パスワード不要の認証技術「FIDO」とは何か？：IT導入完全ガイド（1/3 ページ）

本人確認手段として長らく用いられてきた「ID/パスワード」に限界が訪れている。では、パスワードに替わる手段とは？　その有力候補として高い注目を集めているのが「FIDO」だ。

[吉村哲樹，オフィスティーワイ]

　これまで、ITシステムへログインする際の本人確認手段として長らく用いられてきた「IDとパスワード」。しかし近年、他人のIDとパスワードを使って本人になりすまし、システムに不正侵入して情報を盗み出すセキュリティ事故が多発している。これを防ぐために、パスワードの定期的な変更や、類推しにくい複雑なパスワードの使用が推奨されているものの、これを実際に行うとなるとユーザーに大きな負担を強いることになる。

　そのためセキュリティ専門家の間では、「もはやパスワード認証は限界を迎えた」との認識が大勢を占めつつある。では、パスワードの次に来る本人認証の手段とは、一体どんなものなのだろうか。その有力候補として高い注目を集めているのが「FIDO」だ。

パスワードに替わる認証手段として大きな期待を集める「FIDO」

　「FIDO（ファイド）」は「Fast IDentity Online」の略称。IDとパスワードに替わる新たなオンライン認証の標準仕様の策定を目指し、2013年に発足した「FIDO Alliance」によって定められた認証プロトコル仕様のことを指す。恐らく多くの方にとって、まだ耳慣れない名前かと思うが、ここ半年ほどの間で急速に知名度を高めつつある。

　そのきっかけの1つになったのが、Windows 10の登場だ。Windows 10では「Windows Hello」と呼ばれる生体認証機能や「Microsoft Passport」という二要素認証の機能が、OSに初めから組み込まれている。これらの機能を使うことで、ユーザーはパスワードを使わずに、あるいは従来のIDとパスワード認証を補完することで、セキュアなログインが可能になる。マイクロソフトによれば、これらの機能はFIDOの次期仕様である「FIDO 2.0」に準拠しているという。

　また、2015年にNTTドコモが発表したスマートフォンが「FIDO対応の生体認証機能」を搭載したことも、日本におけるFIDOの知名度アップに大きく貢献した。これらに搭載された指紋認証デバイスやカメラを使った虹彩認証機能が、やはり当初からFIDO仕様に対応しており、これを使うことでパスワードなしでdocomo IDをセキュアに利用できるようになる（2015年5月より、ログインと電話料金支払いで利用可能）。

　この2つの出来事がきっかけとなり、日本国内においてにわかにFIDOに対する注目度が増してきたが、海外では既に大手企業による導入事例が相次いでいる。例えば、米国のオンライン決済事業者PayPalでは2014年にFIDO準拠の指紋認証を導入した他、GoogleやAlibaba、Dropbox、Bank of Americaといったそうそうたるグローバル企業が、パスワードに替わる新たなユーザー認証手段としてFIDO仕様を導入している。

　また、公共サービスにおける本人確認の手段としてFIDOを採用する動きも加速している。日本で始まったばかりのマイナンバー制度でも、2017年1月からの運用開始が予定されている「マイナポータル」へアクセスする際の認証手段として、マイナンバーカードと並んで生体情報をサーバ側に持たないFIDOのようなプライバシーを担保する仕組みの必要性が国会で議論されている。

　このように現在、パスワードに替わる新たな本人認証手段として、国内外でFIDOが急速に存在感を増しつつあるのだ。