パスワード入力は無くなるのか?次世代認証技術FIDO2が見据えるパスワードレスの世界。
インターネット上のサービス増加に比例し、ユーザーが管理しなければならないアカウント情報も増え続けています。パスワード管理サービスを提供する「NordPass」によると、コロナ禍の2年間で人々が管理するパスワードの数は25%増加したそうです。
その結果、個人が作成したアカウントの数はなんと平均約100個。必然的に簡単な文字列を使ったり、同じ文字列を使い回したりして、セキュリティを低下させるといった状況になってしまっています。
また、急速に普及するIoT機器は、PCやスマホと比べてセキュリティが弱いことが課題になっています。IoT機器はマルウェアのターゲットになりやすく、さらなるマルウェア拡散やDDoS攻撃の踏み台にされているのです。
この2つの大きなセキュリティ課題を解決すると期待されているのが、次世代の認証技術である「FIDO(ファイド、Fast IDentity Online)」です。
様々なビッグプレイヤーが参加するFIDO Allianceは、パスワードの課題を解決すべく安全で便利な認証システムの構築を目指しています。そのもっとも大きな特徴が、IDとパスワードを使わずに認証する点です。
認証要素は現在以下の3つがあります。
そのうちパスワードは記憶による「知識情報」となります。パスワードやPINを覚えたり、秘密の質問を設定し、認証に使います。しかし、この秘密の情報は自分だけでなく、認証を行うサーバー側にも保存しておく必要があります。そのため、第三者がパスワードを推測したり、サーバーから情報が漏洩したりすると、不正アクセスの原因になってしまいます。
「FIDO」では3つの認証要素のうち、主に本人だけが持つセキュリティキーなどの「所持情報」と指紋などの「生体情報」を利用します。そして、その情報はユーザーの端末の中だけにしか保存しません。認証の際はユーザー端末で認証し、その結果を秘密鍵で署名し、送信します。認証するFIDOサーバー側では公開鍵で証明を検証し、認証します。
「FIDO」サーバーには所持情報や生態情報がないため情報漏洩リスクが低減できるのです。スマートフォンのような認証デバイスを「FIDO」サーバーに登録した時にユニークな秘密鍵と公開鍵が生成され、ほかのサーバーに登録する際はまた別の鍵が生成されます。そのため、ユーザーの情報を追跡したり盗み出すことが難しく、プライバシーを強固に保護できます。
例えばIDとパスワードを使っていないので、フィッシング詐欺被害やリスト型攻撃も防げます。また、肩越しにキー入力を盗み見るショルダーハックも意味がないのです。さらにメリットとしては複雑な文字列でパスワードを登録したり、それらを管理する手間からも開放されます。
国内ではNTTドコモが2015年、いち早く「FIDO Alliance」に参加し、FIDO認証に対応しました。当時のAndroid端末「Galaxy S6 edge」などでdゲームやdミュージック、dブックなどのサービスに指紋や虹彩などの生体情報でログインできるようになったのです。
こちらは従来通りIDとパスワードでログインしたあと、USBセキュリティキーを装着してボタンを押したり、ワンタイムコードを生成する端末のボタンを押してコードを取得することで認証します。現在はBluetoothやNFC接続もできるようになっています。
特徴としてパスワード認証を用いるため、認証デバイスの認証結果を簡単に紐付けられるのがメリットです。従来のUIをあまり変える必要がなく、導入のハードルが低くなります。
デメリットとしては結局パスワードを使うので万全のセキュリティとは言えない、という点が挙げられます。また、ブラウザで対応したのがChromeだけ、というのもあまり拡がらない理由でした。2022年2月にリリースされたChrome 98からは「U2F」のAPIは無効化されています。
「FIDO2」は2つの要素で構成されています。認証機とブラウザ間の規格である「CTAP(Client To Authenticator Protocol)」とブラウザと認証サーバー間の規格である「WebAuthn(Web Authentication)」です。
「CTAP」はユーザーの持つセキュリティキーなどの認証機とブラウザを橋渡しする仕様です。USBやBluetooth、NFCなどを通じて、暗号化された通信チャネルを利用できます。「U2F」では「CTAP1」を利用していましたが、「FIDO2」では、対応ブラウザや対応OSで多要素の認証を実現できる「CTAP2」が使われています。
「WebAuthn」は「FIDO2」を構成する技術の1つで、2015年11月にウェブ技術の標準化を行っているW3C(World Wide Web Consortium)に提案され、2019年3月に正式に「勧告」されました。
