利用するデバイスやネットワークサービスが増えれば増えるほど管理が煩雑になるのがログインIDやパスワードの情報です。
最近ではパスワードを入力しなくてもログインが可能になるパスワードレス認証も増えてきています。
今回の記事では、従来から使われているパスワード入力によって起こる問題点の紹介とともに、その解決方法として注目を集めるパスワードレス認証と次世代認証技術であるFIDOについて詳しく解説していきます。
スマートフォンやPCなどのデバイスでサービスにログインする際、これまでは英数字などを組み合わせてパスワードを設定するのが一般的でした。しかし、不正アクセスや情報漏えいなどによってログイン情報が流出する恐れもあり、実際にそのような被害が発生しているケースも増えてきています。
サービス提供者は万全のセキュリティ対策を行っていても、ユーザー側のセキュリティ意識が低いとパスワードなどのログイン情報が漏えいすることも少なくありません。たとえば複数のサイトで同一のパスワードを使い回していたり、第三者から推察しやすい簡単なパスワードを設定していたりするケースがあります。ユーザー自身、このようなパスワードの管理は適切でないと分かっていても、登録サイトが多く管理しきれないという悩みも多いのが現状です。
そこで、このような悩みを解決する方法として注目されているのがパスワードレス認証と呼ばれる方式です。その名の通り、従来のようにパスワードを入力してログイン認証を行うのではなく、生体認証などによって本人確認を行うものです。
パスワードが不要となる認証技術として、生体 (バイオメトリクス) 認証があります。生体認証の種類には、指紋や顔、声、静脈、虹彩などがありますが、これらの生体情報は一人一人異なっているため複製は難しく、不正アクセスを行うことは容易ではありません。ユーザーはパスワードを覚えておく必要もなく、入力の手間も不要なため負担軽減につながるほか、フィッシング詐欺などの被害に遭うリスクも抑制できると考えられます。
しかし、これらにも弊害はあって、サービスを利用または運用する観点で考えたときにユーザーが指紋や顔写真などの生体情報をサーバー側に登録する手間や、登録に対して抵抗を感じる、といった問題が生じます。また、生体情報を預かるサービス提供者のセキュリティリスクが大きくなることも弊害のひとつとして考えられます。
生体認証におけるデメリットを補えるのではないかと注目されているのがFIDO認証です。
FIDOとは標準規格団体である「FIDO Alliance」が定めた新しい認証の方式で、従来の固定パスワードに代わる安全性とUI/UXを両立した認証手段の標準規格です。FIDO Allianceは2012年に誕生し、Google やMicrosoft、Appleなどの大手IT企業も名を連ねているほか、加盟する企業も年々増加しており、2018年にはKDDIも加わりました。
たとえば、従来型のID・パスワードを用いた認証ではクライアントとサーバー間でID・パスワードを共有して認証を行いますが、なんらかの形でID・パスワードが流出した場合、不正アクセスを防ぐことができません。しかし、FIDO認証はクライアント・サーバー間で共有するパスワードがなく、代わりにサーバー側に公開鍵を、スマートフォンなどのFIDO認証器側に秘密鍵を持たせることによる「公開鍵認証方式」を用いた認証を行います。また並行してスマートフォンなどの認証器では生体認証などを用いて本人認証を行い、これらの情報はローカル環境内に閉じて実施されるため、生体情報などがインターネット上に流れることやサーバー側で保持することもありません。
このように、FIDO認証はスマートフォンなどのローカル環境での本人認証と公開鍵認証方式を活用したオンライン認証を個別に行うことによって高いセキュリティを実現するという仕組みになっています。
KDDIでもパスワードレス認証への取り組みは進んでおり、KDDI IoTクラウド API Marketにおいて、安全性と利便性を両立した次世代認証サービス「KDDI 生体・機器認証サービス」をリリースしました。
サービス提供者が運営しているサービスの認証機能をFIDO2 ※ に対応させるため、KDDIのクラウド環境にFIDO2サーバーを用意し認証サービスを提供します。3カ月無料でご利用いただけるトライアルプランも用意しているため、実際に活用しながら本格導入に向けた検討が可能です。
パスワードのみによって本人確認を行う従来の方法に比べ、FIDO認証などの認証技術を活用することでパスワードレス認証が進み、より安全にインターネットを利用できる環境が実現できます。情報漏えいやセキュリティ不安によるユーザー離れ、不正アクセスなどのリスクを軽減するためにも、KDDIが提供する「KDDI 生体・機器認証サービス」は手軽で有効な方法といえるでしょう。金融機関やクレジットカード会社、生命保険会社などオンライン上で重要な個人情報を扱う企業はもちろん、あらゆる業種にとって心強い味方になってくれるはずです。
(文:西村広光)