FIDO認証が実現するパスワードレスセキュリティ

FIDO認証が実現するパスワードレスセキュリティは、従来のパスワード管理に伴うセキュリティリスクや煩雑さなどの課題を解決します。公開鍵認証方式と生体認証を組み合わせたFIDO認証は、年々増加傾向にある不正アクセスやフィッシング攻撃に対しても有効です。本記事では日本国内でも導入が進んでいる「FIDO認証」についてわかりやすく紹介します。

これまでスマートフォンやPCなどのデバイスでサービスにログインする際、英数字を組み合わせたパスワード設定が一般的でした。しかし、近年、不正アクセスや情報漏えいのリスクが増加しており、ログイン情報の流出が懸念されています。実際に年々不正アクセスの被害は増加傾向にあり、従来のパスワード管理だけでは、セキュリティを十分に保つことが難しくなっているのが現状です。

ユーザーはパスワードの作成時に覚えやすさを優先する傾向があり、簡単なパスワードを設定したり複数サイトで同じパスワードを使い回したりといったケースがよくあります。例えば「123456」や「password」のようなパスワードは、毎年セキュリティの専門機関が発表する「よく使われるパスワード」のリストに必ずと言っていいほど登場します。一般的に覚えやすいパスワードは推測されやすく、フィッシング攻撃やリスト型攻撃の標的となりがちです。

実際に総務省、警察庁および経済産業省が調査した「令和5年における不正アクセス行為(識別符号窃用型)の手口別検挙件数」においても、犯行手口の内訳を見ると 「利用権者のパスワードの設定・管理の甘さにつけ込んで入手」 が42.7%と最も多い結果になっています。

たとえサービス提供者が強固なセキュリティ対策を施していても、ユーザーが適切にパスワードを管理できていなければ、セキュリティは大きく損なわれる可能性があります。しかしユーザーはパスワードの管理の重要性を理解していても、登録サイトが多いため管理が難しいというのが現状です。

そこで、パスワード管理の煩わしさやセキュリティリスクを解決するための手段として「パスワードレス認証」が登場しました。この認証方式は、従来のようにパスワードを入力して認証するのではなく、指紋や顔、音声などの「生体認証」を用いて本人確認を行います。

生体認証の種類は指紋認証や顔認証、音声認証、虹彩認証、静脈認証など、多様な技術が存在し、それぞれの認証手段は高いセキュリティ性と利便性があります。これらの技術はユーザーの固有の生体情報を用いるため、複製やなりすましが困難で、従来のパスワードに比べても不正アクセスのリスクを大幅に軽減できます。

生体認証の主な利点として、次の3点が挙げられます。

生体認証は多くのメリットがある一方で、いくつかのデメリットもあります。例えば、認証を行うために指紋や顔写真などの生体情報を登録しなければならないため、手続きに抵抗を感じるユーザーも少なくありません。また、サービス提供者側には生体情報を安全に管理する責任が伴うため、より慎重なセキュリティ対策が求められます。もしも生体情報が漏えいすれば、そのリカバリーは非常に困難でユーザーの信頼を失う重大なリスクがあります。

そこで、生体認証におけるデメリットを補えるのではないかと注目されているのがFIDO認証です。
FIDO (ファイド) はFast Identity Online の略で、従来のID・パスワードを用いた認証方式に代わる新しい認証技術です。FIDO認証は公開鍵認証方式と生体認証を組み合わせた認証で、パスワードを使用しない上に生体情報はデバイス内でのみ処理されるため、インターネット上にユーザーの生体情報が流出するリスクもありません。

FIDO認証は次のようなステップで行われます。

FIDO認証はサーバー側とユーザー側で秘密情報を共有しないため、従来の生体認証システムよりもセキュリティ管理面が強化されています。
また、1回きりのパスワードを発行する「ワンタイムパスワード」や複数画像を選択することで認証を行う「ニーモニック認証」といった他の認証方式よりも手間がかからないため、ユーザーも負担がかかりません。さらにUSBタイプの認証器やBluetooth、NFC対応デバイスなど、さまざまな機器で利用できるため、導入時の障壁も少ないでしょう。

FIDO認証は企業やサービス提供者にとっても、導入によるメリットが大きい技術です。Apple、Google、Microsoftなどの大手IT企業も生体認証などを利用した新しいオンライン認証技術の標準化を目指す「FIDO Alliance」に加盟しており、2018年にはKDDIも加わりました。具体的には、FIDO2 (Fast Identity Online 2) やWebAuthnといった認証技術を採用し、ユーザーがパスワードに依存せず、指紋や顔認証、セキュリティキーなどを使ってログインできる環境の構築を推奨しています。

国内でも金融機関や医療機関など、重要な個人情報を取り扱う業界ではFIDO認証が導入されており、取引の信頼性と安全性を確保しています。

また、KDDIの「au ID」に関しても、2023年7月19日に「指紋・顔認証によるログイン」の利用者数が1,000万人を突破しました。「au ID」は2020年から、ユーザーの安全性と利便性を向上させるために、パスワードを使わないFIDO2対応のログイン方法を導入しており、その結果として、2023年7月のパスワード再設定数は、同年1月と比較して約10％減少しています。また、「au IDでログインができない」といった問い合わせも減少傾向にあり、パスワードを用いることによる不便さが解消されていることがわかります。

KDDIでは企業向けに「FIDO認証」を用いたパスワードレス認証ソリューションを提供しています。
KDDIが提供している「KDDI Business ID」および「KDDI IDマネージャー」は、IDベースの顧客管理やID運営を簡単かつセキュアに管理したい方におすすめです。

「KDDI Business ID」はクラウドサービスのIDをひとつにまとめ、より簡単なID管理とアクセスを実現します。事業所内のActive DirectoryやEntraIDとの連携が可能で、アカウント情報を同期し一元化できます。KDDIの信頼性の高い自社設備内で構築/運用するため、企業は24時間365日、ID管理を任せることができます。

「KDDI IDマネージャー」はユーザーが安全かつ簡単にログインできる認証・認可プラットフォームで、ID統合・ID連携も実現します。ECサイトやクラウドサービスを展開する企業にとって、ユーザーのエンゲージメントを向上させるためには、シンプルで安全なログインシステムが欠かせません。KDDI IDマネージャーはFIDO機能によりユーザビリティを担保しながら、不正アクセスの検知や自動遮断といった高度なセキュリティ対策を備えています。

KDDIのFIDO対応サービスは、自社サービスのセキュリティや利便性の向上を目指す企業にとって有力な選択肢となります。重要な情報を取り扱う金融機関や医療機関、クラウドサービスを活用する企業はもちろん、あらゆる業種においても強固な認証基盤の構築は不可欠です。