ネットバンキングやECサイト、サブスクリプションサービスが一般化するなかで、IDやパスワードといったアカウント情報の厳格な管理が求められるようになりました。しかし、登録するサービスが増えれば増えるほど、別々のアカウント情報を管理することは容易ではなく、共通のIDやパスワードを使いまわしている方も多いのではないでしょうか。アカウント情報の使いまわしは不正ログインの被害に遭いやすく、金銭的な被害や個人情報の流出といった問題をはらんでいます。
そこで現在注目されているのが、「FIDO」とよばれる新たな認証規格です。今回の記事では、FIDOとはどのようなものなのか、安全性が担保される仕組みやメリットも含めて詳しく解説していきます。
目次
ログイン時の認証方法とそれぞれの問題点
まずは、現在多くのWebサービスで利用されているログイン時の認証方法と、それぞれの問題点として考えられるポイントを解説します。
ID・パスワードによるログイン
IDとパスワードによるWebサイトへのログインは、もっとも一般的な認証方法といえるでしょう。IDはメールアドレス、パスワードはユーザーが自ら設定した任意の英数字などに設定されるケースがほとんどです。
Webサイトやサービスごとに別々のパスワードで管理されていれば問題ないのですが、複数のパスワードを個別に管理することはユーザーにとっても面倒で負担になります。そのため、複数のサイトで同じIDとパスワードを使いまわしているユーザーも多いのが現状です。
同じアカウント情報を使いまわしていると、仮に1つのWebサイトからアカウント情報が漏えいした場合、その情報をもとに複数のサイトで不正なログインが行われる可能性があります。結果として「知らないうちにECサイトで商品が購入されていた」「SNSが乗っ取り被害にあった」などの影響が出る場合もあるのです。
2段階認証
ID・パスワードによるログインの脆弱性を克服するために、最近では2段階認証とよばれる方法でログインが行われるケースもあります。これはアカウント登録時に設定しておいたスマートフォンへSMSを送信したり、PCのメールアドレス宛に認証情報を送信して本人確認を行う方法です。パスワードの代わりに2段階認証を導入することで、手元に自身の端末がなければログインができない仕組みのためセキュリティのレベルは比較的高いといえるでしょう。
しかし、そもそもPCやスマートフォンそのものが盗まれてしまった場合、2段階認証によるログインは極めて簡単に実行できてしまいます。最近ではテレワークの機会が増え、自宅だけではなくカフェやレストラン、コワーキングスペースなどで仕事をする方も増えています。たとえばPCやスマホを置いたままトイレに立った僅かな時間に、悪意のあるユーザーが機密情報を盗み出すためにPCやスマホを持ち去ることも考えられるでしょう。デバイスを物理的に盗まれてしまうと、いくら2段階認証を行っていても簡単に本人になりすましてログインが可能になります。
安全なログインを実現するFIDO認証
従来のID・パスワードによるログインや2段階認証だけでは十分なセキュリティレベルが担保されているとはいえず、それぞれに脆弱性があることが分かります。そこで、本当の意味で安全なセキュリティレベルを実現するために注目されているのが今回紹介する「FIDO」とよばれる認証規格です。
FIDOとは
そもそもFIDOとは、FIDO Allianceとよばれる団体によって策定された次世代認証規格です。FIDOは「Fast IDentity Online」の略称で、日本語に直訳すると「素早いオンライン認証」という意味を表します。
従来型のID・パスワードによるログインとは異なり生体認証にも対応しているため、セキュリティ面において極めて安全であるほか、ユーザー自身がアカウント情報を覚えておく必要がないため、利便性の面でも大きなメリットがあります。
FIDOではセキュリティトークンとよばれるUSBキーや、SMSによるワンタイムパスワードの認証にも対応していますが、2段階認証のリスクで紹介したようにUSBキーやスマートフォンを盗まれてしまうと不正ログインが可能になるため、本人以外はログインが不可能な生体認証の需要が極めて高い傾向にあります。
FIDO認証の仕組み
