認証機能は本人を認証するためのものであり、長い間パスワードが使われていましたが、昨今ではパスワードのみの認証では重要な情報が守りきれなくなってきています。そこで登場したものがFIDO認証です。
この記事では、FIDO認証の概要や仕組み、メリット・デメリットと併せて、現状のパスワード認証の問題点に付いて解説します。
この記事の目次
FIDO認証とは?
FIDO(Fast Identity Online)(ファイド)はパスワードを使わない「パスワードレス」を実現する認証技術の開発と標準化を進める国際規格です。FIDO認証=パスワードレス認証と覚えるとよいでしょう。より便利で高セキュリティな認証機能を実現するために用いられます。
【2022年5月最新】Apple/Google/MicrosoftがFIDO標準のサポート拡大
大手企業も参加している非営利の標準化団体である「FIDO Alliance」は、米国時間の5月5日にApple/Google/Microsoftの3社がFIDO標準規格のサポートを拡大することを発表しました。
もともと3社が持つプラットフォームでは、以前からFIDO標準規格をサポートしていましたが、パスワードレス認証を実現するにあたり、事前にWebサイトやアプリにサインインする必要がありました。しかし、今回のサポート拡大により、OSやWebブラウザに依存せず、モバイルデバイスによるFIDO認証を通じてWebサイトやアプリへのサインインを実現できるようになります。
各社のプラットフォームでは2023年を目処に利用可能になる見込みです。このように大手IT企業もFIDO認証のサポートを充実させており、今後の新しい認証として普及すると見られます。
パスワード認証の問題点
現在でもパスワード認証は用いられていますが、さまざまな課題・問題点を抱えています。パスワードは本人のみが知る情報として扱われますが、仮に第三者に知られてしまうと本人でなくとも認証を突破できてしまいます。
また、一人が扱うWebサービスの数は非常に多くなっており、業務用・私用問わず多くのパスワードを管理しなくてはならなくなりました。その際、複雑なパスワードでは覚えきれない、簡単なパスワードを設定してセキュリティ強度が落ちる、などの問題が発生します。
さらに、サーバー側でパスワード情報を保存しておかなければならず、もしもサーバーが攻撃を受けてパスワード情報が漏えいしてしまうと多くの利用者が影響を受けることになります。
認証の3要素として、知識・所有・生体という3つの情報要素がありますが、パスワードは知識情報に該当する項目です。認証機能を利用する上で最も手軽に利用できる要素の一つですが、前述の通りさまざまな課題を抱えています。
そこで近年注目を集めているものが多要素認証です。前述の3要素を複数組み合わせた認証方式であり、強固な本人認証を実現します。FIDO認証は多要素認証を実現するための仕組みの一つであり、パスワード認証が抱える多くの課題や問題点を解決する手段として注目されています。
FIDO認証の仕組み
FIDO認証ではパスワードを利用せず、「公開鍵暗号方式」によって本人認証を実現しています。
公開鍵暗号方式とは
ユーザーだけが持つ「秘密鍵」と誰もが共有できる「公開鍵」を組み合わせた暗号方式です。秘密鍵と公開鍵は一対のペアであり、秘密鍵はユーザーごとに異なります。秘密鍵で暗号化された情報は公開鍵で復号できるようになっており、公開鍵を持つサーバーは特定のユーザーから送られた情報であることを認証できます。
例えば、ユーザーAの公開鍵をサーバーA・サーバーBが保管している場合、ユーザーAの秘密鍵で暗号化された情報はサーバーA・サーバーBで復号化でき、送信者はユーザーAであると認証可能です。
FIDO認証の流れ
FIDO認証は前述の公開鍵暗号方式を利用して次のような流れで行われます。
- ユーザーがサーバーに対してログイン要求を送信
- サーバーからユーザーに署名を要求
- ユーザーは秘密鍵で署名を暗号化し送信
- サーバーは保管している公開鍵で署名を復号化
- 署名を復号化できることで本人としてログインを許可
ユーザーは秘密鍵で署名を暗号化する際に、指紋認証などを使って認証を行います。パスワードを利用することなくサービスにログインでき、パスワードよりも強固なセキュリティを実現可能です。
ユーザーとサーバーの間で秘密の情報を共有しない
FIDO認証がパスワード認証と比べてセキュリティが強固となる最大の理由は、ユーザーとサーバーの間で秘密の情報を共有しないためです。
パスワードは秘密の情報そのものであり、認証に使用するためにはユーザー・サーバーの両方で情報を共有しておかなければなりません。しかし、FIDO認証における秘密鍵・公開鍵のうち、公開鍵は秘密の情報ではありません。
秘密の情報に該当するものは秘密鍵ですが、これはユーザーのデバイスにのみ保存され、利用するためには指紋認証などが必要になるため安全です。
FIDO認証は安全?不正アクセスは不可能?
