「FIDO2」とは何かを正しく理解する [オンラインサービス担当者必読]

1.jpg

「多要素認証」「パスワードレス」「生体認証」といったキーワードとともに、よく耳にするようになった単語の1つに、「FIDO2」があります。事実、検索エンジンにおいて「FIDO2」というキーワードで検索される回数は急増しており、その注目度合いがうかがわれます。

では、FIDO2とはそもそも何で、どのようなメリットや使われ方があるのか、以下で見ていきましょう。

 

topbanner_download_3.png

 

「FIDO」と「FIDO2」の違い

2.jpg

はじめに、FIDO2について触れる前に、「FIDO」について簡単に説明いたします。

FIDOとは、パスワードを使わずに認証を行うための技術の開発と標準化を進めるための「業界団体」であり、また「FIDO UAF」「FIDO U2F」「FIDO2」といった「FIDOが推進する認証技術の名称」にもなっています。ちなみに、FIDOは “Fast IDentity Online” の略語です。

なお、業界団体である「FIDO」の詳細については、以下の用語集をご覧ください。

・参考記事
トラスト・ログイン用語集「FIDO」

次に「FIDO2」ですが、これは業界団体としてのFIDOが推し進める認証技術の1つで、2018年にリリースされた最も新しいものです。具体的には、専用のソフトウェアやハードウェアを利用せずに、指紋認証や顔認証、虹彩認証といった「パスワードを使わない認証情報」をオンライン上でやり取りできるというものです。

まとめますと、「FIDO」は、パスワードレスを推し進める業界団体で、このFIDOが推奨する認証規格の1つが「FIDO2」とご理解ください。

 

 

FIDO2のメリット

3.jpg

では、認証技術としてのFIDO2について見ていきましょう。FIDO2が登場する以前は、主にスマートフォンを利用した認証規格の「FIDO UAF」と、生体認証を利用し2要素認証を実現する「FIDO U2F」という規格がありました。しかし、導入には専用の機器の購入が必要といったハードルがあり、普及は限定的でした。

これに対して、FIDO2の大きなユーザーメリットは「専用機器が不要」という点です。つまり、「主要ブラウザの全てがFIDO2に対応済」であること、そして「WindowsやAndroidがFIDO2に対応済」であることから、パソコンからでもスマホからでも、FIDO2を利用した認証を追加費用なしで利用できます。なお、iPhoneやMacは現時点では対応していませんが、搭載されているSafariはFIDO2対応しているため、オンラインでの認証は実施可能です。

専用機器が不要、ということは「普段使っている機器がそのまま利用できる」ことを意味します。つまり、手元にあるパソコンやスマホがそのまま「FIDO2対応機器」となるということです。

これまでのFIDO UAFやFIDO U2Fは、「専用機器を購入してまで意識的にセキュリティ向上に取り組む組織向けのソリューション」として使われることが多かったですが、FIDO2は「いつものパソコンやスマホを使っていたら、いつの間にか使っていた」という「大衆向けのソリューション」になります。つまり、FIDO UAFやU2Fと比べてはるかに多いユーザーが、特段意識せずに、高いセキュリティを享受できることになります。

なお、「パスワードと同じように、認証情報が流出したら危険」と思われるかもしれませんが、FIDO2では「認証情報は登録したデバイスのみで利用可能」となっているため、万が一認証情報が流出しても、デバイスが手元にあれば不正アクセスは防げます。この仕組みが標準で提供されるのは画期的といってよいかと思います。

 

 

FIDO2の適用

4.jpg

FIDO2の適用として、最も期待されているのが「オンラインサービス利用時のFIDO2認証」があります。これまで、各種のオンラインサービスやECサイトを利用する際、IDとパスワードを入力してログインしたあと、サービスを利用していましたが、この「ID・パスワード認証」を「FIDO2に準拠したパスワードレス認証」に置き換えできます。

例えば、ヤフージャパンは既にこの対応を始めています。これまで、ヤフージャパンが提供する各種サービス(メール、オークション、ショッピング、ウォレットなど)を利用する際、ヤフージャパンIDとパスワードでログインする必要がありました。これを、「スマートフォンで認証する場合」、IDとパスワードを用いず指紋だけで認証できるようになります。*

5.png

*2019年5月現在、Androidスマートフォンのみ対応

これにより、スマートフォンの狭いキーボードでIDやパスワードを入力せずに、指紋リーダーにタッチするだけで、ヤフージャパンの各種サービスにログインできるようになりました。

ヤフージャパンは大手インターネット企業であるため、他社に先んじていち早く、自社のエンジニアがFIDO2対応を行いましたが、今後は他の大手インターネット企業も今度FIDO2対応を進めてくると考えられます。そして、システム開発会社が「FIDO2導入サービス」を幅広く提供するようになった数年後には、指紋や顔認証で利用できるオンラインサービスが急増しているものと推測できます。

 

 

FIDO2 + パスワードで二要素認証を実現

6.jpg

FIDO2が登場したので、パスワードに全く意味がなくなったのか、というとそうではありません。認証の際、FIDO2に準拠した「生体要素」だけでなく、パスワードのような「知識要素」も併用することで、認証時のセキュリティを高めることが可能です。

これは一般的に「二要素認証」「多要素認証」と呼ばれるもので、情報セキュリティ意識の高まりから、2025年まで年率15%で市場が成長すると見込まれています。

・参考記事
多要素認証市場は2025年までに年平均15%の成長

現在は、FIDO2に対応したオンラインサービスはごくわずかですので、各社サービスのFIDO2対応が開始されるまでは、「それぞれのサービスで二要素認証・多要素認証が利用できるか」を確認して、もし利用できるようでしたら設定しておきましょう。これが、ユーザーが今から取り組める安全な認証の第一歩です。

