2019年07月01日
パスワードに代わる新しい認証のしくみ-FIDOとは?
~パスワード入力が要らない世界へ~
スマートフォンやタブレットが普及し、手軽にインターネットのサービスを利用する機会が増える中、個人を認証するためのID、パスワードを使う頻度は増えています。IPA(情報処理推進機構)の調査※1によると、パソコン利用者、スマートデバイス利用者の4割前後が6個以上のアカウントを保有しているという結果でした。様々なサイトで認証が必要となり、皆さんも「このサイトのID、パスワードはどれだったかな?」という経験をされた方も多いのではないでしょうか?
一方、最近ではそのID、パスワードを管理する側の企業の電子商取引(EC)サイトが乗っ取られ、パスワードの不正利用の被害に遭うケースが多くみられます。
パスワードは個人を認証するために使われるのですが、上記のように利用する側、管理する側双方に課題がある状況の中、このパスワード入力をしなくても認証してくれる技術が登場し、注目されています。
※1:2018年度 情報セキュリティの脅威に対する意識調査
https://www.ipa.go.jp/files/000070256.pdf
パスワード入力が不要になる認証技術の登場
ITの世界における認証は、最初はID、パスワードによるものから始まり、インターネットの普及、セキュリティ上の脅威の高まり、デバイス技術の進化によってその技術も発展してきました。最近ではPCやスマートフォンなどに指紋や虹彩による生体認証の機能が付属しているものが多くなってきています。
この生体認証により端末へのログインが簡単になり、パスワードと違って盗まれにくいため、安全性も高まりました。ただし、これはあくまで端末にログインする「ローカル認証」と呼ばれるもので、ログインしたPCなどからインターネットのサイトにログインする「ネットワーク認証」までは行えません。
この「ネットワーク認証」についてもパスワード不要の認証のしくみを標準化した規格がFIDO(First IDentity Online)です。
FIDOの認証では最初にID、パスワードの時と同様に、新規登録を行います。新規登録では、ID、パスワードを登録する代わりに指紋などの生体認証の機能を「認証器」として使用します。この認証器が利用者本人であることを検証する機能を持っています。
認証が完了した後、実際にサイトにログインして利用する時の流れは図の通りです。
図:FIDOによる認証の流れ
①サイトを利用するにあたり、認証をリクエストします。
②認証サーバはチャレンジと呼ばれる受付票のようなものを利用者側に返します。
③認証器では受付票に署名して再び認証サーバに送付します。
④最後に認証サーバは検証結果の妥当性を確認して認証が完了します。
このように、FIDOではパスワード情報はもちろん、指紋などの生体情報がネットワーク上に流れることなく認証が行えます。加えて利用者端末にある認証器での認証を組み合わせていることから、ID、パスワードの時のように利用サイトのサーバ側に認証に必要な情報が全て管理されていません。そのため、サーバ側が攻撃を受けた場合でも認証に必要な情報が漏洩して危険にさらされる心配がありません。
また、FIDOの規格を策定している業界団体は、その利便性を高めて普及をはかるために、さらに拡張した新しいバージョンFIDO2を2018年に公開しました。FIDO2では仕様が洗練され、インターネットに接続する際に使うWebブラウザの3大ブラウザ(Google Chrome, Microsoft Edge, Firefox)に対応することを決定したことにより、一般の開発者でも手軽に利用できるようになりました。今後広く普及していくのではないかと期待されています。
FIDOの普及はこれから
2018年頃から国内でも以下のようなFIDOの導入事例が出てきています。
採用した企業 | 事例 |
---|---|
三菱UFJ銀行 | インターネットバンキングに採用(スマートフォンアプリ利用時) |
アフラック生命保険 | がん保険での診断給付年金の即時支払いサービスに採用 |
ヤフー | 各種サービスの認証に採用(Yahoo! Japan IDでのログイン) |
LINE | オンライン決済サービスLINE Payなどのサービスの認証に採用 |
このように金融機関や金融系サービスでの導入も増えてきており、利用者の利便性向上とセキュリティリスクの軽減がはかられています。
さらに今後は企業内システムへの導入も進むと考えられます。最近は多くの企業でシステムのパスワードの定期的な変更を求めており、その結果、従業員が安易なパスワードを設定することで、かえってリスクが高まっていると言われています。このことから、2018年3月に総務省がパスワードの定期的な変更は不要とする見解を出すなど※2、パスワード認証の問題は企業内でもクローズアップされています。 したがって、今後は企業内システムにおいてもFIDOによる認証を採用するケースが増えると想定されます。例えばクラウド上のサービスを活用したシステム、モバイル端末で外部から社内にアクセスする場合の認証において活用が期待できます。
これからは複数のパスワードを覚えたり、管理したりすることから解放される上にセキュリティの懸念も軽減される世界がやって来そうです。
※2:総務省 国民のための情報セキュリティサイト
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html
2019年7月
最新の記事
年別
ITの可能性が満載のメルマガを、お客様への想いと共にお届けします!
Kobelco Systems Letter を購読