ワンタイムパスワードや生体認証に対応していたとしても、ネットワーク上でそのデータが漏えいすると意味を成さないのではないか、と考える方も多いのではないでしょうか。実はFIDO認証が高いセキュリティを実現している裏には、「公開鍵暗号方式」とよばれる方法が存在します。
たとえばログインに指紋認証を採用していた場合、ユーザー側のデバイスで読み取った指紋情報をそのままネットワーク上に流してサーバーと認証するのではなく、一旦ユーザー側のデバイスで署名・暗号化します。暗号化したデータを受け取ったサーバー側では、公開鍵とよばれるキーでデータを復号します。
ネットワーク上に流れるデータは暗号化されているため、そのままでは情報を読み取ることはできません。ユーザー側のデバイスでは「秘密鍵」とよばれるキーで暗号化し、サーバー側では「公開鍵」とよばれるキーで復号します。秘密鍵と公開鍵は必ずペアになっていて、それぞれに対応したキーを持っている人でなければ正しくデータを復号できないのです。
このように、FIDOは単に生体認証に対応しているだけではなく、通信におけるレイヤでも高い安全性が確立されていることが最大の特徴です。
FIDO認証のメリット
FIDOの基本的な仕組みと同時に紹介してきましたが、あらためてメリットを取り上げるとすれば「安全性」と「利便性」を両立したことが重要なポイントといえるでしょう。
公開鍵暗号方式を利用したFIDO認証では、秘密鍵とそれに対応する公開鍵をもっているユーザーでなければ暗号化されたデータを開くことはできません。ユーザーおよびWebサービスを提供する事業者以外に情報が漏れるリスクを減らすためには、FIDO認証はもっともセキュリティの高い認証方式といえるでしょう。
セキュリティの精度を向上させるためにユーザーの利便性が低下してしまうと、サービスの利用者が減少してしまいます。そのようなことを防ぐためにも、パスワードの代わりに生体認証を導入することにより、ユーザーにとっての利便性を向上させながらセキュリティの精度を高めることにもつながります。
FIDO Allianceの調査では、ECサイトにおいて3分の1のユーザーがパスワード忘れによって購入前にサイトを離脱していることも分かっています。ユーザーにとってパスワード認証のハードルが低くなるということは、ECサイトを運営する事業者にとっても売上が向上するなどのメリットが期待できることを意味しているのです。
FIDO認証に対応している端末やサービス
FIDO認証はさまざまなWebサービスやシステムに対応していますが、なかでも代表的なものをいくつか紹介します。
Webブラウザ(Chrome・Safari・Edge・firefoxなど)
ChromeやSafariなど、最新バージョンのWebブラウザはFIDO認証に対応しています。すでにスマートフォンや一部のPCでは指紋や顔などの生体情報をキーにロックを解除する機能が実装されていますが、WebブラウザにおいてもFIDOが対応したことにより、これらと同じような簡単な操作でWebサイトやWebサービスへログインができるようになります。
dアカウント
NTTドコモが提供しているオンライン決済やサブスクリプションサービスなど、複数のサービスを利用する際にキーとなるのがdアカウントです。dアカウントでは虹彩認証や指紋認証といった生体情報をキーにログインが可能ですが、これもFIDO認証に対応していることで実現できた仕組みです。
携帯電話の契約情報を確認できるMy docomoなどでも活用されており、スマートフォンの料金確認やプラン変更、住所変更なども簡単に手続きが可能です。
FIDOによってパスワードレスは当たり前のものに
WebサイトやWebサービスの利用にあたって、IDやパスワードをユーザー自身で管理することはこれまでの常識でした。しかし、インターネット人口の増加にともない、無数のWebサイトやWebサービスが登場し、ユーザー自身でアカウント情報を管理しきれなくなるという問題も顕在化。結果としてユーザーのアカウント情報が外部に漏れてさまざまな影響を及ぼしているケースも少なくありません。
FIDOが今以上に多くの場面で活用されるようになると、これまでのようなアカウント情報の管理は不要となり、パスワードレスが当たり前になると考えられます。