パスワードを捨てよ、次世代認証「FIDO」は普及するか？

IDとパスワードの組み合わせは、長らく認証の基本として使われてきた。だが、パスワード運用はセキュリティ的に限界だ。パスワード依存をやめる方法は？

[宮田健，キーマンズネット]

　FIDOアライアンスは2016年12月8日、FIDO認証の「FIDO 1.1」仕様と今後のロードマップを発表した。また、日本における作業部会「FIDO Japan WG」も設立した。

パスワード依存からの脱却を目指す「FIDO」とは？

　まずは「FIDO」とは何かを説明しよう。FIDOは「Fast IDentity Online」の略で「ファイド」と読む、公開鍵暗号方式を活用したオンライン認証モデルだ。

　従来、何らかの認証を行う場合、ユーザーとサービス提供者の双方がパスワードを共有する共通鍵暗号モデルを利用することが一般的だ。つまり、このモデルではユーザーが設定したパスワードなどの認証情報はサービス提供者側にも保存される。まともなサービス提供者であればデータを暗号化するなどの対策を行うものの、それでも認証情報が不正アクセスなどによって盗まれる可能性は否定できない。

「秘密の共有」モデル

　一方、FIDOのアプローチは、ユーザーとサービス提供者の間に「FIDO認証器」を介在させ、公開鍵暗号方式で認証を行う。

　具体的には、まずFIDO認証器として用意したスマートフォンやスマートカード、生体認証デバイスなどを用いて本人認証を行う。次に、FIDO認証器は「正しく本人だと認証した」という結果情報に秘密鍵を使って署名し、サービス提供者へと送信する。サービス提供者側は、サーバに事前登録された公開鍵を使って署名を検証し、認証を完了する。

FIDO認証モデル

　最も重要な点は、本人認証がユーザーとその手元にあるデバイスとの間で完結していることだ。一度でも流出すると取り返しがつかない生体情報などの個人認証データがそのままネットワーク上を流れることはなく、当然ながらサービス提供者のサーバに保管されることもない。万が一、サービス提供者のサーバに不正アクセスがあったとしても、そもそも漏えいするような認証情報が存在しないので安全性が高まるというわけだ。

　国内では、既にNTTドコモが「dTV」や「dアニメストア」において、FIDOを使った生体認証によるログインや決済に対応している。FIDO認証器として、ソニーの「Xperia Z5」以降の端末、富士通の「Arrows NX F-04G」以降の端末 、シャープの「Aquos Zeta SH-03G」以降の端末など累計20種がFIDO 1.0仕様に準拠している。また、米Nok Nok LABS（ノックノックラブズ）がFIDO準拠のSDKを提供しており、FIDO対応のための下地はそろいつつある。

FIDO対応スマートデバイス

「FIDO 1.1」はNFCやBLEをサポート、W3Cでの標準化も進展

　FIDO 1.1では、スマートカードやNFC、Bluetooth Low Energy（BLE）などのサポートが追加された。また、Web技術を標準化する団体であるW3Cともパートナーシップに進展があった。W3Cの「Web認証仕様」ドラフトは既に公開済みだが、FIDOアライアンスが提出した技術仕様に基づいて開発が進んでいるという。

　今後は、Webブラウザから直接スマートフォンやUSBキー、Bluetoothデバイスなど外部のFIDO認証器に認証要求を行えるプロトコル「CTAP」（Client to Authentication Protocol）を2017年にリリースする予定だ。

　さらに金融取引用ICカードの仕様をまとめているEMVCoとも協業し、カード保持者本人が確かにその場に存在することを証明する「ユーザー検証キャッシング仕様」の拡張も発表した。

日本でもFIDO認証がもり上がり始めている

　今回、FIDO Japan WGの設立も発表されたが、既に日本では上述したNTTドコモのようにオンライン認証において使いやすさと安全の両立を必要とする分野の企業が活動をスタートしている。現時点でFIDOアライアンスメンバーとして、16の日本企業が名を連ねている。また、日本マイクロソフトはFIDO 2.0の技術を利用する「Windows Hello」で、Yahoo! JAPANにログインできるようにすると発表している。

FIDOメンバーにおける日本国内の主な取り組み

　このようにFIDO認証がもり上がりの兆しを見せる中で、日本のベンダーからの問い合わせ先としてFIDO Japan WGが発足した。FIDOの地域ワーキンググループとしては中国、インドに続いて3番目となる。初代座長は、NTTドコモ プロダクト部 プロダクトイノベーション担当部長の森山光一氏が務める。

　同氏は「言語、制度、商習慣の違いに応じたFIDO推進をするには地域WGが必要。日本独特の要件や要望をグローバルにフィードバックするだけでなく、これまでは英語でしかできなかった問い合わせを、日本語でも対応できるようにする」と言う。

（写真左から）ヤフー 決済金融カンパニーIDソリューション本部企画室部長兼サービスマネージャー ・FIDO Japan WG副座長 菅原進也氏、NTTドコモ プロダクト部プロダクトイノベーション担当課長・FIDO Japan WG副座長 外山由希子氏、NTTドコモ プロダクト部プロダクトイノベーション担当部長・FIDO Japan WG座長 森山光一氏、FIDOアライアンス エグゼクティブディレクター ブレット・マクダウェル氏、FIDOアライアンス マーケティング担当シニアディレクター アンドリュー・シキアー氏

FIDO Japan WG初期メンバー企業

ところで、あのIT大企業は？

　そうそうたる企業が参加するFIDOアライアンスメンバーの中に、「Apple Pay」や「Touch ID」、そして鍵情報をセキュアに記録する「キーチェーン」などを持つ米Appleの名前がない。同社のアプローチとFIDOのそれは非常に似ているにもかかわらずだ。

　マクドウェル氏は、「Appleは独自にエコシステムを確立している。だが、Nok Nok LABSなどから提供されるSDKを使えばiOSのアプリをFIDO準拠にすることは可能だ。実際にNTTドコモはFIDOに準拠したアプリを提供済みだ」という。なお、米AppleはW3CやEMVCoによる標準化作業には参加しているという。果たしてAppleはどう動くのだろうか。

FIDOの広がり