ID・パスワードではもう守れない
オンライン本人認証がパスワードレスになる世界とは?
日経 xTECH Active タイアップ記事
従来の本人認証には危険が多い
ECサイトやSNS、オンラインバンキングなど、インターネットでの各種サービスの利用と切っても切り離せないのが、本人認証だ。
現在はIDとパスワードを用いた本人認証が主流だが、この認証方法には危険性も伴う。IDとパスワードは文字列なので第三者に盗まれやすいのだ。また、ユーザーが複数のサービスでIDとパスワードを使い回している場合、どこか1つのサービスがサイバー攻撃を受けてそれらが流出すると、被害は幾重にも及ぶ。サービス提供側がIDとパスワードを保持しておくサーバーが堅牢であっても、正規のサービスを装ってIDとパスワードの入力を促すフィッシング、通信の過程でそれらを盗み取ろうとするマンインザミドル(中間者攻撃)など、新たな脅威も増加している。
今、IDとパスワードに置き換わるものとして、より安全でかつ使いやすい、オンラインでの本人認証を実現する国際認証規格「FIDO(ファイド)」に注目が集まっている。富士通 ソーシャルデザイン事業本部 生体認証事業部 第一ソリューション部 部長の揚田昌人氏に、その概要とFIDOに準拠したサービスの実態を聞いた。
富士通 ソーシャルデザイン事業本部 生体認証事業部 第一ソリューション部 部長 揚田昌人氏
秘密を共有しないから安全
そもそも、現在のオンラインでの本人認証の問題はどこにあるのか。
「現在、様々なサービスがIDとパスワードでの本人認証を行っていますが、それが盗まれて悪用されるケースも増えています」と揚田氏は語る。
パスワードの使い回しは良くないとされるが、数が増えれば管理はそれだけ難しくなる。短いものや単純なものは想像しやすく総当たりされやすいので、長くしたり複雑にしたりするが、そうすると利用者は覚えられなくなってしまい、結局メモをすることにもなる。
「そのメモを盗まれてしまうというケースもあります。ですから、IDとパスワードだけに頼らず、SMSで本人所有の電話番号にメッセージを送る、二段階認証を採用するサービスも増えていますが、しかし、そのメッセージが盗まれることもあります」(揚田氏)
パスワードのいらない世界をめざす国際認証規格「FIDO」はそうした課題を解決する。
図1 従来のID・パスワードによる本人認証には、利用者・サービス事業者の双方にとって課題点・問題点が多い。パスワードの要らない世界を実現するための新標準規格として、FIDOは誕生した
「これは単に、IDとパスワードをやめましょうというものではありません。犯罪に対してのセキュリティという面でもFIDOの導入は有効なのです」(揚田氏)
なぜ、FIDOはセキュリティが強固なのか。揚田氏はその理由を「秘密を共有しないからです」と説明する。
例えば、特定のECサイトにログインする場合、ユーザーはIDとパスワードを入力し、ECサイト側にその情報を渡す。するとECサイト側は、その入力されたIDとパスワードが登録済みのIDとパスワードと合致するかを確認し、合致すればログインを許可する。つまり、ECサイト側は、個々のユーザーのパスワードという“秘密”を知っていることになる。
しかし、FIDOの場合は、ECサイト側がそういった秘密を知る必要はない。
「本人かどうかの確認は、ユーザーの使っているスマートフォンやパソコンといった端末側で行います。そしてその端末がECサイト側に、本人だと確認できたと証明するという仕組みになっています」(揚田氏)
つまり、FIDOでは秘密は端末の外には出ないのだ。端末からは、本人だとその端末で証明されたという情報=認証結果だけが送出されるので、仮に通信経路でその情報を盗まれたとしても、その情報をもとに第三者が別の端末からログインすることはできない。
図2 端末とサーバーで秘密を共有しないFIDO認証のモデル。利用者がスマートフォンやパソコンなどの端末=認証器(Authenticator)に適切な秘密鍵を保有し、それを検証することによって認証を実現しており、認証器側の簡単な操作だけで動的な多要素認証を達成する
