近年、さまざまなクラウドサービスや業務システムを利用するようになり、パスワードのあり方が変わりつつあります。
パスワードには、セキュリティや利便性において課題がいくつか存在するため、パスワードを使わない「パスワードレス認証」に注目が集まっています。そのパスワードレス認証を語るうえで欠かせないものが“FIDO”です。
この記事では、FIDOの概要や仕組み・安全性、FIDOとFIDO2の違い、FIDO認証を利用した脱パスワードのメリット・デメリットについて解説します。
■パスワードレス認証に関連する“FIDO”とは
はじめに、パスワードレス認証に関連する“FIDO(ファイド)”について、概要を説明します。併せて、パスワードが抱える課題も把握しておきましょう。
◇パスワード不要のFIDO認証
FIDOは「Fast Identity Online(高速なオンラインID認証)」の略称であり、パスワードを使わずに行なう認証の技術開発と標準化を進めるための国際規格です。
FIDOの開発と普及を担うのが、2012年に設立された「FIDOアライアンス」というグローバルな非営利団体です。セキュリティと利便性の両立を目指すために、シンプルで堅牢なFIDO認証を標準化することを目的としています。
FIDOは、多要素認証の一種であるパスワードレス認証を実現するための手段の一つです。パスワードレスを実現する手段には、指紋や静脈、虹彩といったものを利用した生体認証などが挙げられます。
FIDO認証にはいくつか種類が存在しますが、そのなかでも最新の「FIDO2」はW3CのWeb認証仕様となっており、従来のFIDO認証よりも簡単かつ安全で強固な認証が実現可能です。詳しくは、「FIDOとFIDO2の違い」で後述します。
◇パスワードが抱える課題
パスワードレスが注目されるようになった背景には、パスワードが抱えるいくつかの課題があり、そのうちの一つに、セキュリティと利便性の両立の難しさが挙げられます。
近年、業務で利用するサービスや業務システムなどが増加しており、従来どおりのパスワード認証ではパスワード管理が煩雑になることがあります。「パスワードが覚えられない」「パスワードを使い回してしまう」などの問題が発生するため、セキュリティと利便性の両立が難しくなっているのです。
また、米Verizonが発行する「2021年度データ漏えい/侵害 調査報告書」によると、情報漏えいの61%が認証情報に関わるものだったと報告されています。FIDOが結成された理由にも、セキュリティ面での問題が絡んでいるといえるでしょう。
パスワードが抱える課題やパスワードレス認証に注目が集まる背景については、以下の記事で詳しく解説しているので、こちらもぜひご覧ください。
パスワードレス認証とは?脱パスワードが求められる背景とそのメリット、おすすめのパスワード管理ツールも紹介
■FIDOとFIDO2の違い
この記事をご覧の方のなかには、FIDOとFIDO2の違いを知りたい方も多いのではないでしょうか。簡単に説明すると、FIDOは国際規格でありFIDO2はそのうちの一つです。
FIDO2は2018年に入りリリースされた最も新しい認証技術であり、Webブラウザ上で利用される点が特徴です。FIDO2が登場する以前から存在する認証技術には、おもにスマートフォンでのパスワードレス認証に利用されている“FIDO UAF”や、生体認証などを利用して2要素認証を実現する“FIDO U2F(現在はがあります。これらの認証技術の総称が「FIDO認証」です。
FIDO2が登場する以前のFIDO認証では専用の機器が必要であり、導入のハードルが高い点がネックでした。しかし、FIDO2では専用機器が不要で、手元のスマートフォンやパソコンがそのままFIDO2対応機器として利用できます。
ただし、現時点ではパスワードが不要なわけではないため、完全なパスワードレス認証とはいえません。完全なパスワードレス認証が実現するのはもう少し先のことになるでしょう。
とはいえ、専用の機器が不要であるFIDO2を利用した認証は、その導入の容易さから今後広く普及することが予想されます。
■FIDO認証の仕組みと安全性
FIDO認証では「公開鍵暗号方式」を利用しており、サービス側とユーザー側(端末)で秘密の情報を共有しない仕組みです。
FIDO認証の流れは以下のようになります。
- 端末側で公開鍵と秘密鍵のペアを作成し、公開鍵をサービス側に提供します
- ユーザーがサービスにログインする際に、サービス側からユーザーへチャレンジ(認証要求)が送られます
- ユーザー側はデバイスで生体認証などを行なって端末にログインします
