Webブラウザを介してオンラインサービスへアクセスするための認証仕様。2018年4月にW3Cの勧告候補となり、公式なインターネット標準と認定された。また2018年12月には、アクセス時に利用する外部認証器との連携プロトコルであるCTAP(Client-to-Authenticator Protocol;デバイス間連携仕様)がITU標準に認定されている。
普及のための環境も整いつつある。2018年9月に、ヤフーがサービス事業者として世界初のFIDO2認定を受け、10月に商用導入を開始し、「Yahoo! JAPAN ID」へのパスワードレス認証に適用した。KDDIとLINEもFIDO2認定を受け、サービスへの適用を準備する。LINEはサービス事業者として世界ではじめて、UAF、U2F、FIDO2の全てに準拠するユニバーサルサーバの認定を受けており、2019年春頃から商用運用する予定だ。
「Google Chrome」「Microsoft Edge」「Firefox」の3大ブラウザがFIDO2に対応し、「Safari」も開発者用バージョンへの採用を決めた。その他、Windows 10の生体認証機能である「Windows Hello」でも、FIDOによる認証が可能になった。OSやブラウザベンダーがFIDO2に対応することで、FIDO2導入は加速するはずだ。KDDIの商品技術部の松井利樹氏は、「FIDOアライアンスのボードメンバーであるマイクロソフトがAzure ADへのFIDO適用を進めていることを考えれば、マイクロソフトのようなプラットフォーマーの対応は普及の鍵になる」と話す。
SIerの取り組みも進み、富士通はFIDO2に対応したオンライン認証の導入支援を行う。多くの顧客を持つソリューションベンダーによって、2019年は「パスワードからの脱却」がムーブメントになるかもしれない。
FIDOアライアンス国内ワーキンググループの座長を務めるNTTドコモの森山光一氏は、「認証に共有の秘密を使わないため、安全で、便利である」ことがFIDOの特長だと説明する。
従来の認証方法は、ユーザー側とサービス事業者側でIDとパスワードなどの秘密の情報を共有するため、情報が盗まれる危険性があった。一方、FIDOは端末で生体情報などを活用したパスワードレス認証(UAF)や、パスワードとセキュリティキーの二要素認証による本人認証(U2F)を行い、「本人であるという情報」だけが公開鍵暗号方式における署名として作成され、サービス側のサーバに送信される。生体情報など流出してはいけないデータをサーバで持つ必要がないため、情報の流出を防げる(詳しい仕組みはこちら)。
これによって、パスワードリスト攻撃やフィッシング、中間者攻撃、リプレイ攻撃などのリスクを排除できるという。2018年12月にボードメンバーに加わったヤフーのIDソリューション本部、菅原進也氏は「当社はFIDOによるサービスのパスワードレス化を進めており、パスワードリスト攻撃などの脅威に強い基盤の構築を推進している」と語る。
FIDOはコンシューマー向けサービスだけでなく、社内システムのID、パスワード管理といったエンタープライズの分野でも有効性を発揮する。LINE セキュリティ室の市原尚久氏は「特権IDのパスワード運用はリスクが高い。例えば、VPN接続の際にFIDO認証を必須とすれば、サーバが攻撃を受けたとしても、外部への通信は特権ユーザーの認証器による認証ができなければ不可能であるため、被害を防げる」と、運用管理系の業務における利点を指摘した。
ちなみに、端末側での本人認証の方法はFIDOの導入企業が自由に選べる。顔や指紋、虹彩認証などを使った生体認証を行うのか、二要素認証を行うのか自社に合った方法を選択し、それに応じて、スマートフォン、各種生体認証デバイス、セキュリティキーといった認証器を利用すればよい。
認証器の紛失によって、生体情報などの重要な情報が流出することを懸念する声もあるだろう。FIDOアライアンスは認証器について第三者機関(認定ラボ)による検証機会を提供し、セキュリティレベルも認定している。レベルは3段階あり、レベル1はソフトウェア的な保護、レベル2はハードウェアによる保護、レベル3はサイドチャネル攻撃にも耐える保護レベルだ。認証器を選択する際の指標になる。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。