「ですから、FIDOは課題となっているフィッシングなどの犯罪に対しても有効だと言えます。また、FIDOには今ほとんどの人が持っているスマートフォンで、Androidなら7.0以降、iOSなら14以降から対応しているので、ユーザー側が新たにデバイスなどを持つ必要はありません。あらゆる人がFIDOを使える環境がすでに整っていると言えます。また、身近な例を挙げるなら、ヤフーのサービスやドコモのdアカウント、LINEの一部の認証ですでにFIDOが使われています」(揚田氏)
FIDO認証はそのレスポンスも特長の一つだ。認証は端末内で完了し、その結果だけがオンラインで確認されるため、FIDO認証による待ち時間の増加はほぼ感じられないという。二段階認証の場合、フォームに入力し、SMSの到着を待ち、送られてきたコードを入力しといった手間がかかるが、ユーザーはそうした操作をする必要もない。FIDOはFast IDentity Onlineの略。FIDOのFは早さを意味する。
生体認証がFIDOをより使いやすくする
FIDOでは端末で本人を認証する。そこでパスワードに代わって期待されるのが生体認証だ。
「そもそも、本人認証には3つの要素の方法があります。まずは所持。何かを持っていることが本人であることの証拠になるケース。例えば、運転免許証やマイナンバーカードを持っている人を本人と認めるというものです。それから、記憶での認証。この代表がパスワードです。ただ、所持と記憶はなくしてしまう可能性があります。しかし、第3の要素である生体認証は自分自身そのものなので、なくさないし盗まれないという優位性があります」(揚田氏)
富士通は生体認証のこうしたメリットを生かし、かつFIDOに準拠した「オンライン生体認証サービス」を提供中だ。生体認証の方式は、指紋認証、顔認証、瞳の虹彩認証、そして、手のひら静脈認証と多岐にわたる。
「認証方式は、用途によって選べます。指紋認証はすでに多くのスマートフォンにその機能が搭載されているので導入しやすいですが、指先が濡れていたり乾燥していたりする場合の課題があります。顔認証はマスクをしているときの認証率の問題や、ユーザーが顔の撮影を快く思わない可能性もあるので、使われるシーンにあわせて、様々なご提案ができると思います」(揚田氏)
国内にはFIDOアライアンスに加盟している企業が50社以上あり、富士通はそのうちの1社だ。その中での富士通のアドバンテージとして、揚田氏は「すでに色々なサービスを提供中であること、認証の端末となるスマートフォンやパソコンでの実績もあり、実際の導入とその後の運用まで安心してお任せいただけるところです」と話す。
ニューノーマルに不可欠な本人認証サービス
富士通が提供する「オンライン生体認証サービス」は、金融や保険業界を皮切りに、エンタープライズの分野でもすでに使われている。さらに、今後は流通・サービスの分野への提供を検討している。
「主な事例として、生命保険会社の契約者向けサービスや、銀行のモバイルバンキングで、生体認証と組み合わせて弊社のFIDOの仕組みを使っていただいています。今後は、IDとパスワードを管理しているあらゆる企業の方にお使いいただけるよう、下支えをしていきたいと考えています」(揚田氏)
社会情勢の変化も、より高いセキュリティを求めている。
「私自身もそうですが、この1年ほどで、オンラインサービスの利用機会が急増しました。しかし現状では、それは犯罪に遭遇する可能性が高くなっていることを意味します。こうした時期だからこそ、お客様の情報、そして資産を守るために『オンライン生体認証サービス』の導入をご検討いただければと思います」(揚田氏)
生体認証とFIDOを組み合わせた富士通の「オンライン生体認証サービス」は、ユーザーの使い勝手を向上させながらセキュリティも高める、これからの時代に欠かせない認証サービスだ。
図3 富士通が提供する「オンライン生体認証サービス」のサービス提供範囲