「WebAuthn」は「UAF」と「U2F」と下位互換性を持っており、パスワードなしでログインできます。W3Cにより標準化されているので、Chromeはもちろん、EdgeやFirefox、Safariまで多くのブラウザが対応しています。
現在は「FIDO2」を2要素認証のために利用しているウェブサービスが多いのですが、パスワードレス認証を導入しているサービスもあります。
2021年12月9日、Yahoo! JAPANは「FIDO2」に対応し、パスワードレス認証でサインインできるようになりました。アカウント設定の「指紋・顔認証などの設定」ページで、「この端末を登録する」をクリックし、指紋認証や顔認証を行うと、それだけで登録できます。次回以降はパスワードの入力は不要で、指や顔でサインインできるのです。
また「FIDO2」はIoT機器にも対応予定です。2021年4月20日、FIDO AllianceはIoTを保護するための新しい初期設定標準「FIDO Device Onboard(FDO)」プロトコルを策定しました。当面は産業用、商業用アプリを対象とするそうです。
「FDO」は非対称な公開鍵暗号方式を利用し、あらゆるIoTデバイスをあらゆるデバイス管理システムに初期設定するための安全な方法を提供してくれます。
IoTデバイスを提供する企業にとっては、デバイスの製造よりもインストールプロセスに時間とコストをかけていましたが、「FDO」のプロセスなら未経験者でも効率的にインストールできます。さらに、製造時ではなくインストール時に設定するクラウドプラットフォームを選べるようになります。
「FDO」は「信頼されていないインストーラー」というアプローチを採用しており、インストーラーがネットワークにデバイスを追加する際、機密性の高いインフラやアクセスコントロール情報を必要としませんし、アクセスすることもできません。
「FDO」を活用すれば、IoTデバイスへの大規模な攻撃やアカウントの乗っ取りを防止し、シンプルかつセキュアな認証が実現します。今後のIoTの拡大に貢献することが期待されます。
これまではユーザーがパスワードレス認証を行う際に、それぞれのウェブサイトやアプリにおいてデバイスごとの登録作業が発生していました。
今回の発表では、さらにシームレスなパスワードレス認証のために2つの新機能が追加されました。
2022年6月7日、早速アップルは開発者向けイベントである「WWDC 2022」でmacOS VenturaとiOS 16に搭載する「Passkeys」を発表しました。
Safariブラウザの新機能で、Touch IDやFace IDでパスワードレス認証できるようになります。「Passkeys」はiCloudで同期されるので、所有している他のiPhoneやiPad、Macと同期できます。さらに、「Passkeys」を使うことでWindows PCなど他のデバイスでも、iPhoneで認証してアプリやウェブサイトにサインインできるようになります。強固なセキュリティと利便性の高いサインインが両立するのは嬉しいところです。
これらの新機能はアップルやグーグル、マイクロソフトのプラットフォームでも来年にかけて利用できるようになります。
FIDOによるパスワードレス認証は今後も拡大していくことは間違いありません。近い将来、パスワードはセキュリティが弱い認証として、使われる機会が減っていくことでしょう。パスワードレスが標準となる未来はもうすぐそこまで来ているのかもしれません。
Soliton OneGate(ソリトン ワンゲート)
その結果、個人が作成したアカウントの数はなんと平均約100個。必然的に簡単な文字列を使ったり、同じ文字列を使い回したりして、セキュリティを低下させるといった状況になってしまっています。
また、急速に普及するIoT機器は、PCやスマホと比べてセキュリティが弱いことが課題になっています。IoT機器はマルウェアのターゲットになりやすく、さらなるマルウェア拡散やDDoS攻撃の踏み台にされているのです。
この2つの大きなセキュリティ課題を解決すると期待されているのが、次世代の認証技術である「FIDO(ファイド、Fast IDentity Online)」です。
業界からも期待が集まる認証技術「FIDO」
「FIDO」はラテン語で「信頼」という意味の「Fido」から付けられた頭文字の略字です。「FIDO」の技術を標準化させるために2012年に発足した業界団体であるFIDO Allianceには、マイクロソフトやVISA、ペイパル、Lenovoなど250以上の企業・組織が加盟しています。日本からも、ボードメンバーとしてNTTドコモやLINE、Yahoo!JAPAN、スポンサーメンバーとしてJCBやKDDI、ソフトバンク、ソニー、富士通などが参加しています。様々なビッグプレイヤーが参加するFIDO Allianceは、パスワードの課題を解決すべく安全で便利な認証システムの構築を目指しています。そのもっとも大きな特徴が、IDとパスワードを使わずに認証する点です。
