みずほダイレクトは不正アクセスさせない！ 「FIDO」の導入メリット：困ったときのビジネス用語（3/5 ページ）

[溝田萌里，キーマンズネット]

コンシューマー、エンタープライズ分野での活用

　前項で紹介したUAFやU2Fの活用事例を紹介しましょう。例えば、前者のUAFの方式は、みずほ銀行が「みずほダイレクト（インターネットバンキング）」に採用したことで有名です。同社は不正送金の対策として、ワンタイムパスワードの導入などを行ってきましたが、一定時間毎に変わるランダムコードを入力させるという点で、利便性に課題を感じていたといいます。また、スマートフォンの利用が拡大したことを背景に、PCだけでなくスマートフォンでも適した認証方法を模索していました。

　こうした課題を受けて2017年10月、インターネットバンキング用のアプリ「みずほダイレクトアプリ」がFIDO認証に対応。ユーザーがFIDO認証に対応した端末を持っていれば、生体認証を使ってアプリにログインできる仕組みを構築しました。同社はFIDO認証に関して、「利便性とセキュリティを両立できること」「生体情報を銀行で保有する必要がなく、漏えいリスクがないこと」「スマートフォンをはじめ、さまざまな端末を利用でき、指紋認証や顔認証、虹彩認証といった端末側での認証方法を選べること」を評価のポイントとして挙げています。

　また、NTTドコモが提供する無料の共通ID「dアカウントログイン」や「d払い／ドコモ払い」などのシーンにおいて、2015年からUAFの方式を取り入れた生体認証が提供されています。これは、ユーザーが端末上で指紋や虹彩を使った生体認証を行うと、dアカウントのアプリを介してNTTドコモのさまざまなサービスへのログインや決済サービスを利用できるというもの。また、「認証連携」という方法を使って、dアカウントを通じたパートナーサイトへのログインにも対応しています。同社は他にもFIDO認証の普及という観点では、FIDO認証が可能なドコモスマートフォンをAndroidとiOSあわせて50機種以上提供しています。

図2　dアカウントのFIDO認証システム概略（出典：NTTドコモ）

　一方、U2Fの仕組みは、エンタープライズの分野での事例があります。例えば、従業員が業務システムへログインする際、認証をセキュアにする目的でFIDO認証を導入する場合があります。Googleでは、この用途でFIDO認証を活用した結果、SMS経由や専用のアプリケーションにより発行されるワンタイムパスコードを使用した際と比べ、認証にかかる時間が半減しました（図3）。それだけでなく、管理者が社内の従業員からの問い合わせに対応する件数を大幅に減らせたといいます（図4）。

図3　FIDO、ワンタイムパスワードで認証にかかる時間の比較（出典：Google）

図4　二要素認証に関する問い合わせ対応件数の変遷（出典：Google）