Introduction
従来のIDとパスワードによる認証だと、パスワードが盗まれてしまった場合、簡単に不正アクセスを許してしまうことがあります。セキュリティレベルの向上を求めるなら、認証方式を見直す必要があるでしょう。
そこで、近年採用されはじめているのが、パスワードを使わないFIDO認証です。従来のパスワード認証などと比べると、安全性が高いといわれています。セキュリティレベルの向上とユーザーの利便性の向上を同時に実現できる、優れた認証方式といえるでしょう。
この記事では、FIDO認証について、セキュリティレベルの高さ、メリットやデメリット、種類、導入方法などを解説します。
目次
FIDO認証とは?
FIDO認証では、従来の認証方式と異なり、パスワードを必要としません。「ファイド認証」と呼ばれ、FIDOは「Fast Identity Online」の略です。
ここでは、どのような認証方式なのか、利用シーンや必要とされはじめている背景についてご説明します。
パスワードを必要としない新しい認証方式のひとつ
FIDO認証は、パスワードを入力しなくても認証行為ができる新しい認証方式です。厚生労働省の『次世代認証技術「FIDO」』によると、以下のように定義されています。
FIDO認証
FIDO認証は、公開鍵暗号方式を用いた認証方式の一種である。認証に必要な秘密情報は認証を行う端末側のみに保存され、ネットワーク上での伝送やサーバー側での保存の必要がないことを特徴とする。
ログイン認証などを行う際には、IDとパスワードの組を入力することで、認証が行われるのが一般的な方法です。しかし、簡単なパスワードの場合、第三者に推測されやすい、のぞき見されることで盗まれるなどのリスクがあります。パスワードだけでシステムや資産の安全を守ることは、むずかしいといえるでしょう。
そこで、FIDO認証を活用すれば、パスワードを使わずに本人認証ができ、セキュリティレベルの向上につながります。具体的には、次のような仕組みです。
ユーザーがもつデバイス側で、生体認証などにより本人認証を行い、秘密鍵を使って署名つき認証結果をサーバー側に送ります。サーバー側は、公開鍵で署名を検証し、認証が行われます。
このような仕組みで認証を行うため、サーバー側とデバイス側でパスワードを共有する必要がありません。
FIDO認証の利用シーン
FIDO認証は、すでに次のようなシーンで利用されています。
・店舗での決済サービス利用時
・ECサイトやインターネットバンキングなどへのログイン認証時
・社内システムなどのログイン認証時
このように、多くの場面でFIDO認証が使われていることがわかります。
FIDO認証が広まっている背景
FIDO認証が広まっている背景には、従来の認証方式だけではセキュリティ対策が十分でないことがあげられます。ここでは、従来の認証方式の問題点について、簡単にご説明します。
・パスワード認証
IDとパスワードの組で本人認証を行う方式は、パスワードが漏れると簡単に不正アクセスされてしまうリスクがあります。画面ののぞき込み、フィッシング詐欺、ハッキングなどにより、認証情報が盗まれる可能性が高いです。
・ワンタイムパスワード
自動的に生成され、一定時間ごとに変化するワンタイムパスワードを、セキュリティトークンやスマホのSMS、アプリなどで配布する仕組みです。パスワード認証方式に比べると、パスワードを盗まれるリスクは低いでしょう。しかし、トークンやスマホを盗まれる可能性もあります。
・生体認証
顔、指紋、静脈、網膜、光彩など身体の一部を使って、認証を行う方式です。安全性が高い方法ではあるものの、写真に写る顔や指紋などから、データを盗まれる可能性もあるでしょう。
このように、それぞれの方式にリスクがあり、より安全な認証方式としてFIDO認証が広まっています。
現在、非営利団体のFIDOアライアンスが、FIDO認証技術を標準仕様として公開を行っています。FIDOアライアンスには、多くの企業がメンバーとして参画しており、その数は250社以上 です。多くの場面で活用されるようになっており、今後も普及していくでしょう。
FIDO認証の安全性が高い理由