パスワード認証に対する不正アクセスの方法としては、ユーザーかサーバーが保有するパスワード情報を盗み出すことで実現できます。ユーザーから聞き出す、ユーザーが残したメモを見る、ユーザーの趣味嗜好・生年月日などから推測する、サーバーを攻撃して盗み出す、などが考えられるでしょう。
対して、FIDO認証に対して不正アクセスをする場合、認証を突破するためには「秘密鍵」と「秘密鍵を利用するための認証情報」の2つが必要になります。秘密鍵はサーバー側には保存されず、ユーザーデバイス内に保存されており、秘密鍵を入手するためにはユーザーデバイスそのものを入手する他ありません。
また、仮にユーザーデバイスを入手しても、秘密鍵を利用するためには指紋認証や顔認証などが必要であり、本人以外に使うことはできないようになっています。
このことからFIDO認証は不正アクセスに対して効果的です。絶対に不正アクセスされない、とは言い切れませんが、非常に高い耐性を持っていることがわかるでしょう。
FIDO認証を利用するメリット・デメリット
FIDO認証は多くのメリットをもたらす反面、利用する際にはデメリットとなり得る注意点もあります。
FIDO認証を利用するメリット
FIDO認証を利用するメリットは、「セキュリティの強化」と「利便性の向上」です。
FIDO認証の仕組みでもお話しした通り、パスワード認証に比べて不正アクセスに対して非常に高い耐性を持っており、安全な認証方式として利用できます。秘密の情報をユーザーとサーバー間で共有しないため、サーバー管理者側もサイバー攻撃によってユーザーの秘密情報を漏洩する心配がなく、リスクを低減できます。
また、ユーザーはパスワードを覚えておく必要がなく、デバイスや生体情報を使った簡単な認証でログインできるようになるため、利便性が向上します。多くのWebサービスを利用する昨今において、パスワードを入力する手間がなくなる点が大きなメリットの一つといえるでしょう。
FIDO認証を利用するデメリット
FIDO認証を利用する際に覚えておきたい注意点として、次の2点が挙げられます。
- 専用デバイスが必要
- 最新のFIDOに対応したWebサービスが少ない
FIDOには「FIDO UAF」「FIDO U2F」「FIDO2」の3つの種類が存在します。このうち、UAFとU2Fを利用する際には専用のデバイスが必要です。指紋や顔認証などを実現するためのスマートフォンやセンサーデバイス、セキュリティキーといった専用デバイスを用意する必要があります。
UAF/U2Fのデメリットを解消するものとしてFIDO2が存在しますが、現時点ではまだFIDO2に対応したWebサービスが少ないため、利用できないことが多い点がデメリットとして挙げられるでしょう。
よくある質問
最後に、FIDOに関するよくある質問を簡単にまとめて紹介します。
生体認証とFIDO認証の違いとは?
生体認証は指紋・顔・虹彩・静脈などの生体情報を認証に用いる認証方式です。FIDO認証は生体認証などを用いて実現するパスワードレス認証です。
FIDOとFIDO2の違いは?
一般的にFIDOはFIDO UAF/FIDO U2Fを表します。これらはFIDO1.0として認証に専用のデバイスが必要です。対して、FIDO2はWeb認証とCTAP2を用いて専用のデバイスを必要としない認証プロトコルとして開発されています。
FIDO U2Fの場合、認証要素としてパスワードを利用することがあるため完全なパスワードレス認証とはいえません。しかし、FIDO2はFIDO1.0をより使いやすいものに改良したものであり、完全なパスワードレスを目的としています。
今後FIDO2が普及することで、FIDO=FIDO2となることが予想されます。
FIDO認証を利用するには?
利用するためにはFIDOに対応したサービス・システムと認証器が必要です。認証器は指紋・顔などの生体情報を読み取るスマートフォンやセンサーデバイス、トークンを保存するセキュリティキーを表します。
まとめ
FIDOは、パスワードを使わない「パスワードレス」を実現する認証技術の開発と標準化を進める国際規格です。従来のパスワード認証に比べて、高セキュリティで利便性の高い認証を実現できます。
不正アクセスに対して高い耐性を持ち、個人が利用するWebサービスの量が増える昨今では、より便利に使える認証方式として普及が進んでいます。
今後、パスワード認証に変わる認証の標準方式として普及すると考えられるため、この記事を参考にFIDOの概要だけでも知っておくとよいでしょう。