- ログインができる=生体認証が成功となるため、送られてきたデータを端末にある秘密鍵で暗号化して送付します
- サービス側は保持する公開鍵で署名の検証を行ないます
- 検証の結果、問題がなければログインとなります
このように、サービス側には生体認証情報は送られないという特徴があります。そのため、仮にサービス側で情報漏洩などがあった場合でも、生体認証情報などは安全になります。また、仮に、スマートフォンなどのデバイスが盗難・紛失などの被害にあったとしても、秘密鍵を利用するための生体認証などが利用できないため、安全性が高い認証方式といえます。
なお、公開鍵暗号方式について詳しく知りたい方は、こちらの記事も併せてご確認ください。
■FIDO認証による脱パスワードのメリット・デメリット
ここでは、FIDO認証を利用する際のメリット・デメリットを詳しく説明します。
◇メリット
FIDO認証による脱パスワードのメリットとしては、セキュリティの強化や利便性の向上が挙げられます。加えて、他のパスワードレスの認証方式と比べてリスクが軽減する点も挙げられるでしょう。
- セキュリティの強化
近年では個人で多くのサービスを利用するため、パスワードの管理が煩雑になりがちです。そのため、パスワードを使い回したり、簡単に予測できそうなパスワードを設定してしまったりと、パスワード認証の場合はセキュリティ上の課題が複数あります。
それに対し、FIDO認証は生体認証などを利用するため、パスワードを紛失したり複製されたりすることがありません。これまで、パスワード認証にあったセキュリティ面での課題を解決できるでしょう。 - 利便性の向上
脱パスワードによって、煩雑な管理から解放されます。キーボードやスマートフォンでの入力が苦手な方でも簡単にログインできるようになり、利便性も大きく向上するでしょう。 - リスクの軽減
FIDO認証では、サービス側にユーザーの秘密情報が保持されません。これにより、ユーザー側はプライバシー情報を不要に提供する必要がない、事業者側は情報漏洩のリスクを回避できる、というメリットにつながります。
◇デメリット
FIDO認証にはさまざまなメリットがある反面、デメリットも存在します。代表的なデメリットは次の2点です。
- FIDO2以前のFIDO認証には専用デバイスが必要
FIDO2以前の規格であるFIDO UAFやFIDO U2Fでは、専用のデバイスが必要です。例えば、FIDO UAFなら指紋や虹彩を読み取るためのセンサーデバイスが搭載されたモバイル端末、FIDO U2FならFIDO対応のUSBキーやBluetoothデバイスなどが挙げられます。
専用デバイスがないと利用できず、不便に感じることがあるかもしれません。 - FIDO2に対応しているWebサービスが少ない
上記の課題を解決してはいるFIDO2においては、対応しているWebサービスの少なさがデメリットといえます。主要ブラウザは対応しているものの、Webサービス自体の対応が間に合っていないのです。
パスワードレスの流れがありながらも、さまざまなサービスでFIDO認証が利用できるようになる未来は、もう少し先のことになるでしょう。
■まとめ
FIDOは、パスワードを使わずに行なう認証の技術開発と標準化を進めるための国際規格であり、FIDOアライアンスという団体が開発と普及を行なっています。この団体が推進する認証技術の総称をFIDO認証と呼び、その一つとして2018年にリリースされたのがFIDO2です。
FIDO認証は公開鍵暗号方式を利用しているため、ユーザーの秘密情報をサービス側と共有しない点が特徴です。これにより、ユーザー側・サービス側ともに情報漏洩などのリスクが抑えられます。
FIDO認証の利用には、セキュリティ強化・利便性向上・リスク軽減というメリットがある一方で、FIDO2を採用しているWebサービス自体が少ないなどのデメリットがあります。ただし、パスワードレスの標準規格として普及する可能性が高いため、このデメリットはじきに解決すると考えられるでしょう。
近年、テレワークの普及などにより、業務上で利用するパスワードの管理も難しくなってきています。管理だけでなく、セキュリティ面も十分に考慮する必要があるため、お悩みの方も多いのではないでしょうか。
トラスト・ログインを利用すれば、業務上で利用するクラウドサービスへのアクセス制限や多要素認証を実現できます。パスワードレス認証の機能としてモバイルプッシュ通知認証が搭載されており、パスワードレスも実現可能です。
パスワード管理にお悩みの方は、トラスト・ログインの導入を検討されてみてはいかがでしょうか。