パスワード不要の認証技術「FIDO」とは何か？：IT導入完全ガイド（2/3 ページ）

本人確認手段として長らく用いられてきた「ID/パスワード」に限界が訪れている。では、パスワードに替わる手段とは？　その有力候補として高い注目を集めているのが「FIDO」だ。

[吉村哲樹，オフィスティーワイ]

本人確認のための情報を端末の外に出さず個人情報の漏えいを防ぐ

　FIDOの採用事例の多くが生体認証を用いていることから、「FIDOとは生体認証の仕様を定めたもの」と誤解する人も多いようだ。しかしFIDOは端末側とサービス側との間で行われる認証の手順を定めたものであり、生体認証そのものの技術とは直接的な関係はなく、セキュアハードウェアやワンタイムパスワードトークンなどの二段階認証にも対応する。

　FIDOでは、本人確認の処理は全て端末側で行う。この本人確認の手段は、サービスごとに任意のものが使える。例えば指紋認証であれば、本人の指紋データはデバイス内に保持され、照合処理もデバイス内に閉じたまま行われる。虹彩認証や静脈認証といった他の生体認証や、PINコードなど生体認証以外の認証手段でも同様だ。こうしてデバイス側で行われた認証の結果のみが公開鍵方式によって暗号化され、サービス側とやりとりされる。

図1 FIDOの仕組み

　サーバ側には公開鍵のみが保管される。本人確認のための情報（例えば、IDとパスワード認証におけるパスワードデータ）がネットワークに流れ出ることはなく漏えいの危険性が極めて少ない。またFIDOでは、デバイス内のセキュアな領域に本人確認情報を格納するための手順も定められているほか、万が一デバイスが盗難にあったとしても、そもそも持ち主の生体情報がなければ決して認証は通らず、サービスにアクセスできないため、なりすまし攻撃も効果的にシャットアウトできる。こうした仕組みにより、パスワードの漏えいや類推に起因するセキュリティリスクを排除できるというわけだ。

　しかし、このような認証技術自体は、実はFIDO以前にもあった。公開鍵方式暗号化や生体認証といった個別技術はかなり前から実用化されており、それらを組み合わせた認証ソリューションも少なからず存在していた。しかし、これら従来のソリューションとFIDOとの決定的な違いは、前者がベンダーごとに独自の仕様で作られていたのに対して、FIDOはオープンスタンダードをベースとしている点だ。

　FIDOの仕様策定を行うFIDO Allianceには、現在240社の企業が参画しており、金融業界やIT業界を中心に、世界に名だたる大手グローバル企業がずらりと顔を並べている。ここで検討・策定されるFIDOの仕様は完全公開されると同時に、製品間の相互接続テストを行ってFIDO認定を実施している。そのためネットサービス事業者もユーザーも、特定ベンダーの端末やサービスに縛られることなく、FIDO Allianceが正式に対応製品と認定した端末とサービスであれば安心して便利に利用できる。