絶対に理解できる「FIDO」の話 パスワードの弱点を克服する認証：困ったときのビジネス用語（1/3 ページ）

パスワードを使った認証の仕組みは時代に追随できなくなっています。パスワードを契機として15億件の情報漏えいが発生した事例もありました。そこで、FIDO認証という手法に注目が集まっています。その仕組みとは。

[溝田萌里，キーマンズネット]

　ネットバンキング、ネットショッピング、電子メール……オンラインで使用するサービスでは多くの場合、ログインの際に、IDとパスワードを使った認証を行います。一般的なこの認証方法は使いやすい一方で「パスワードが盗まれる」「ユーザーがパスワードを忘れる」という問題がありました。

　これを解決するために生まれた新たな認証方法がFIDO（Fast IDentity Online、ファイドと読む）です。パスワードに依存せず、代わりに生体情報を使った本人認証と公開鍵暗号方式を組み合わせて「本人であるかどうか」を確認します。どのような仕組みなのか、メリットは何か、FIDO仕様と認定プログラムの策定を行うFIDOアライアンスに伺いました。前編となる本稿では、FIDOの仕組みについて必ず理解できるように紹介します。また、後編では自社にFIDOを活用するという視点から、FIDOのメリットを紹介します。

（資料提供：FIDOアライアンス）

15数億件の情報漏えいも発生　パスワードを使った認証の問題

　現代では、さまざまなオンラインサービスでパスワードの入力が求められ、それぞれを使い分けなければなりません。パスワードを入力するための端末も多岐にわたり、文字列を打つという行為がユーザーの負担になる場面も増えました。

　そこで問題となるのは、覚えやすいパスワードの「使いまわし」です。トレンドマイクロがID/パスワードでのログインが必要なWebサービスの利用者515人を対象に2017年6月22日から23日に行った調査（調査期間：2017年6月22日から23日）では、実に8割の人がパスワードを使いまわしているという結果が出ています（参考）。

　このパスワードの使いまわしを利用したリスト型攻撃という巧妙な攻撃も編み出されています。これは、攻撃者がサービスAから他人のIDとパスワードのリストを盗み出し、そのリストに従ってサービスBやサービスCの同じユーザーであると疑われるIDに対して、さまざまなパスワードを試し、各サービスに不正アクセスをするというもの。

　リスト型攻撃では、例えサービスBやCがパスワードの流出を防ぐ強固なセキュリティ対策を行っていたとしても、他のサービスから盗み出したリストによって簡単に突破されてしまいます。仮にサービスBがインターネットバンキングだとすれば、攻撃者が不正にログインし、お金のやりとりをするというリスクも考えられるのです。FIDOアライアンスによれば、実際にパスワードを契機として15億件の情報が漏えいした事例も発生しています（参考）。

　これを防ぐために、サービスごとに複雑なパスワードを作成するといった対策が考えられますが、前述したようにユーザーの利便性などを考えると推奨される解決法とはいえません。他にも、安全性を高めるため、1分毎に変化するランダムコードを、キータイプのハードウェアやスマートフォンアプリケーションに表示し、認証の際ユーザーに入力させる手法が使われることもあります。しかし、これもユーザーがログインの度にランダムな数字を打ち込まなければいけないという点で負担がかかります。

　従来のパスワードを使った認証では安全性と利便性の両方に課題があり、「パスワードを使った仕組みが時代に追随できなくなっている」とFIDOアライアンスは説明しています。そして今、双方を確保できる新たなオンライン認証としてFIDO認証に注目が集まっているのです。