2020年12月1日(火) から4日(金) にかけて、FIDOアライアンスが主催する「FIDOセミナー in Japan -オンライン-」が開催されました。本セミナーは「パスワードのいらない世界へ、~主要プラットフォーマーによるFIDO対応、その展望と最新事例~」と題して行われ、日本国内においてFIDOを採用している多くのプラットフォーマーが自社の取り組み事例や導入事例などを紹介しました。
今回はその中から、KDDIのFIDOに対する取り組み状況や、提供しているFIDO関連サービスの詳細などを中心にセッションの内容を解説します。
※ 記事内の部署名、役職は取材当時のものです。
パスワードに依存しない認証方法として注目されているFIDOは、Webとアプリケーションの両面で利用できる認証強化の新技術として、KDDIをはじめとした通信キャリアや大手銀行、アプリベンダー、セキュリティベンダーなど、多くの企業において活用され始めています。
また、世界に目を向けてみると、Google やMicrosoftの主要WebブラウザにおいてFIDO認証が利用できるほか、Appleが提供するiOSおよびMacOSでもSafariがFIDO2をサポートしたことにより、FIDO認証を活用してTouch IDおよびFace IDでWebのログインができるようになりました。このように、FIDOという言葉は耳にしたことがなくても、すでに多くのユーザーがFIDOを活用している状況にあります。
そもそもFIDOとは、FIDOアライアンスによって定められた認証規格です。FIDOは従来のようなID・パスワードを用いる認証ではなく、「公開鍵暗号方式」と呼ばれる方法で認証を行います。ID・パスワードによるログインだと、サーバー側から、もしくは入力時および通信時にアカウント情報が漏れるリスクも生じます。FIDO認証ではそのようなリスクを最小限に抑えられるため、極めて安全性の高い認証方法といえるのです。また、ユーザーにとってもアカウント情報を管理する手間がないため、利便性も大幅に向上します。
KDDIでは2018年からFIDOアライアンスにスポンサーメンバーとして参画し、FIDO機能がSaaSで利用できる「KDDI 生体・機器認証サービス」も提供しています。
セミナー初日の12月1日(火)、「Mobile Centricの時代におけるFIDOを利用したID認証のデザイン」と題し、KDDI株式会社 サービス&プロダクト技術部 松井 利樹が講演を行いました。
冒頭では、「au ID」が2020年春にFIDOに対応したことが報告されたほか、KDDIの目指す世界観について「ユーザー視点」と「プラットフォーム視点」に分けて紹介がありました。
まずユーザー視点として「User Experience」「High Security」「さまざまなプラットフォームで利用できる」「知識だけに頼らないアカウント復旧」の4点。
プラットフォーム視点では、「国際標準 (Web) で構築する」「アプリとWebで共通化する」「あらゆるプラットフォームでセキュアにする」の3つのポイントを挙げた上で、カギはFIDO2にあると紹介しました。その上で、スマートフォンおよび他デバイスでの本人確認と認証をFIDO2でどのように行うのか、具体的な方法を示しました。
まず、スマートフォンの認証については、WebとアプリでFIDOの認証情報は安全にシェアできることを紹介しました。Webにログインした状態でアプリにそのまま連携できるため、ログイン状態で同期できます。WebではCookieよりFIDO認証の方が安全性が高く、アプリでもCookieに頼ることなくFIDOの相互利用が可能です。
本人確認およびアカウント復旧については、キャリア独自の認証方法を紹介しました。携帯電話不正利用防止法に基づき、携帯電話の契約時には厳格な本人確認が求められるため、キャリアならではの強み・特性を生かしたアカウント復旧も可能です。
また、マイナンバーカードおよびNFC読み取り端末の普及率も高まってきたことから、今後はマイナンバーカードを利用した本人確認も検討していることが報告されました。社会的要求が高まってきていることもあり、スマートフォンにおいてもICカードレベルの安全性を持つ本人確認が重要になると考えています。
他デバイスの認証については、QRコードを利用した認証はフィッシングに弱いこともあり、FIDO認証器として動くアプリをスマートフォンに搭載する方法を検討しています。
他デバイスから見たときにスマートフォンがFIDO認証器として機能するイメージで、認証器アプリを経由して認証を伝搬させる役割を果たします。現状では認証器アプリにFIDOを設定できない、スマホと他デバイスとの接続が煩雑などの課題がありますが、プラットフォーム側においてこれらの課題がクリアできれば、今後IoTデバイスとの認証連係にも期待が高まるとしています。
セミナー最終日の12月4日(金) には、「KDDI FIDOサービスのご紹介」と題してKDDI株式会社 パートナービジネス開発部 廣田 勲が講演を行いました。
「au ID」で決済やポイントを中心に多様なサービスを提供していることをはじめとして、auユーザー以外でも「au ID」を利用可能であることを紹介しました。その上で、auサービスログイン時のパスワード忘れによる不満解消と、セキュリティ向上を目的としてFIDO認証を導入していることが報告されました。現在、au IDへのFIDO認証はAndroid OSのみが対応していますが、iOSにも導入が検討されており、今後対応端末は拡大していく見込みです。
また、自社のauサービス向けだけではなく、パートナー企業様向けに提供している認証関連サービスである 「KDDI 生体・機器認証サービス」「KDDI本人確認支援サービス」「KDDI Message Cast」も紹介しました。
「KDDI 生体・機器認証サービス」は、FIDO2に準拠するAPIをSaaSで提供しています。申込後最短10営業日でAPIが開通、利用でき、独自にFIDO用のサーバーを構築・運用する手間もありません。導入検討時に基本料金、従量料金ともに3カ月間無償で利用できるトライアル環境も提供しているため、本運用後と全く同じ環境で機能や使い勝手を確認できます。
「KDDI本人確認支援サービス」は、auの契約情報を活用し精度の高い本人確認を実現します。パートナー企業様が持っている顧客情報とKDDIが持っている顧客情報を照合した上でFIDOに情報を登録するため極めて信頼性が高く、不正登録を防止できます。FIDO自体は信頼性の高い認証方法ですが、認証データの登録時の本人確認が不正利用防止のカギとなります。「KDDI本人確認支援サービス」は、登録時の正確性を担保するために有効です。
携帯電話を利用したSMS配信サービス「KDDI Message Cast」は、au以外のユーザーにも配信できるキャリアフリーのサービスで、電話番号をキーにしているため、SMSによる2段階認証などに活用できます。「KDDI Message Cast」はKDDI入稿ポータルからの配信または、API連携によって個別のシステムからの配信も可能です。
セキュリティの向上およびユーザーの利便性にも直結するFIDOは、今後スマートフォンやPCといった情報端末だけではなく、IoTデバイスの普及に向けても重要な要素となるでしょう。日本国内ではKDDIをはじめとした通信キャリアや大手ベンダー、世界においてもAppleや Google といったプラットフォーマーがFIDOアライアンスに参画しており、さらに大きな潮流を生み出していくことが予想されます。
KDDIは今後も、FIDOを活用したソリューションを通して、エンドユーザーの利便性向上はもちろん、さまざまな事業者・ベンダーに向けても安全性の高い認証および本人確認サービスを提供していきます。
(文:西村広光)