パスワード利用の限界

ネットユーザーの多くは複数のサイトで同じパスワードを使い回す傾向があり、この隙を突いた攻撃による被害が後を絶ちません。あるサービスからパスワードが漏えいしてしまうと、同じパスワードを使っている銀行やECサイトにもログインされるという深刻な被害にもつながります。パスワードを使った認証は、フィッシングのような手口にも脆弱で、パスワードの利用に限界を指摘する声も高まってきました。

特別な運用コストがかからず、手軽に使えるパスワードを他の手段で代替することはなかなか難しいのですが、パスワード自体を無くしてしまう、という発想もあります。それが「FIDO（The Fast IDentify Online：ファイド）」という認証方式です。直訳すると“迅速なオンライン認証”ですが、この技術の本質は速さよりも安全性と使いやすさにあります。

FIDOの機能を短く表すと、ユーザー端末とWebサイトの間で、パスワードのような機密性が高い情報は流さずに、“本人です”というメッセージをやり取りするだけで、検証を行うというものです。“本人です”を意味する情報が盗まれたとしても、これ単独では何の機能もありませんから、ほとんど実害はありません。

このようなシステムは、1企業や1業種、あるいは1国で閉じてしまうと効果は限定的になってしまいますが、FIDOはワールドワイドの取組です。2012年に設立された「FIDOアライアンス」が推進しており、GoogleやMicrosoft、AmazonなどのIT企業をはじめ、SamsungやIntelといった端末・チップメーカー、VisaやAmerican Expressなどの金融分野からも多くの企業が参加し、日本からもNTTドコモ、富士通、三菱UFJ銀行、LINEなどが加わっています。

“本人です”を真偽判定

“本人です”というメッセージだけで認証する仕組みを、もう少し具体的に見ておきましょう。真偽判定のポイントは、「公開鍵暗号方式」（※注）を利用した「署名」です。サービスの利用時、ユーザー端末では指紋認証などの方法で認証し、本人と確認できればサーバーから送られてくる文字列を秘密鍵で署名して送り返します。サーバーは公開鍵を用いてこの署名を検証し、正しければ本人であることが確認できるという仕組みです。

本人認証は署名の検証だけで行いますので、ユーザー端末とサーバー間にはパスワードや指紋データのような機密性が高い情報が流れることはありません。

FIDO認証ができる端末の仕組み

FIDO認証に利用できる端末を、FIDOアライアンスでは「FIDO認証器」と定義しています。「FIDO認証器」として動作できる端末は、機密性が高いデータを外部に出さず、セキュアに処理するメモリ領域（FIDO認証器）と、デジタル署名する機能を備えたものです。ユーザー端末としてはスマートフォンを想定していますが、FIDOアライアンスが策定した仕様に合致するものであれば、タブレット端末なども利用できます。

どのような装置を適用するとしても、ポイントは本人認証を端末側で完結することです。例えば、指紋認証を使う場合、指紋センサーに指を置くと、端末に登録してある指紋データと「FIDO認証器」の中で照合し、合致すれば秘密鍵を使って署名します。

また本人認証の方法は、指紋や虹彩、顔などを使う生体認証に限定しているわけではなく、仕様上は暗証番号でも構いません。ただ、暗証番号はパスワードと同様、覚えるという手順が加わるため、対応するシステムの多くは普及が進んだ生体認証を前提としています。

FIDO認証は3種類

ここまでFIDOは、「スマートフォンを使ったパスワードレス認証」として進めてきましたが、FIDOアライアンスが策定している仕様には、パスワードレス認証の「FIDO UAF」の他にも、「FIDO U2F」と「FIDO 2.0」があります。

・FIDO UAF（Universal Authentication Framework）：パスワードレス認証

・FIDO U2F（Universal 2nd Factor）： 二段階認証

・FIDO 2.0 ：パスワードレス認証をWebに拡張

FIDO U2Fは主にPC用いた二段階認証を想定した方式です。例えば、企業ネットワークへのログイン時にID、パスワードで認証し、生体認証やICカードなどを併用して認証強度を上げる方法です。パスワードは使いますが、FIDO UAFと同様、本人認証はローカルで処理し、機密情報が外部に流れることはありません。

FIDO2.0は、パスワードレスの認証をWeb全体に拡張していくための仕様です。例えば、指紋認証の機能を搭載したPCを起動した後、ECサイトにアクセスして、そのままパスワードレスでサービスを利用するといった用途が想定されています。主要ブラウザ、Webサーバーソフトなどの対応が進められていますが、一般向けサービスとして利用環境が整うのは、もう少し先になるでしょう。

FIDOの稼働状況は？

3分野のうちでは、スマートフォンを使うパスワードレス認証（FIDO UAF）が先行しています。国内では、NTTドコモが2015年に初めてFIDO仕様に準拠したスマートフォンを発売し、それ以降に同社から発表される機種の多くはFIDOに対応しています。サーバー側は FIDOに対応するソフトウェアの実装が必要ですが、FIDO認証器と対応アプリを備えた端末に対しては、メーカーを問わずパスワードレス認証ができます。

FIDO UAF対応のサービスでは、インターネットバンキングへの適用が進みつつあります。みずほ銀行では2017年から、スマートフォンアプリを使ったログイン時に、指紋や虹彩などの生体認証が使えるようになっています。三菱UFJ銀行でも2018年11月に、アプリから指紋や顔認証でログインできる機能をリリースしました。

ソフトバンクやKDDI、LINE、Yahoo! Japanなどの大手企業も、2018年から2019年にかけてFIDO対応の製品やサービスをリリース、あるいは対応を進めることを発表しています。例えば、ソフトバンクは利用明細などの情報が確認できる同社のアプリ「My SoftBankプラス」で、FIDOを使ったログインに対応。LINEでは、決済サービス「LINE Pay」の利用時などに、FIDO認証ができるようになるとされており、パスワードレスの環境は、徐々に拡がりつつあります。

認証を起点にガードを固めよう

セキュリティ技術は日々進歩していますが、ユーザー認証には昔も今も、ID、パスワードが使われています。これまでに生体認証や多要素認証など、いろいろな技術が開発されてきましたが、コストや使い勝手の点で一長一短があり、広く普及するには至っていません。

FIDOのパスワードレス認証は、“秘密を共有しない”という点で、これまでの方式とは一線を画す発想で、長いスパンで見るとその効果は大いに期待できるでしょう。認証強度を上げるFIDO U2Fも、FIDO UAFの有効性が浸透するに従い、導入を検討する企業も増えていくと思われます。

認証は企業が使用するネットワークやシステムが攻撃を受ける可能性のある“穴”の一つです。FIDOのような新技術のトレンドに注意を向けると同時に、他にセキュリティの穴が無いかネットワークとシステムの継続的な点検とガードの強化は怠らないようにしたいものです。

--------------------------------------------------------------------------------------------

（※注）公開鍵暗号方式

秘密鍵と公開鍵のペアになった二つの鍵を使って認証を行う方式です。秘密鍵は本人しか知らない鍵、公開鍵は誰でも入手できる鍵です。ユーザーが秘密鍵でデータを暗号化してサーバーに送信し、サーバー側が秘密鍵とペアになった公開鍵で復号化できれば、データを暗号化したのは秘密鍵の持ち主、ユーザー本人ということが分かります。データの暗号化や電子署名、改ざんの有無を検証する方法として広く利用されています。