FIDO認証の安全性が高いといわれるのは、サーバー側とユーザー側で秘密の情報を共有しないためです。その仕組みから、安全性が高いといわれる理由についてご説明します。
パスワード認証方式の場合、サーバー側とユーザー側がIDとパスワードという秘密の情報を共有しているからこそ、そのユーザーが本人であることを証明できます。ところが、FIDO認証の場合、両者が秘密の情報を共有しないため、高い安全性が確保されているのです。
それはどういうことなのか、認証の流れや鍵の仕組みからご説明します。
FIDO認証が行われる流れは、以下のとおりです。
1.ユーザー→サーバー:ログイン要求
2.サーバー→ユーザー:署名要求
3.ユーザー→サーバー:生体認証などを実施してデバイスにアクセスし、「秘密鍵」を用いて署名を暗号化して送信
4.サーバー→ユーザー:「公開鍵」を用いて署名を復号化し、認証
それぞれの鍵は、以下のようにそれぞれ保管されています。
鍵の保管場所 | 鍵の役割 | 鍵の種類 |
ユーザー側のデバイス内 | 署名を暗号化する | 秘密鍵 |
サーバー側 | 署名を復号化する | 公開鍵 |
上記の流れの3でユーザーから送られてきた署名を、4でサーバーが保管している公開鍵で復号化して認証を行います。ユーザー側の秘密鍵とサーバー側の公開鍵は、ペアになっています。サーバー側の公開鍵で復号化できたのは、署名がペアになっている秘密鍵で暗号化したことを示しているのです。
このような仕組みにより、両者が同じ秘密情報をもたなくても認証できます。上記の仕組みから、以下のように重要な情報が何重にも守られているため、安全性が高いといえます。
・ユーザー側の署名を行うためには秘密鍵が必要だが、デバイスを所持していないと署名できない
・ユーザー側のデバイスが盗まれても、操作するためには生体認証などが必要
・サーバー側には署名と公開鍵しか保管されていないので、ユーザー側の秘密鍵がないと情報を盗めない
・サーバー側の公開鍵が盗まれても、署名を行えないため何もできない
・ユーザー側のデバイスには、秘密鍵を盗めない仕組みが搭載されている
・フィッシングサイトで情報を盗み出そうとしても、盗めるのは署名のみで、秘密鍵は盗めない
このように、秘密鍵の流出や通信の盗聴など、さまざまなセキュリティの脅威から守られている認証方式であることがわかります。そのため、従来の認証方式よりも、安全性が高いといえるでしょう。
FIDO認証のメリット
FIDO認証は、安全性の高い認証方式です。具体的なメリットとは、どのようなものかについてご説明します。
ユーザーや管理者の利便性が向上する
パスワードがないことは、ユーザーやシステム管理者にとって大きなメリットがあります。
ユーザー側のもっとも大きなメリットは、パスワードが不要であることです。パスワードを利用する認証方式の場合、サービスやシステムごとにパスワードを考え、覚えておかなければなりません。パスワードを忘れた場合、再発行をする必要もあります。しかし、パスワードがなければ、そのような手間が一切不要です。
システム管理者としても、各ユーザーのパスワードを管理する必要がなくなります。ユーザーから、パスワードの再発行を依頼されることもありません。
このように、ユーザーとシステム管理者の双方にとって、利便性が向上するというメリットがあることがわかります。
セキュリティレベルが向上する
FIDO認証は、パスワード認証方式のように秘密情報を盗まれたとしても、不正アクセスなどの被害にあう可能性が低い認証方式です。ユーザー側のデバイスにアクセスする際は生体認証を行う、秘密情報をサーバー側とユーザー側で共有しないなど、何重にもセキュリティ対策が施されています。そのため、セキュリティレベルが大きく向上するというメリットがあります。
さまざまなデバイスで利用できる
ユーザー側が認証を行うデバイスとしては、USBタイプ、Bluetooth対応機、近距離無線通信のNFC対応機など、さまざまタイプを選択できます。そのため、利用するデバイスの選択肢が広く、導入時に対応しやすいでしょう。
コスト削減につながる
パスワードが不要なので、パスワード管理にかかわるコストの削減につながります。システム管理者が、パスワード管理や再発行の運用などを行う必要がなくなり、システムの維持管理コストを抑えることが可能です。