認証要素は現在以下の3つがあります。
- 知識情報:誕生日やパスワードなどユーザーの記憶の中にある情報
- 所持情報:スマホやICカードなどユーザーが持っているモノの中にある情報
- 生体情報:指紋や虹彩などユーザーの身体がもつ情報
そのうちパスワードは記憶による「知識情報」となります。パスワードやPINを覚えたり、秘密の質問を設定し、認証に使います。しかし、この秘密の情報は自分だけでなく、認証を行うサーバー側にも保存しておく必要があります。そのため、第三者がパスワードを推測したり、サーバーから情報が漏洩したりすると、不正アクセスの原因になってしまいます。
「FIDO」では3つの認証要素のうち、主に本人だけが持つセキュリティキーなどの「所持情報」と指紋などの「生体情報」を利用します。そして、その情報はユーザーの端末の中だけにしか保存しません。認証の際はユーザー端末で認証し、その結果を秘密鍵で署名し、送信します。認証するFIDOサーバー側では公開鍵で証明を検証し、認証します。
「FIDO」サーバーには所持情報や生態情報がないため情報漏洩リスクが低減できるのです。スマートフォンのような認証デバイスを「FIDO」サーバーに登録した時にユニークな秘密鍵と公開鍵が生成され、ほかのサーバーに登録する際はまた別の鍵が生成されます。そのため、ユーザーの情報を追跡したり盗み出すことが難しく、プライバシーを強固に保護できます。
例えばIDとパスワードを使っていないので、フィッシング詐欺被害やリスト型攻撃も防げます。また、肩越しにキー入力を盗み見るショルダーハックも意味がないのです。さらにメリットとしては複雑な文字列でパスワードを登録したり、それらを管理する手間からも開放されます。
進化を続けるFIDO
現在FIDOの規格は3種類あります。- 「所持情報」と「生体情報」を組み合わせた「UAF(Universal Authentication Framework)」
- パスワード認証のメリットを享受できる「U2F(Universal Second Factor)」
- 「UAF」と「U2F」を統合した「FIDO2」
パスワードを必要としない「UAF」
「FIDO UAF」は「所持情報」と「生体情報」を組み合わせた2要素認証で、主に「FIDO」対応のスマートフォンで利用されています。例えば、指紋認証や顔認証のほか、マイクに話しかけたりといった生体認証も選択できます。国内ではNTTドコモが2015年、いち早く「FIDO Alliance」に参加し、FIDO認証に対応しました。当時のAndroid端末「Galaxy S6 edge」などでdゲームやdミュージック、dブックなどのサービスに指紋や虹彩などの生体情報でログインできるようになったのです。
パスワード入力を活用することで導入がしやすい「U2F」
「FIDO U2F」は「知識情報」と「所持情報」を組み合わせた2要素認証で、主にPCなどのデバイスで利用されています。こちらは従来通りIDとパスワードでログインしたあと、USBセキュリティキーを装着してボタンを押したり、ワンタイムコードを生成する端末のボタンを押してコードを取得することで認証します。現在はBluetoothやNFC接続もできるようになっています。
特徴としてパスワード認証を用いるため、認証デバイスの認証結果を簡単に紐付けられるのがメリットです。従来のUIをあまり変える必要がなく、導入のハードルが低くなります。
デメリットとしては結局パスワードを使うので万全のセキュリティとは言えない、という点が挙げられます。また、ブラウザで対応したのがChromeだけ、というのもあまり拡がらない理由でした。2022年2月にリリースされたChrome 98からは「U2F」のAPIは無効化されています。
幅広い環境に対応し普及の兆しを見せる「FIDO2」
「UAF」も「U2F」もすでに多くの対応製品が出ていますが、専用のデバイスが必要だったり、対応ブラウザが少ないといった課題がありました。そこで、「UAF」と「U2F」を統合した「FIDO2」が登場しました。「FIDO2」は2つの要素で構成されています。認証機とブラウザ間の規格である「CTAP(Client To Authenticator Protocol)」とブラウザと認証サーバー間の規格である「WebAuthn(Web Authentication)」です。