「FIDO2」とは何かを正しく理解する [オンラインサービス担当者必読]

1.jpg

「多要素認証」「パスワードレス」「生体認証」といったキーワードとともに、よく耳にするようになった単語の1つに、「FIDO2」があります。事実、検索エンジンにおいて「FIDO2」というキーワードで検索される回数は急増しており、その注目度合いがうかがわれます。

では、FIDO2とはそもそも何で、どのようなメリットや使われ方があるのか、以下で見ていきましょう。

 

topbanner_download_3.png

 

「FIDO」と「FIDO2」の違い

2.jpg

はじめに、FIDO2について触れる前に、「FIDO」について簡単に説明いたします。

FIDOとは、パスワードを使わずに認証を行うための技術の開発と標準化を進めるための「業界団体」であり、また「FIDO UAF」「FIDO U2F」「FIDO2」といった「FIDOが推進する認証技術の名称」にもなっています。ちなみに、FIDOは “Fast IDentity Online” の略語です。

なお、業界団体である「FIDO」の詳細については、以下の用語集をご覧ください。

・参考記事
トラスト・ログイン用語集「FIDO」

次に「FIDO2」ですが、これは業界団体としてのFIDOが推し進める認証技術の1つで、2018年にリリースされた最も新しいものです。具体的には、専用のソフトウェアやハードウェアを利用せずに、指紋認証や顔認証、虹彩認証といった「パスワードを使わない認証情報」をオンライン上でやり取りできるというものです。

まとめますと、「FIDO」は、パスワードレスを推し進める業界団体で、このFIDOが推奨する認証規格の1つが「FIDO2」とご理解ください。

 

 

FIDO2のメリット

3.jpg

では、認証技術としてのFIDO2について見ていきましょう。FIDO2が登場する以前は、主にスマートフォンを利用した認証規格の「FIDO UAF」と、生体認証を利用し2要素認証を実現する「FIDO U2F」という規格がありました。しかし、導入には専用の機器の購入が必要といったハードルがあり、普及は限定的でした。

これに対して、FIDO2の大きなユーザーメリットは「専用機器が不要」という点です。つまり、「主要ブラウザの全てがFIDO2に対応済」であること、そして「WindowsやAndroidがFIDO2に対応済」であることから、パソコンからでもスマホからでも、FIDO2を利用した認証を追加費用なしで利用できます。なお、iPhoneやMacは現時点では対応していませんが、搭載されているSafariはFIDO2対応しているため、オンラインでの認証は実施可能です。

専用機器が不要、ということは「普段使っている機器がそのまま利用できる」ことを意味します。つまり、手元にあるパソコンやスマホがそのまま「FIDO2対応機器」となるということです。

これまでのFIDO UAFやFIDO U2Fは、「専用機器を購入してまで意識的にセキュリティ向上に取り組む組織向けのソリューション」として使われることが多かったですが、FIDO2は「いつものパソコンやスマホを使っていたら、いつの間にか使っていた」という「大衆向けのソリューション」になります。つまり、FIDO UAFやU2Fと比べてはるかに多いユーザーが、特段意識せずに、高いセキュリティを享受できることになります。

なお、「パスワードと同じように、認証情報が流出したら危険」と思われるかもしれませんが、FIDO2では「認証情報は登録したデバイスのみで利用可能」となっているため、万が一認証情報が流出しても、デバイスが手元にあれば不正アクセスは防げます。この仕組みが標準で提供されるのは画期的といってよいかと思います。

 

 

FIDO2の適用

4.jpg

FIDO2の適用として、最も期待されているのが「オンラインサービス利用時のFIDO2認証」があります。これまで、各種のオンラインサービスやECサイトを利用する際、IDとパスワードを入力してログインしたあと、サービスを利用していましたが、この「ID・パスワード認証」を「FIDO2に準拠したパスワードレス認証」に置き換えできます。

例えば、ヤフージャパンは既にこの対応を始めています。これまで、ヤフージャパンが提供する各種サービス(メール、オークション、ショッピング、ウォレットなど)を利用する際、ヤフージャパンIDとパスワードでログインする必要がありました。これを、「スマートフォンで認証する場合」、IDとパスワードを用いず指紋だけで認証できるようになります。*

5.png

*2019年5月現在、Androidスマートフォンのみ対応

これにより、スマートフォンの狭いキーボードでIDやパスワードを入力せずに、指紋リーダーにタッチするだけで、ヤフージャパンの各種サービスにログインできるようになりました。

ヤフージャパンは大手インターネット企業であるため、他社に先んじていち早く、自社のエンジニアがFIDO2対応を行いましたが、今後は他の大手インターネット企業も今度FIDO2対応を進めてくると考えられます。そして、システム開発会社が「FIDO2導入サービス」を幅広く提供するようになった数年後には、指紋や顔認証で利用できるオンラインサービスが急増しているものと推測できます。

 

 

FIDO2 + パスワードで二要素認証を実現

6.jpg

FIDO2が登場したので、パスワードに全く意味がなくなったのか、というとそうではありません。認証の際、FIDO2に準拠した「生体要素」だけでなく、パスワードのような「知識要素」も併用することで、認証時のセキュリティを高めることが可能です。

これは一般的に「二要素認証」「多要素認証」と呼ばれるもので、情報セキュリティ意識の高まりから、2025年まで年率15%で市場が成長すると見込まれています。

・参考記事
多要素認証市場は2025年までに年平均15%の成長

現在は、FIDO2に対応したオンラインサービスはごくわずかですので、各社サービスのFIDO2対応が開始されるまでは、「それぞれのサービスで二要素認証・多要素認証が利用できるか」を確認して、もし利用できるようでしたら設定しておきましょう。これが、ユーザーが今から取り組める安全な認証の第一歩です。