メディア

みずほダイレクトは不正アクセスさせない! 「FIDO」の導入メリット困ったときのビジネス用語(2/5 ページ)

» 2018年04月18日 10時00分 公開
[溝田萌里キーマンズネット]

FIDO認証を利用する際の選択肢 2つの技術仕様

 FIDO認証の仕組みを導入する際には、2つの技術仕様から自社に合ったものを選べます。1つは完全にパスワードレスを実現した「UAF(Universal Authentication Framework)」、そしてもう1つはパスワードを併用する「U2F(Universal Second Factor)」という仕様です。「パスワードを使う方法があるのか」と混乱する人もいるかと思いますが、以下で詳しく説明します。

 UAFは、端末に内蔵されたFIDO認証器を通じてパスワードレスに生体認証などを行い、「本人である」という情報が公開鍵暗号方式における署名として作成され、サービス側のサーバに送信される技術仕様です。繰り返すように、パスワードを使用することはありません。

 一方、U2Fは認証の際「本人しか知らないパスワード」と「本人しか持たないUSBキーデバイス」の二要素を認証に使うことで、安全性を確保する技術仕様です。ユーザーは、まずWebブラウザ上でパスワードを入力して本人確認を行います。その後、PCなどの端末にUSB接続できるキーデバイスを刺し(例外あり)、そこに搭載されているボタンを押すといった動作を通じて「本人がそれを持っていること」を示します。この2つの行為によって、端末側で本人であることを証明するというわけです。その後の行程はUAFと同様で、キーデバイスによって、公開鍵暗号方式での署名が行われ、「本人である」という情報がWebブラウザを経由してサーバに送信される仕組みです。

FIDO U2Fの仕様 図1 FIDO U2Fの仕様(出典:FIDOアライアンス)

 ちなみに、二要素目であるキーデバイスを、PCに接続する手段として、Bluetooth、NFC(Near Field Communication)といった近距離無線通信の方式にも対応しているため、USBを刺し込めない端末でも問題ありません。

 どのように使い分けられるのでしょうか。UAFは、主にスマートフォンで提供されるサービスにFIDO認証の仕組みを導入する際、使われる場合が多いといいます。

 他方、U2Fは、今までPCなどでパスワードを使う認証を行っていた企業にとって、既存の仕組みを生かし易いという利点があります。前述したように、U2FではFIDO仕様に準拠したWebブラウザとキーデバイスを経由することで、これまで説明した認証の仕組みを作動させることができます。現在は「Google Chrome」や「Firefox」といったブラウザがU2Fに対応していることから、キーデバイスさえ用意してしまえばFIDO認証に対応した端末を用意する必要がありません。広くPCを介したオンライン認証に適していることが分かるでしょう。

 「パスワードを使った既存の仕組みや既存のPCを生かせる」「広くPCでのオンライン認証に適している」といったこれらの特長から、U2Fは自社での業務システムへのログインを、よりセキュアに、便利にするという目的で導入されることも多いとFIDOアライアンスは話します。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。