「CTAP」はユーザーの持つセキュリティキーなどの認証機とブラウザを橋渡しする仕様です。USBやBluetooth、NFCなどを通じて、暗号化された通信チャネルを利用できます。「U2F」では「CTAP1」を利用していましたが、「FIDO2」では、対応ブラウザや対応OSで多要素の認証を実現できる「CTAP2」が使われています。
「WebAuthn」は「FIDO2」を構成する技術の1つで、2015年11月にウェブ技術の標準化を行っているW3C(World Wide Web Consortium)に提案され、2019年3月に正式に「勧告」されました。
「WebAuthn」は「UAF」と「U2F」と下位互換性を持っており、パスワードなしでログインできます。W3Cにより標準化されているので、Chromeはもちろん、EdgeやFirefox、Safariまで多くのブラウザが対応しています。
現在は「FIDO2」を2要素認証のために利用しているウェブサービスが多いのですが、パスワードレス認証を導入しているサービスもあります。
2021年12月9日、Yahoo! JAPANは「FIDO2」に対応し、パスワードレス認証でサインインできるようになりました。アカウント設定の「指紋・顔認証などの設定」ページで、「この端末を登録する」をクリックし、指紋認証や顔認証を行うと、それだけで登録できます。次回以降はパスワードの入力は不要で、指や顔でサインインできるのです。
また「FIDO2」はIoT機器にも対応予定です。2021年4月20日、FIDO AllianceはIoTを保護するための新しい初期設定標準「FIDO Device Onboard(FDO)」プロトコルを策定しました。当面は産業用、商業用アプリを対象とするそうです。
「FDO」は非対称な公開鍵暗号方式を利用し、あらゆるIoTデバイスをあらゆるデバイス管理システムに初期設定するための安全な方法を提供してくれます。
IoTデバイスを提供する企業にとっては、デバイスの製造よりもインストールプロセスに時間とコストをかけていましたが、「FDO」のプロセスなら未経験者でも効率的にインストールできます。さらに、製造時ではなくインストール時に設定するクラウドプラットフォームを選べるようになります。
「FDO」は「信頼されていないインストーラー」というアプローチを採用しており、インストーラーがネットワークにデバイスを追加する際、機密性の高いインフラやアクセスコントロール情報を必要としませんし、アクセスすることもできません。
「FDO」を活用すれば、IoTデバイスへの大規模な攻撃やアカウントの乗っ取りを防止し、シンプルかつセキュアな認証が実現します。今後のIoTの拡大に貢献することが期待されます。
パスワードレス認証は今後さらに拡大していく
2022年5月5日、FIDO AllianceとW3C、そしてアップル、グーグル、マイクロソフトは、共通のパスワードレス認証機能「FIDO/WebAuthn Level 3」をサポートすると発表しました。これまではユーザーがパスワードレス認証を行う際に、それぞれのウェブサイトやアプリにおいてデバイスごとの登録作業が発生していました。
今回の発表では、さらにシームレスなパスワードレス認証のために2つの新機能が追加されました。
- ユーザーが所有する他のデバイスでもFIDO認証を再登録することなく、自動的にアクセスできるようにする機能。
- 使用中PCと近くにあるモバイルデバイスとワイヤレスで接続してFIDO認証することで、PCでアプリやウェブサイトにサインインできるようにする機能。
2022年6月7日、早速アップルは開発者向けイベントである「WWDC 2022」でmacOS VenturaとiOS 16に搭載する「Passkeys」を発表しました。
Safariブラウザの新機能で、Touch IDやFace IDでパスワードレス認証できるようになります。「Passkeys」はiCloudで同期されるので、所有している他のiPhoneやiPad、Macと同期できます。さらに、「Passkeys」を使うことでWindows PCなど他のデバイスでも、iPhoneで認証してアプリやウェブサイトにサインインできるようになります。強固なセキュリティと利便性の高いサインインが両立するのは嬉しいところです。
これらの新機能はアップルやグーグル、マイクロソフトのプラットフォームでも来年にかけて利用できるようになります。
FIDOによるパスワードレス認証は今後も拡大していくことは間違いありません。近い将来、パスワードはセキュリティが弱い認証として、使われる機会が減っていくことでしょう。パスワードレスが標準となる未来はもうすぐそこまで来ているのかもしれません。
著者:ITライター柳谷智宣
<関連ソリューション>Soliton OneGate(ソリトン ワンゲート)