2015年7月にWindows10が公開された時に、Microsoftがエンタープライズ向けにアピールしていたキーワードの中に「さよならパスワード」というのがありました。それはWindows Helloという認証機能を効果的にアピールするものでした。その時点で僕は”iPhoneの指紋認証の様な生体認証が、Windowsでも標準で利用できるなったのか”、ぐらいにしか思っていませんでした。
しかし、よくよく調べてみるとこのWindows HelloはFIDOという認証技術が使われていることがわかりました。
近年セキュリティ事故が企業に与える影響が大きいことが一般的に認知されてくるようになる中で、FIDOはこれまでのパスワード認証に変わる画期的なオンライン認証技術として注目されています。認証革命を起こすかもしれないこのFIDOという認証技術について今回はご紹介します。
目次
パスワードによるオンライン認証の脆弱性
FIDOの話をする前に、昔からあるオンラインのパスワード認証の脆弱性の話について主なものを説明します。
パスワードの使い回し
複数のオンラインサービスで同じパスワードを使い回しすると、一つのサイトでパスワードが流出すると芋づる式にアカウントが乗っ取られる恐れがあります。Yahooのパスワードが流出した後、LINEやFacebookのアカウント乗っ取りが多発したことは記憶に新しいところです。
フィッシングサイト
フィッシングサイトは正規のサイトと見せかけて、ID、パスワードを入力させて盗み取るものです。フィッシングサイトは本物そっくりに見せかけて作られているので、IDパスワードの流出を防ぐのは困難です。
キーロガー
何らかの方法でPCにキーロガーと呼ばれる不正ソフトがインストールされてしまった場合、どのキーを打ち込んだのかの情報が盗み取られ、ID、パスワードも流出してしまいます。
このように従来型のパスワードによる認証ではID、パスワードが流出するリスクが多くあり、安全に使えるものではありませんでした。
これらの状況を考慮して、最近では多要素認証を採用するサービスも増えています。たとえば予め認証をした端末からでないとログインできないとか、ID、パスワードの他にスマホにSMSでPINが届き、そのPINを入れないと認証されないとかの機能を持たしています。
多要素認証を行うことでセキュリティは強固になりますが、サービスを気軽に利用することは出来なくなってしまいます。
FIDO アライアンス
このようなパスワード認証の脆弱性が周知される状況の中、立ち上がったのがFIDOアライアンスです。2012年に法人として立ち上がった比較的新しい組織ですが、その構想は前々から暖められていたもので「使いやすさ」と「安全性」の両立を図るソリューションの提供を行います。
FIDOアライアンスは当初American Express、Master Card、Bank of Americaなどの金融サービスの企業が参加しましたが、近年ではMicrosoft、Google、Samusungなど名だたるIT企業が参加することで勢いが付いてきています。
ちなみに指紋認証など独自の規格を進めるAppleはFIDOアライアンスには参加していません。
FIDO認証とは
現時点ではUAFとU2Fの2つの認証方式が提供されています。
UAF
認証された端末と生体情報で認証を行う仕組みです。
参照URL:https://fidoalliance.org/specifications/overview/
U2F
ID、パスワードの他に、認証された機器(USBトークンなど)を使って認証を行う仕組みです。
参照URL:https://fidoalliance.org/specifications/overview/
従来の認証との違い
FIDOと従来の認証との違いは2点あります。一つは認証が端末側とサーバ側の2ヶ所で行われるということ、もう一つはパスワードの管理が不要になることです。
FIDOは端末側で個人認証を行い、サーバは端末を認証するので、個人情報がオンライン上を流れません。また端末側での個人認証には生体認証を使うのでパスワードの管理も不要になります。
FIDOは従来型のパスワード認証の脆弱性を補いつつ、生体認証を活用することで利便性も提供してくれるものです。
FIDO普及のハードル
セキュリティも利便性も高めてくれるFIDOですが、普及にはもう一つ大きなハードルを超える必要があります。
それはFIDO認証に対応したサービスの普及と、FIDO認証に対応したハードウェアの普及があります。iPhoneの指紋認証は恐らく利用者が最も多い生体認証装置だと思いますが
残念ながらFIDOに対応していません。
MicrosoftのWindows Helloは顔認証を実現していますが、対応しているデバイスはまだ多くありません。さすがにMicrosoft製のSurface Pro4などでは対応していますが、多くの端末ではWindows Hello対応カメラ、指紋認証装置の用意が必要です。
Mouse Computerが出しているWidnwos Hello対応カメラ。8000円弱で購入できます。
同じくMouse Computerが出しているWindows Hello対応指紋認証装置。約5000円ほどで購入できます。USBポートに指すだけの簡易さなので、セキュリティと引き換えにポチっと挿しておくのもいいでしょう。
FIDOの可能性
上記の様にFIDO普及にはいくつかのハードルがありますがFIDOの利便性と安全性に対する期待は高く、FIDOアライアンスには多くの企業が参加しており、標準化されているので今後一気に普及する可能性もあります。
企業で使うシステムでもクラウド利用が普及してきており、オンライン認証が必須となってきている今、FIDOを使った認証システムは企業を中心に一気に広がる可能性もあります。
参考URL:FIDO Alliance