会員サイト構築の記事
ARTICLEFIDO認証でパスワードレスの世界が実現できる?!【やまざき調べvol.20】
こんにちは!金融カスタマーサクセス部やまざきです。
今年は、テレワークが進んだ影響で今までは紙で行っていた手続きのほとんどをオンラインで行えるようになりました。
しかし!!
仕事で使用するサービスやシステムが増えて、「ログイン」する頻度が一気に増えたように感じます。
たくさんのサービスのIDやパスワードを管理するのが面倒なので、「全部同じ簡単なパスワードにしておこう!」と言いたいところですが、セキュリティ上のリスクからそういうわけにもいきません。
弊社で提供しているスパイラルは、セキュリティの高さが売りの一つです。スパイラルを使ってマイページを作成して下さるユーザー様もたくさんいらっしゃいます。だからこそ、本人認証について聞かれたときにはお答えできるようにしておかないと、とは思うものの、私もそこまで詳しくありません。
そんなことを考えていた矢先、ZOOMで参加していた当社の下期決起会で役員がこんな話をしました。
FIDOがわからなかったのですが、どうやら重要そうなので調べてみました!!
目次
FIDOとは
FIDOとは、「高速なオンラインID認証」を意味する「Fast IDentity Online」の略で、日本では「ファイド」と読まれます。FIDOは、生体認証や二段階認証などを活用し、セキュリティ性と利便性を高めるための国際規格としてFIDOアライアンスという非営利団体が策定したものです。(※参照)
FIDOアライアンスについて
「高速なオンラインID認証」を意味するFIDO(Fast IDentity Online)アライアンス(ww.fidoalliance.org)は、セキュリティと利便性の両立をめざすため、2012年7月に設立されたグローバルな非営利団体です。堅牢な認証に相互運用性が確保されていない状況を改善し、ユーザーが多くのIDとパスワードを覚えなければならないという煩わしさを解消することを目的としています。FIDOアライアンスは、認証におけるパスワード依存を軽減するために、オープンで拡張性と相互運用性のあるシンプルで堅牢な「FIDO認証」を標準化することで、オンラインサービスの本質に変革をもたらします。
「FIDO(ファイド)アライアンス、日本国内での活動を発表 2019年上半期、モメンタムが加速」(2019年7月、FIDOアライアンス 閲覧日:2020年9月7日)より引用
今すぐ解消してほしい!!
このFIDOアライアンスには、AmazonやGoogle、Microsoftなど世界的なIT企業をはじめ、MUFG、DNP、富士通、NEC、NTTなど、日本企業も多く加盟しています。
Andoriod端末の生体認証や、Microsoftの生体認証「WindowsHello」でFIDO認証を使ったことのある方は多いのではないでしょうか。
FIDOアライアンスが結成された背景
「2017 Verizon Data Breach Investigations Report (DBIR) from the Perspective of Exterior Security Perimeter」(2017年7月26日、Verizon Media 閲覧日:2020年9月7日)
本人確認手段として現在最も多く使われているのはパスワード認証です。しかし、パスワード自体が外部に漏れてしまうと、ログインしているのが本人かどうかを判別することは難しくなります。
Verizon Mediaが2017年に実施した調査によると、ハッキングのうちパスワード情報が漏洩した事例が全体の81%を占めているそうです。
一方で、オックスフォード大学が2017年に行った調査によれば、オンラインショッピングをする人の3分の1が、パスワード忘れで購入前に離脱しているそうです。
安全性を保つには難解なパスワードを設定したり、お客様に強度の高いパスワード登録を促す必要がある一方で、覚えにくいパスワードは離脱の原因になってしまいます。そうした課題を解決する生体認証等の国際規格を実現するために「FIDOアライアンス」が結成されたそうです。
「パスワードレス」のFIDO認証はなぜ安全なのか?
