コラム

SmartCloud コラム

生体認証が切り開くパスワードとの決別

2020.10.07IAM

今、知っておくべき「FIDO認証」とは

IT技術の発展により、ビジネスやプライベートでもさまざまな新しいサービスが浸透しています。しかし、本人確認に使われるのは従来通りの「パスワード」が主流です。

サイバー攻撃やヒューマンエラーによってログイン情報が流出する事件も後を絶ちません。

そんな中、パスワードに代わる認証方式として注目を集めているのが「FIDO」です。

2018 年10月、AndroidスマートフォンのGoogle Chromeブラウザー上でのYahoo! JAPAN IDで「FIDO2」に対応するなど、アカウントへのログイン方法としても積極的に取り入れられています。本記事では、なぜFIDOの技術が注目されるのか、そして今後の動きについて解説します。

パスワードを利用するリスク

従来型の認証方式である「パスワード」は、Webサイトやクラウドサービスへのログインに広く利用されています。各サービスの提供者は、利用者に大文字・小文字・記号を用いた強度の高いパスワードの設定や、定期的なパスワード変更を促すなどのリスク低減対策を進めました。

しかし、セキュリティー攻撃のトレンドは年々変化し、手口も巧妙になっているため、対策が難しくなっているのが現状です。

パスワードをブラウザへ入力する危険性

IDとパスワードは、ログイン画面で入力する必要があり、ここに危険が潜んでいます。フィッシングサイトは公式サイトとそっくりに作られた偽サイトです。最近では大手通販サイトや宅配業者からのメールを装い、フィッシングサイトへのログインを促す偽装メールが横行しています。入力したIDとパスワードの組み合わせが盗まれてしまい、不正アクセス被害の原因になります。たとえ定期的にパスワードを変更したとしても、画面に入力したIDとパスワードが流出してしまったら意味をなしません。そのID・パスワードを他のサイトでも使い回しをしていると、さらに被害が拡大する恐れがあります。

複数の「記憶」要素での二段階認証では不十分な場合も

巧妙になっていく手口に対抗するために、二段階認証に対応したサービスも多く登場しました。二段階認証ではパスワードに加えて、登録したユーザーが知っている質問と回答の組み合わせ等、異なる2つの「記憶」を利用します。しかし、「記憶」という同じ分野の要素を増やしてもセキュリティ強度はそれほど向上しないでしょう。記憶要素に対する攻撃はいくつか存在しており、攻撃者は同様の攻撃を繰り返すだけで侵入が可能だからです。

標準化された生体認証「FIDO」

パスワードへの依存度を減らし、利便性と安全性の両方を向上させるために登場したのが「FIDO認証」です。FIDOとは「Fast Identity Online」の略称で、2012年に設立された非営利団体であるFIDOアライアンスによって標準化された認証規格です。生体認証では主に「指紋認証」や「顔認証」、「静脈パターン認証」などが用いられ、さらに個人に紐づいたデバイスを所持していることが、認証を行う上で重要な意味を持ちます。FIDOにより標準化された「生体」と「所持」の多要素認証は、パスワード利用に代わる認証方法として注目を集めているのです。

「所持」と「生体」で認証するFIDOのプロセス

FIDOの特徴は認証におけるプロセスです。FIDOではクライアントのデバイスで生体認証を行い、サービスを提供するサーバーでデバイスの認証をします。生体情報はデバイス内の専用領域に格納されており、認証もデバイス内で完結するため、外部のサーバーに送信されることはありません。

また、デバイスの認証は、秘密鍵で電子署名をしたデータをサーバーへ送信し、サーバーに保存している公開鍵で復号することで行われます。つまり、サーバーに送信するデータも、認証サーバーに保存しておくデータも、たとえ漏えいたところで単体では意味をなさないものなのです。

デバイスを「所持」することと、「生体」で認証することの多要素認証が、強いセキュリティシステムを作り上げます。

FIDOの利点

FIDOの導入には、以下のような利点が挙げられます。

●リスク軽減：パスワードや生体情報などクリティカルな情報は漏洩しない
●コスト削減：複数のパスワード管理などで工数を割く必要がない
●ユーザーエクスペリエンスの向上：パスワードを覚えておく必要がないため、使いやすいサービスを実現できる

パスワードを利用しない認証方法により、サービスへのアクセスにストレスがなくなります。また、これまでオンラインを利用したサービスに不安を抱いていたユーザーにも安心・安全を訴求できるので、利用者の拡大も見込めるでしょう。

「FIDO」がデファクトスタンダードになる

「FIDOアライアンス」の企業には、GoogleやFacebook、日本では金融業界をはじめNTTドコモやLINEなど、インターネット・通信業界まで幅広い企業が参加しています。今後、生体認証の利用がさらに進めば、パスワード認証によるセキュリティの在り方は過去のものになるかもしれません。そして、FIDOはWebコンテンツやクラウドサービスなど、あらゆるシーンの認証システムとしてデファクトスタンダードとなるでしょう。