【フィッシング・不正利用対策】パスワードレスとして期待される次世代認証技術であるFIDOについて

2020 4/1

利用するデバイスやネットワークサービスが増えれば増えるほど管理が煩雑になるのがログインIDやパスワードの情報です。
最近ではパスワードを入力しなくてもログインが可能になるパスワードレス認証も増えてきています。
今回の記事では、従来から使われているパスワード入力によって起こる問題点の紹介とともに、その解決方法として注目を集めるパスワードレス認証と次世代認証技術であるFIDOについて詳しく解説していきます。

目次	パスワード入力の問題点生体認証の種類とメリット・デメリット注目を集める「FIDO認証」とは KDDIで提供するFIDO対応サービスインターネットの安全性向上に必要不可欠な認証技術

パスワード入力の問題点

サービス提供者がセキュリティ対策をしても、パスワードが管理しきれないユーザーによって (よくないと分かっていても安易なパスワード・パスワードの使いまわし) 、ログイン情報が漏えいするリスクが高まる→パスワードレス認証に注目が集まる

スマートフォンやPCなどのデバイスでサービスにログインする際、これまでは英数字などを組み合わせてパスワードを設定するのが一般的でした。しかし、不正アクセスや情報漏えいなどによってログイン情報が流出する恐れもあり、実際にそのような被害が発生しているケースも増えてきています。

サービス提供者は万全のセキュリティ対策を行っていても、ユーザー側のセキュリティ意識が低いとパスワードなどのログイン情報が漏えいすることも少なくありません。たとえば複数のサイトで同一のパスワードを使い回していたり、第三者から推察しやすい簡単なパスワードを設定していたりするケースがあります。ユーザー自身、このようなパスワードの管理は適切でないと分かっていても、登録サイトが多く管理しきれないという悩みも多いのが現状です。

そこで、このような悩みを解決する方法として注目されているのがパスワードレス認証と呼ばれる方式です。その名の通り、従来のようにパスワードを入力してログイン認証を行うのではなく、生体認証などによって本人確認を行うものです。

生体認証の種類とメリット・デメリット

指紋認証、顔認証、音声認証、虹彩認証、静脈認証→ユーザーのセキュリティや利便性は高まるが登録の手間やサービス提供者側のセキュリティリスクが課題に

パスワードが不要となる認証技術として、生体 (バイオメトリクス) 認証があります。生体認証の種類には、指紋や顔、声、静脈、虹彩などがありますが、これらの生体情報は一人一人異なっているため複製は難しく、不正アクセスを行うことは容易ではありません。ユーザーはパスワードを覚えておく必要もなく、入力の手間も不要なため負担軽減につながるほか、フィッシング詐欺などの被害に遭うリスクも抑制できると考えられます。

しかし、これらにも弊害はあって、サービスを利用または運用する観点で考えたときにユーザーが指紋や顔写真などの生体情報をサーバー側に登録する手間や、登録に対して抵抗を感じる、といった問題が生じます。また、生体情報を預かるサービス提供者のセキュリティリスクが大きくなることも弊害のひとつとして考えられます。

注目を集める「FIDO認証」とは

従来型のID・パスワードを用いた認証ではそれぞれのポイントでパスワードに対するリスクがあるが、FIDO認証ではスマートフォンなどのローカル環境での本人認証と公開鍵認証方式を活用したオンライン認証を個別に行うことによって高いセキュリティを実現することができる。

生体認証におけるデメリットを補えるのではないかと注目されているのがFIDO認証です。
FIDOとは標準規格団体である「FIDO Alliance」が定めた新しい認証の方式で、従来の固定パスワードに代わる安全性とUI/UXを両立した認証手段の標準規格です。FIDO Allianceは2012年に誕生し、Google やMicrosoft、Appleなどの大手IT企業も名を連ねているほか、加盟する企業も年々増加しており、2018年にはKDDIも加わりました。

たとえば、従来型のID・パスワードを用いた認証ではクライアントとサーバー間でID・パスワードを共有して認証を行いますが、なんらかの形でID・パスワードが流出した場合、不正アクセスを防ぐことができません。しかし、FIDO認証はクライアント・サーバー間で共有するパスワードがなく、代わりにサーバー側に公開鍵を、スマートフォンなどのFIDO認証器側に秘密鍵を持たせることによる「公開鍵認証方式」を用いた認証を行います。また並行してスマートフォンなどの認証器では生体認証などを用いて本人認証を行い、これらの情報はローカル環境内に閉じて実施されるため、生体情報などがインターネット上に流れることやサーバー側で保持することもありません。
このように、FIDO認証はスマートフォンなどのローカル環境での本人認証と公開鍵認証方式を活用したオンライン認証を個別に行うことによって高いセキュリティを実現するという仕組みになっています。

KDDIで提供するFIDO対応サービス

KDDIでもパスワードレス認証への取り組みは進んでおり、KDDI IoTクラウド API Marketにおいて、安全性と利便性を両立した次世代認証サービス「KDDI 生体・機器認証サービス」をリリースしました。

サービス提供者が運営しているサービスの認証機能をFIDO2 ※ に対応させるため、KDDIのクラウド環境にFIDO2サーバーを用意し認証サービスを提供します。3カ月無料でご利用いただけるトライアルプランも用意しているため、実際に活用しながら本格導入に向けた検討が可能です。

※ AndoroidやWindowsなどのOSや Chrome やEdgeなどの主要なブラウザがFIDO2に対応していることにより、Web環境では専用ハードウェアを準備する必要がなく、すぐに利用できます。

インターネットの安全性向上に必要不可欠な認証技術

パスワードのみによって本人確認を行う従来の方法に比べ、FIDO認証などの認証技術を活用することでパスワードレス認証が進み、より安全にインターネットを利用できる環境が実現できます。情報漏えいやセキュリティ不安によるユーザー離れ、不正アクセスなどのリスクを軽減するためにも、KDDIが提供する「KDDI 生体・機器認証サービス」は手軽で有効な方法といえるでしょう。金融機関やクレジットカード会社、生命保険会社などオンライン上で重要な個人情報を扱う企業はもちろん、あらゆる業種にとって心強い味方になってくれるはずです。