります。
以下に従来の認証モデルとFIDO認証モデルの概念を図示してみます。

＜従来の認証モデル＞

Figure-1：従来の認証モデル

＜FIDO認証モデル＞

Figure-2：FIDO認証モデル

このように、FIDO認証はFigure-2で言うと手元の認証器（例えば、スマートフォンやPC）で、本人性の検証が済んでしまい、非常に効率がよく、ネットワークにクレデンシャル情報を流すことはありません。
FIDO認証の大きな特徴は、ユーザーの検証結果の妥当性確認に「公開鍵暗号方式」を活用している点にあります。
どのように活用されているかの詳細については、下記サイトをご参照ください。

外部サイト：FIDOの仕組み
　　

FIDO認証について、おおよその概要はご理解いただけたかと思います。

FIDO2とは、W3CのWeb認証の仕様(WebAuthn)とFIDOの対応するClient To Authenticatorプロトコル(CTAP)で構成されている技術です。
これにより、WebAuthn に対応したWebブラウザからFIDO認証を実装したWebサイトへログインする際、指紋認証や顔認証などを利用することが可能になります。


Figure-3：FIDO2 WEBAUTHN + CTAPフロー（出典：https://fidoalliance.org/fido2/）




Figure-4：FIDO2概要（出典：https://fidoalliance.org/fido2/）


既にGoogle Chrome と Mozilla Firefox の最新版では WebAuthn に対応しています。
また、Microsoft Edge については、この秋のWindows10の大型アップデートで WebAuthn に対応します。
今後、Webサイト側でもFIDO認証の実装が浸透していくと、WebブラウザからWindows Hello のような顔認証やAndroidの指紋認証で、Webサイトのサービスを利用することができるようになっていくでしょう。


【ユーザーにとってのメリット】
ここまで本コラムを読んで頂いた皆さまには容易に想像がついていると思いますが、FIDO2のメリットは「簡単な認証」を提供することです。
Webサイトのログインにパスワード入力をする必要がなくなり、スマートな認証が可能になりますので、非常にユーザーエクスペリエンスが高いものになるでしょう。
感覚的に近いものとしてiPhoneやAndroidを例にあげると、指紋センサーを搭載したデバイスなら、指紋認証で簡単にストアからアプリ購入することができますよね。（このおかげで、指紋センサーがないデバイスは考えられなくなりました…）
これ自体はAppleやGoogleに閉じたローカルな認証モデルですが、このような認証体験が様々なWebサービスで広がっていくなら、ユーザーにとって非常に嬉しいことではないでしょうか。

そして、もう一つのメリットは「強固な認証」です。
パスワードや生体情報(クレデンシャル情報)は、ユーザーのデバイス側で検証され、クレデンシャル情報はネットワークを流れずサーバーには保管されません。
これにより、フィッシングやパスワードリスト攻撃、リプレイ攻撃に対する攻撃耐性の高さを実現しています。


【どのような業界、サービスから浸透していくか】
さて、最後にFIDO2がどのような業界、サービスに浸透していくかですが、本人認証が必要な金融・決済系サービスかとは予想しつつも、現段階においては正直分からないといったところです。
やはり、AmazonやFacebookのようなグローバルで人気の高いWebサイトに採用されるかどうかがポイントではないでしょうか。
そういう意味で、国内で唯一「FIDO2」認定を取得したヤフーが、今後どのようなサービスを展開していくか非常に興味がありますし、FIDO2を実装したサービスを、一人のユーザーとして積極的に利用したいと思っています。


それでは、次のエントリーでお会いしましょう！