FIDO2とは、簡単に言うと「パスワードを使わずに、安全に認証を行うことができる認証技術」です。これにより、ユーザーはパスワードを入力するのではなく、指紋・顔の読み取りやセキュリティキーを利用して手軽で安全に認証を行うことができます。
パスワードに依存しない認証技術の開発と標準化を目的として発足したFIDO Allianceという団体が規格の策定と普及推進を行なっており、このFIDO2に基づいたパスワードレス認証は、これまで当然とされてきたパスワード認証に代わりこれからの時代の中核を担う認証方法となると考えられています。
ここでは従来のパスワード認証の方法や問題を取り上げつつ、FIDO2認証の仕組みとその重要性について解説していきます。
一般的に利用されているパスワード認証ーその仕組みが抱える問題とは
私たちが普段使用しているパスワード認証では、アカウント登録時に設定したID・パスワードがユーザーとサーバーの両者で保持されます。ログインする際、ユーザーがID・パスワードを入力してサーバーへ送信すると、サーバー側で保持しているID・パスワードと照合が行われ、認証されるという仕組みです。
つまり、お互いに共有しているパスワード(合言葉)が合っているかどうかをインターネットを通じて確認しているのです。
しかし、この認証方法には大きく分けて2つのデメリットがあります。
1つはパスワード漏洩のリスクです。
実存のサービスになりすましてユーザーにIDやパスワードを入力させるフィッシングによる資格情報の詐取や、端末やサーバーへのサイバー攻撃による情報漏洩などの危険性が考えられます。これは、サーバー側も資格情報を保持している、ネットワーク上で資格情報をやり取りしているといった仕組みであるがゆえの問題だと言えます。
もう1つはパスワード管理の問題です。
人の記憶に頼る部分が大きく、「考えるのが大変」「覚えていられない」という理由からパスワードを使い回しているユーザーも多いのではないでしょうか。しかし、仮に1つのID・パスワードが漏洩した場合、同じパスワードを使用している他のサービスにも不正アクセスされてしまう危険性をはらんでいます。
もはや「パスワードを設定しているから安心」ではないのです。
パスワード認証+αでセキュリティを強化した二段階認証
パスワード認証のリスクに対処するためにセキュリティを強化した仕組みが「二段階認証」です。
二段階認証とは、認証の三要素と呼ばれる「知識情報」「所持情報」「生体情報」のうち単一要素または多要素を用いて2回の認証を行う認証方法であり、セキュリティ上は多要素で行うことが望ましいとされています。
知識情報とはIDやパスワード、PINコードといった「ユーザー本人しか知り得ない情報」、所持情報は端末やICカード、ワンタイムパスワードなどの「ユーザー本人しか持っていないもの」、生体情報は指紋や静脈、顔など「ユーザー本人固有の情報または特性」を指します。
一般的にはパスワード(知識情報)+別の要素(所持情報、生体情報)が組み合わされていることが多く、パスワードが盗まれたとしてももう1つ認証要素が必要となるため、セキュリティは強化されます。ところが、安全だと思われていたワンタイムパスワード(端末で生成される固有のコード)を用いる認証方法でもフィッシングによる突破が可能であり、実際にネットバンキングなどでの被害も出ています。
また、端末IDを用いた認証、ワンタイムパスワードをSMSで送信する方法、USBトークンの使用などはいずれも登録している端末そのものが盗まれてしまえば簡単に突破されてしまいます。
「パスワードを使用しない」ーFIDO2認証がもたらすメリット
FIDO2の認証方法には公開鍵暗号方式が使用されています。
公開鍵暗号方式とは、公開鍵・秘密鍵という一対の鍵を生成する方法です。アカウントに認証器の登録が完了すると、公開鍵はサーバーに、秘密鍵はユーザー本人が持つ端末の認証器に保持されます。
FIDO2に基づいたパスワードレス認証では、ユーザーはログインする際、パスワードを入力する代わりに自身の認証器で本人検証を行い、サーバーから来るチャレンジと検証結果を秘密鍵で署名をして戻します。そして、サーバー側で公開鍵による検証が行われたのち認証が完了します。
ここで重要なのは、従来のパスワード認証や多要素認証と異なり「資格情報が端末外部に出回ることはない」ということです。また、認証の要になる秘密鍵は耐タンパー性(外部からの読み取りを防ぐ状態)が高い領域で厳重に保護され、さらに認証に必要な資格情報はサーバーでは保管されず、ネットワーク上にも流れないため、これらを窃取する攻撃に対して強い耐性があり、不正アクセスによる情報漏洩のリスク回避に繋がります。
さらに、人の記憶(知識情報)に頼る部分が大きかったパスワード認証とは異なり、所持情報にプラスして生体情報もしくは知識情報(PINなど)を用いる認証方法のため、長く複雑なパスワードを覚えておくといった手間がかからないというメリットもあります。
パスワードレス認証化を加速させる役割を果たすFIDO2
FIDO2認証を利用するには認証器と認証サーバーが準拠している必要がありますが、2020年にiOS14/macOS BigSureでSafariがFIDO2対応したことで、Touch ID/Face IDがプラットフォーム認証器(Platform Authenticator)としてFIDO2認証が可能になりました。それにより、Windows、Android、macOS、iOSに内蔵の指紋認証や顔認証を用いてFIDO2に基づくパスワードレス認証が可能となりました。
※ Windows 10(バージョン1903以降)のWindowsHello
Android 7以降のGooglePlay開発者サービス
macOS BigSur / iOS 14以降のSafariでTouch IDおよびFace IDがプラットフォーム認証器としてFIDO2認証に利用可能
ISRではこの出来事が日本のパスワードレス認証化を加速させるきっかけとなると考えており、これから迎えるであろう変革期を「認証維新」と名付けました。私たちは2014年にFIDO Allianceに参加し、2019年5月から提供を開始した企業向けクラウド型認証サービスCloudGate UNOでのFIDO2に対応したパスワードレス認証を2020年12月にはすべてのプランで利用できるようにするなど、日本をパスワードから解放するとともに企業の情報資産を守ることに努めています。
FIDO2はパスワードに依存しない認証システムを確立することで、より便利で安全な認証が可能な社会を実現するための大きな役割を担っているのです。
