FIDO2とは、パスワードに依存しない認証の標準化を推進する業界団体「FIDO Alliance」と、インターネット (World Wide Web) の技術標準化推進団体である「World Wide Web Consortium (W3C)」が共同で推進する、強力な認証ソリューションを開発するためのプロジェクト、ならび認証方法である。なおFIDO2は、FIDO U2F (Universal 2nd Factor) 認証規格を基づき、それを発展させた規格となる。
FIDO2認証とは
FIDO2認証規格は、そのスローガン “Moving the World Beyond Password Using” にある通り、「パスワード利用の先にある認証」、つまりパスワードレス認証である。FIDO2の中核となる技術は、W3Cにより標準として承認された「WebAuthn」と、WebAuthnを補完するプロトコルとである「CTAP (Client to Authenticator Protocol)」となる。いずれも、FIDO2プロジェクトにより開発されている。
FIDO2は、ユーザーが利用するスマートフォンや物理セキュリティキーといったデバイスと、WebAuthn証明書利用者(FIDO2サーバー)で構成され、ウェブブラウザがこの2つを仲介する役割を果たしている。
FIDO2対応デバイス (オーセンティケーター)
FIDO2の登場以来、OS開発企業や多くのデバイス開発企業がFIDO2の認証を取得している。ユーザー数が多いことから、FIDO2の普及における影響が大きいものとしては、Windows 10の顔認証テクノロジーである Windows Helloの認証取得、そしてAndroid 7.0以降を搭載するAndroidデバイスの認証取得がある。
FIDO2認証サーバー
FIDO2認証サーバー(FIDO2サーバー)は、FIDO2認証を行う企業が全て設置する必要はなく、第三者が設置したFIDO2サーバーをSaaSのように利用することが可能である。2019年5月時点で、FIDO2認証サーバーを設置している企業は全世界で数十社あるが、日本の設置企業は以下の通りである。
- KDDI株式会社
- LINE株式会社
- 日本電気株式会社(NEC)
- 株式会社ソフト技研
- ヤフー株式会社(ヤフージャパン)
FIDO2対応ブラウザ
主要ブラウザであるGoogle Chrome、Firefox、Microsoft Edge、そしてSafariがFIDO2をサポートしている。これは、世界のブラウザ利用の85%程度となる。
FIDO2認証のメリット
メリットは主に2点ある。
(1)導入のハードルの低さ
FIDO2の前身である「FIDO U2F」では、FIDO U2F対応の専用デバイス(オーセンティケーター)の導入が必須であったため、コスト面からFIDO U2F利用のハードルが高かった。
FIDO2でも、FIDO2対応の専用デバイスは販売されるが、Windows標準のWindows Helloと、Android、そして主要ブラウザの全てが対応したことが大きい。
Windows Helloであれば「あらかじめパソコンに組み込まれているWindows Hello対応カメラ」を利用すれば追加費用なしでFIDO2が利用できる。Androidも同様で、Android 7.0以降のOSを搭載したスマートフォンやタブレットであれば、デバイスの指紋リーダーなどの認証機能をそのまま使いFIDO2認証を行える。
そして、これらのデバイスとFIDO2認証サーバーとの通信の仲介を、専用アプリケーションではなく、どのデバイスにも搭載されている普通のブラウザで実施できる。
(2)認証強度を高め不正アクセスを防止
ID・パスワードを利用した認証は、「リスト型攻撃」「総当たり攻撃」「パスワードスプレー攻撃」といった不正アクセスを試みる攻撃の対象となっている。これは「脆弱なパスワード」や「パスワードの使い回し」が絶えないこと、そして「パスワードという文字列を入手するだけでログインできてしまう」という、パスワード認証の根本的な弱点があるためである。
FIDO2の場合、指紋認証を例にとると、世界で同じ指紋を持つ人間は一人もいないため、「脆弱な指紋」といったものは存在しない。また、指紋認証の場合は「同じ指紋を使い回す」ことになるが、指紋は特殊な方法で採取でもしない限りは持ち運びはできない。そして、指紋は人体を離れて利用できないため、ハッカーが遠隔から特定の人の指紋を入手できない。こうした特性から、パスワードと比べて安全性が高い。
さらに、FIDO2では「指紋」と「デバイス」の両方が登録され、必ずセットで利用される。仮に、指紋情報だけを盗み出したとしても、「デバイス」がないため認証は行えず、逆に「デバイス」だけ盗み出しても、指紋情報はないため、この場合も認証には用いることができない。
なお、FIDO2の導入により「パスワード認証を廃止して、FIDO2認証のみを行う」ことも可能だが、「パスワード認証とFIDO2認証を併用する」ことも可能である。後者の場合は、パスワードという知識要素と、FIDO2 (この場合生体認証) という生体要素の2つを用いた「二要素認証」となるため、強度はさらに高まる。
FIDO2認証の活用
認証を必要する全てのインターネットサイトにおいて、ID・パスワードのみの認証を、FIDO2を利用した認証に置き換えできる。例えば、「ショッピングサイト」「動画配信サイト」「ニュースサイトなどの情報サイト」「IaaSやPaaS、SaaSといった各種クラウドサービス」などである。この場合、各インターネットサイトを運営する事業者は、FIDO2認証サーバーを提供する企業と契約し、自社サイトの認証を外部のFIDO2認証サーバー側で実施することになる。
セキュリティ強度が高まった結果として、不正アクセスの減少、そして個人情報漏えいによる登録ユーザーの被害の減少が期待される。また、個人情報漏えいを発生された場合の企業の評判リスクや、被害を補償するための費用面のリスクも回避できる。