FIDO認証のデメリット
これまでご説明したとおり、FIDO認証には、セキュリティレベルや利便性が向上するというメリットがありました。しかし、その一方でデメリットも存在します。
デバイスを紛失した場合の対処に手間を要する
上記でご説明したFIDO認証の流れを見るとわかるとおり、ユーザー側に認証を行うためのデバイスが必要です。デバイスには秘密鍵が保管されており、認証に必要な署名を送信するためには、デバイスがなければ認証を行えません。そのため、デバイスを紛失してしまった場合、デバイスにかわってユーザーを本人確認できる方法を考えておく必要があります。
パスワード認証方式の場合は、パスワードを紛失しても再発行することで、すぐに利用を再開できます。しかし、FIDO認証の場合、デバイスを紛失すると、再度認証を行うために時間がかかってしまうことが多いでしょう。
専用デバイスを必要とする場合がある
FIDO認証には、さまざまな種類があります。次章でFIDO認証の種類についてご説明しますが、「FIDO UAF」や「FIDO U2F」の場合には、専用のデバイスを用意する必要があります。
認証を行うユーザーに専用デバイスを用意することは、ハードルが高いという場合もあるかもしれません。
FIDO認証の種類
FIDO認証のいくつかの種類について、それぞれの違いや特徴、必要なデバイスなどをご説明します。
FIDO2
2018年に導入された、以下でご説明する「FIDO U2F」と「FIDO UAF」を統合した仕様です。
認証に必要な専用のソフトウェアやハードウェアが必要ないため、「FIDO U2F」や「FIDO UAF」よりも導入しやすいといえるでしょう。Microsoft Edge、Google Chrome、Safari、Firefoxなどのブラウザでサポートされており、使いやすいです。
FIDO U2F (Universal Second Factor)
従来のIDとパスワードによる認証に追加し、二つ目の認証方式として、FIDO認証を使用する二段階認証になっています。デバイスへログインする際にID・パスワード認証を行い、その後にFIDO認証を行う仕組みです。また、FIDOの標準仕様に対応したデバイスが必要です。
FIDO UAF (Universal Authentication Framework)
FIDOの標準仕様に対応したデバイスに、生体認証でログインした後にFIDO認証を行います。FIDOの標準仕様に対応したデバイスが必要ですが、ID・パスワードを入力する必要はありません。
FIDO認証の導入方法
FIDO認証を企業などで導入する際は、どのような手順で行えばよいのでしょうか。ここでは、FIDO認証導入の流れを簡単にご説明します。
1.デバイスや認証システムの準備
iPhoneやAndroid端末など、FIDO標準に対応したデバイスを用意します。従業員分のデバイスを用意する必要があるでしょう。また、FIDO標準に対応したGluegent Gateなどの認証システムも必要です。
2.デバイスや認証システムの設定
1で準備したデバイスや認証システムの初期設定を行います。
3.デバイスを認証システムに登録
デバイスを認証システムに登録することで、FIDO認証機能を利用できるようになります。
まとめ
この記事では、FIDO認証について、セキュリティレベルの高さ、メリットやデメリット、種類、導入方法などを解説しました。
FIDO認証は、従来のパスワード認証などと比べると、安全性が高い認証方式です。セキュリティレベルの向上とユーザーの利便性の向上を同時に実現できる、優れた認証方式といえるでしょう。しかし、ユーザー側が利用するデバイスを紛失すると、使えなくなるなどのデメリットもあるので、注意が必要です。
SHIFTでは、セキュリティソリューション導入支援をトータルサポートしています。お客様の環境にあわせた最適なセキュリティモデルを一気通貫で支援いたします。社内のセキュリティレベルを高めたい、ID管理や認証方式を見直したいなどのお悩みがあれば、ぜひお気軽にご相談ください。
>>セキュリティソリューション導入支援のページへ
>>お問い合わせページへ
>>料金についてページへ
引用元: