FIDO2普及元年、脱パスワードで変わる認証システム：IT導入完全ガイド（1/3 ページ）

パスワードの必要ない世界を実現するといわれる「FIDO」。2018年には、ブラウザでの認証をより便利にする「FIDO2」が発表され、2019年は“脱パスワード”が進むと予想できる。今知るべき、FIDOの各仕様の概要とメリットを解説する。

[土肥正弘，ドキュメント工房]

　2018年にIDとパスワードによる認証システムに代わる新しい認証標準プロトコル「FIDO2」がW3C標準となった。ブラウザ側の対応も進み、2019年はFIDO2普及元年となる。パスワードの必要ない世界を実現するといわれる「FIDO」だが、企業にとってはどのようなメリットがあるのか。FIDOを取り巻く最新情報と、導入の意義をFIDOアライアンスの参画企業にうかがった。

「FIDO」とは何か

　FIDO（Fast IDentity Online、ファイドと読む）は生体情報などを使ったローカル認証と公開鍵暗号方式の署名検証を組み合わせ、シンプルで堅牢な認証を行う、オープンなオンライン認証の標準プロトコルだ（参考記事）。ユーザー端末側に備えたFIDO認証器でユーザー本人であるかの認証を行い、そのアクセスが正当なものかどうかを、認証サーバが端末から送られる署名で検証する。ユーザーとサービス側で「パスワード」や「生体情報」などの秘密の情報を共有しないため、安全で利便性の高い認証方法として注目を集める。

「FIDO」の3つの仕様とその最新事情

　FIDOの仕組みは、2012年に設立したFIDOアライアンスが提供する。アライアンスには、世界で250社を超える企業が集まり、日本からはNTTドコモ、LINE、ヤフーがボードメンバーとして参画している。2016年に発足した日本のワーキンググループには、KDDI、ソフトバンク、富士通、日立製作所、NEC、大日本印刷、レノボ、Nok Nok Labs、Yubicoなど25社が参加し、FIDO普及の土壌が整いつつある状況だ。現在、アライアンスは3つの仕様を策定しており、仕様を満たす製品には、図1のような認定ロゴが付与されている。以下で、3つの仕様の概要とその最新事情を整理する。

図1　FIDO認定を示す3種類のロゴ（出典：FIDOアライアンス）

UAF（Universal Authentication Framework）：パスワードレス認証

　端末に内蔵されたFIDO認証器を通じてパスワードレスに生体認証などを行い、公開鍵暗号方式を組み合わせて認証を完結させる技術仕様。2015年にはNTTドコモが共通ID「dアカウント」としてUAFに対応した生体認証の商用導入を開始し、同社の多くのモバイル端末とiOS端末で生体認証によるパスワードレスな認証を実現してきた。現在は、他社のモバイル端末でも対応を開始している。その他、みずほ銀行、三菱UFJ銀行が提供するネットバンキングアプリのログインや、アフラックの「即時支払いサービス」などでも利用されている。2018年12月にUAFの仕組みはITU（国際電気通信連合）の公式標準となり、認証方法として知名度と信頼性を高めた。

図2　パスワードレス認証のイメージ（UAFおよびFIDO2による認証を行うシーンの例）（出典：FIDOアライアンス）

U2F（Universal 2nd Factor）：2段階認証

　U2Fは、「本人しか知らないパスワード」と「本人しか持たないセキュリティキー」の二要素でユーザー認証を行い、公開鍵暗号方式を組み合わせて認証を完結させる技術仕様。主にPCを使った利用を想定している。セキュリティキーとして、FIDOの仕様に対応したUSBキー、NFCキー、Bluetoothキーなどを利用できる。2017年から、Googleが社内システムにログインする際の方法として採用している。

図3　2段階認証のイメージ（U2Fを利用し、FIDO2によってWeb認証を行うシーンの例）（出典：FIDOアライアンス）

※セキュリティキーはUSBキー、NFCキー、Bluetoothキーなど各種あり、スマートフォンで代替することも可能（専用アプリは必要）。