日本の3大携帯キャリアは、それぞれ「dアカウント」「au ID」「Softbank ID」という名称で、自社のサービスに契約しているユーザーを中心にアカウントを発行しています。このアカウントは、携帯電話契約以外にも「オンラインショッピングの利用」「デジタルコンテンツの購入」などに利用できる決済情報と紐づいたアカウントとなります。購入した商品の支払いを「携帯電話の請求と一緒に支払い」したことがある方も多いのではないでしょうか。
さて、アメリカの大手携帯キャリアである「AT&T」「Verison Wireless」「T-Mobile US」、そして2019年10月現在ソフトバンクの傘下である「Sprint」は、Zenkeyを近日中に公式リリースする予定だと発表しました。以下で見ていきましょう。
キャリア契約+スマートフォン+アプリ=Zenkey認証
クラウドサービスやスマートフォンアプリに登録する際、またログインする際に「Facebookでログイン」「Googleでログイン」「Twitterでログイン」といったボタンを見たことがある方は多いでしょう。既に多くの人が利用しているサービスのアカウントを利用し、ボタンを押して連携を許可するだけでログインできる機能で、既に多くのログインにおいて利用されています。
Zenkeyは基本的にはこれと同じです。オンラインサービスを提供する事業者が、ユーザーを認証する際に「Zenkey」を利用するというものです。しかし、FacebookやGoogle、Twitterと異なり、Zenkeyというソーシャルサービスがあるわけではありません。
では、Zenkeyとは何かというと、「アメリカの4大携帯キャリアの契約情報と紐づいた安全な認証サービス」です。4大携帯キャリアが保有する契約者情報を、契約者の同意のもとにログイン時の認証に利用するという仕組みです。iOSのApp Store、またはAndroidのGoogle PlayからZenkeyアプリをダウンロードし、携帯キャリアIDで認証を行い、Zenkey PINを作成すれば、それ以後は「Zenkeyでログイン」ボタンを利用できるようになります (2019年10月時点ではまだベータ段階)。また、より高いセキュリティを求められるサイトで認証を行うため、生体認証情報をあらかじめZenkeyに登録しておくこともできます。
では、認証に使う契約者の情報ですが、「Facebookでログイン」や「Googleでログイン」のような、IDとパスワードではありません。Zenkeyの公式サイトには、「(IDとパスワードによる認証でなく)複数のデータ要素を利用するため、より高い安全性を享受できます」とあります。契約者のどの情報をZenkey認証に利用するかは公開されていませんが、名前やメールアドレスを含む個人情報、SIMカードの情報、携帯電話会社との契約期間などの情報を認証に利用していると考えられます。
ちなみに、アメリカの人口は3.2億人、これに対して4大携帯キャリアの契約者数は4.5億人と100%超えの数字となっているため、ほぼ全アメリカ国民をカバーできていると考えて良いでしょう。
最初から多要素認証をカバーする
「なるほど、FacebookでログインやGoogleでログインの携帯キャリア版か」と思われた方も多いかと思います。実際その通りなのですが、「Zenkey認証を導入するサービスは、はじめから多要素認証を利用できる」という点が大きな違いとなります。
Zenkeyでは、Zenkeyボタンをタップしての認証に加えて、スマートフォンの顔認証や指紋認証を併用できます。このため、「通常のログイン時はZenkeyボタンのみ、特に重要な操作(送金など)を行う時には、「本当に送金してもOKですか」といったメッセージとともに再度Zenkeyボタンをタップさせる、もしくは顔認証・指紋認証を行う」といった多要素認証が可能となります。なお、ユーザー利便性の向上のため、メールやSMSでワンタイムパスワードの送信して入力させる方法は、Zenkeyでは用いられていません。
ちなみに日本のキャリアを見てみましょう。dアカウントが提供する多要素認証は、「スマートフォンでのタッチ認証」「SMS送信コードによる認証」、au IDの場合は「パスワード+SMS送信コードによる認証」「ワンタイムURL認証」、そしてSoftbank IDの場合は多要素認証がサポートされていません(「自動認証」機能があるが、具体的な詳細は不明)。
これらと比較すると、「Zenkeyボタンのタップ+生体情報」のみで多要素認証を利用できるZenkeyは、かなり手軽にセキュリティ強化が実現できる方法となります。ワンタイムパスワードを含むパスワードを入力させないので、スマートフォンのキーボードを利用せず、タップだけで認証を行えます。
多要素認証の利用はデファクトスタンダードに近づく
現在発売されているスマートフォンの多くに、指紋認証や顔認証機能が搭載されているという「対応デバイスの普及」、そしてFIDO2のような「オンラインで生体認証を扱う規格の進化」が、Zenkeyのような認証テクノロジーを可能にしています。
・参考記事
「FIDO2」とは何かを正しく理解する [オンラインサービス担当者必読]
「パスワードと別な認証要素」、もしくはZenkeyのように「パスワードレスボタンと別な認証要素」を利用した多要素認証は、今後急速に普及していくものと考えられます。今後、パスワードレスが普及したとしても、「複数の認証要素を併用することで認証時のセキュリティを高める」多要素認証の重要性は変わりません。
・認証要素に関する参考記事
世界の電子認証基準が変わる:NIST SP800-63-3を読み解く
多数のクラウドサービスを利用している企業が、従業員のクラウドサービスログイン時の認証強化を検討の際は、多要素認証に対応した当社「トラスト・ログイン」をご検討ください。