FIDOアライアンスのHPを見ていると、「パスワードレス認証」で「情報漏えいのリスクと損害を軽減します」と書いてありますが、仕組みや安全な理由も気になったので調べてみました。
FIDO認証では、サービス側で保持する本人認証情報を「公開鍵」、端末側の生体認証で選ばれる情報を「秘密鍵」と呼びます。
サービスにログインする際、まずは端末上で生体認証を行い「秘密鍵」を選択します。次に、選択した「秘密鍵」を使ってサービス側に署名付きの検証結果を送信します。最後にサービス側が「公開鍵」による検証を行い、初めてログインが成功する仕組みです。
利用者がパスワードを記憶・入力する手間が省けるうえ、生体情報などの秘密鍵情報はログインに使用するPCやスマホのみで保持するため、使いやすさと安全性を両立できます。
端末に認証情報が保持されるので、IDやパスワード情報の漏洩が原因の事故は防ぐことができそうです。
テレワーカーの多くは安全性<生産性?!
2020年8月、トレンドマイクロが世界27か国1万3,200人のテレワーカーを対象に行った聞き取り調査「Head in the Clouds」によると、在宅勤務をしている従業員の85%がIT部門の指示や指導を真剣に受け止めている一方で、66%が企業データを認可のないアプリ上にアップロードしているそうです。
認識しているセキュリティの重要性と実際の行動に乖離があり、「安全性よりも生産性を優先して業務に当たっている」ことがわかります。
「Head in the Clouds」(2020年8月24日、トレンドマイクロ株式会社 閲覧日:2020年9月4日)
トレンドマイクロでは、そうした背景から許可されていない外部サービスの利用、いわゆる「シャドウIT」が発生し、サイバーリスクレベルを上げる原因となることを指摘しています。
日々の業務は、生産性を優先するあまり、つい安全性をないがしろにされがちです。だからこそ、本人認証の負担を減らせるFIDOの需要が高まっているんだろうなと、役員の話に納得ができました。
Webブラウザでも利用可能な「FIDO2」
2018年にリリースされたFIDO2は、ブラウザ上からPCやスマホの本人確認機能をAPIで呼び出し、認証サーバーとやり取りをする規格です。
そのため、FIDO認証に対応した端末を持っていない場合でも、主要なブラウザであれば使用することができます。
FIDO認証を利用するともっと便利にできること
FIDOを使うことで、WebアプリでもIDとパスワードを使った認証作業が不要にし、なおかつ認証情報が外部に漏れる心配がなくなります。
それによりセキュリティ性が高まるため、シングルサインオンでよく使う外部サービスと連携すれば、よりオンライン上での行動をしやすくできそうです!
FIDO認証を使用したアプリ開発や、シングルサインオンの導入など、少しでもご興味がございましたら、ぜひお気軽にご連絡ください!!
※本記事の内容の信頼性、正確性、真実性、妥当性、適法性及び第三者の権利を侵害してないこと等について、当社は一切保証いたしません。また、本記事の利用によって発生したいかなる損害その他トラブルにおいても、当社に一切の責任はないものとさせていただきます。
参考文献
「Head in the Clouds」(2020年8月24日、トレンドマイクロ株式会社 閲覧日:2020年9月4日)
「FIDO(ファイド)アライアンス、日本国内での活動を発表 2019年上半期、モメンタムが加速」(2019年7月、FIDOアライアンス 閲覧日:2020年9月7日)
「FIDO2 ~ パスワードのいらない世界へ」(2019年6月14日、FIDOアライアンス 閲覧日:2020年9月7日)
「2017 Verizon Data Breach Investigations Report (DBIR) from the Perspective of Exterior Security Perimeter」(2017年7月26日、Verizon Media 閲覧日:2020年9月7日)
「2020年度データ漏洩/侵害調査報告書」(2020年、Verizon Media 閲覧日:2020年9月9日)
「Mobile Biometrics in Financial Services: A Five Factor Framework」(2020年、Giulio Lovisotto, Raghav Malik, Ivo Sluganovic,Marc Roeschlin, Paul Trueman, Ivan Martinovic)
「パスワードが要らなくなる? 新認証方式「FIDO」とは」(2018年2月27日、森 英幸 / IT Leaders編集部 閲覧日:2020年9月7日)
「【企業担当者必見】「FIDO2」とは何か?仕組みやメリット、FIDOとの違いについて詳しく解説」(2020年6月30日、GMOグローバルサイン株式会社 閲覧日:2020年9月7日)
