パスワードを一切使わずにインターネット世界を想像できますか?アカウントを申し込む際には、顔認証などの先進技術を用いて素早く登録が完了し、パスワード忘れの心配から解放され、ハッカーの手に落ちるリスクやフィッシングサイトの脅威からも遠ざかることができます。これがパスワードレス時代です!
デジタル時代において、従来のパスワードは広く使用されていますが、盗用されたり、忘れたり、複数のプラットフォームで同じものを使用することのリスクが伴います。これにより多くの不便と安全性の問題が生じています。このような背景のもと、FIDO(Fast Identity Online)が登場しました。この記事では、FIDOがどのようなものか、そして情報セキュリティ保護の分野でどのような重要な役割を果たしているのかを深く掘り下げていきます。
FIDO認証とは何か?
FIDOについて理解する前に、FIDOアライアンス(Fast Identity Online Alliance)について知ることが重要です。これは2013年に設立された非営利の組織で、世界中の認証標準を推進し加速することを目的としています。FIDOアライアンスは、Google、Microsoft、Apple、Amazonなどの技術企業やネットワークサービスプロバイダー、デバイスメーカーが参加しており、従来のパスワード依存を減らし、インターネット認証の安全性と利便性を高めることを目指しています。
実際に、FIDO(Fast Identity Online)は製品ではなく、FIDOアライアンスによって定められた一連のインターネット身分認証標準であり、UAF(Universal Authentication Framework)、U2F(Universal 2nd Factor)、そして最新の標準であるFIDO2が含まれます。FIDO2はWebAuthn(Web Authentication)とCTAP(Client to Authenticator Protocol)を包含しています。
FIDO認証がもたらすインターネット身分証明の安全性と利便性の向上
FIDO標準は、公開鍵と秘密鍵を利用した認証や生体認証技術、物理的なセキュリティキーを使用することで、身分証明やパスワードが盗用されたり、偽造されるリスクを減らし、デジタルアイデンティティの安全性を大幅に向上させることを目指しています。
一、公開鍵と秘密鍵による暗号化認証
FIDO認証のフレームワークにおいて、認証の三つの要素があります:FIDOクライアント、FIDOサーバー、そして認証器(Authenticator)。ユーザーの身分情報はハードウェアデバイスに暗号化されて保存され、サーバーは公開鍵のみを保存し、私鑰やパスワードは保存しません。これにより、端末ごとに攻撃を試みるハッカーのリスクが増大し、より安全な認証が可能になります。
二、生体特徴による認証
指紋認証や顔認証、虹膜認証など、ユーザーの生体特徴を利用した認証方法が広く用いられています。これらの方法は、その独自性と複製が困難であるため、盗用や偽造のリスクを大幅に軽減します。2018年にFIDOアライアンスは、生体認証の標準を定め、生体認証の精度と信頼性を担保するために独立した認証ラボでの検証を義務付けています。これにより、生体認証技術の普及と信頼性がさらに向上しました。
FIDO三大認証プロトコル:UAF、U2F、FIDO2
2014年にFIDOアライアンスはFIDO 1.0標準を発表し、Universal Authentication Framework(UAF)とUniversal Second Framework(U2F)が含まれていました。そして2018年にはFIDO2が導入され、W3CやITUなどの国際標準化団体に認められ、パスワードレス認証の概念が国際的に認可され、技術応用を推進する重要な力となりました。次に、これら三つの技術標準を紹介します:
UAF(Universal Authentication Framework)
UAFプロトコルはパスワード不要のアイデンティティ認証の概念を推進しており、ユーザーは生体認証(指紋、顔認証、声認識)、PINコード、パターンロックなどの認証方法を使用して多要素認証を行うことができます。アカウントを登録する際には、アプリケーションサービスにデバイスを登録し、指紋、顔認証、声認識、PINコード入力など、ローカル認証方法を指定します。その後、UAFサービスにログインする際は、パスワードを入力することなく、登録時に設定した認証方法を繰り返すだけで、迅速にアクセスが可能です。
この方式によりパスワードの必要がなくなり、ユーザー体験がより便利で安全になります。すでに多くのネットバンキングをはじめとする金融機関が、アプリのログイン画面にUAF技術を導入しており、セキュリティレベルを向上させています。
U2F(ユニバーサルセカンドファクター)
U2Fプロトコルは、二要素認証(2FA)の一環として物理的なセキュリティキーを使用し、パスワード以外の方法で認証を行うことで、アイデンティティ認証のセキュリティを強化します。
U2Fキーは通常、USB経由でコンピュータに接続され、このUSBがFIDOアーキテクチャの認証器として機能します。物理セキュリティキーの使用は、NFC(近距離無線通信)やBLE(Bluetooth Low Energy)を含む多様な方法で進化しており、FIDO2の登場以降、スマートフォンを物理セキュリティキーとして使用することも可能です。さらに、指紋認証モジュールと組み合わせて、利用者の本人確認をより正確に行えます。現在、Dropbox、Facebook、GitHub、Googleなど、多くのクラウドサービスプロバイダがU2Fを認証手段として採用しています。
U2FとUAFはどちらも認証の安全性を高めることを目的としていますが、それぞれには異なる目標があります。FIDOアライアンスが推進するパスワード不要の主要な訴求点は二つあります:一つは完全にパスワードを排除すること、もう一つはパスワードが現実にすぐには無くならない中で、セキュリティを強化することです。そのため、UAFはパスワードなしでログインできる方法を提供し、U2Fは二要素認証を採用して物理デバイスを追加することでセキュリティを大幅に向上させ、フィッシング攻撃やデータ漏洩のリスクを効果的に防ぎます。
FIDO2
FIDO2は最新の認証プロトコルで、WebAuthn(Web Authentication)とCTAP(Client to Authenticator Protocol)という2つの核心技術標準を組み合わせています。これにより、すべてのWebアプリケーションが統一された標準に従い、開発が簡素化されます。ブラウザとWebアプリを通じてアプリケーションの範囲が拡大し、パスワード不要のログイン推進の影響力がさらに強まります。
WebAuthnは標準化されたWeb APIを定義し、ウェブアプリケーション内で直接パスワード不要または二要素認証を行うことを可能にします。現在、Google Chrome、Microsoft Edge、Mozilla Firefox、およびApple SafariがFIDO2の認証仕様をサポートしています。
CTAPは、外部の認証デバイス(スマートフォンやその他のセキュリティキーなど)をWebAuthnページと連携させ、デスクトップアプリケーションやWebサービスの認証器として機能させます。このプロトコルはCTAP1とCTAP2に分かれています。
- CTAP1は基本的にU2Fプロトコルを拡張したもので、物理的なセキュリティキーをUSB、NFC、Bluetoothなどの接続方法でユーザー端末と連携させ、二要素認証を実現します。
- CTAP2はCTAPプロトコルの進化版で、生体認証、PINコード、認証器など、より多様な認証方法をサポートし、より柔軟な認証メカニズムを提供します。これにより、第一要素および第二要素としての認証を行い、パスワード不要の認証や強化された二要素認証を実現します。
FIDO2の導入により、パスワード不要の認証がさらに普及し、便利になりました。さまざまなブラウザやWebサービスプラットフォームをサポートし、ユーザーは多様な方法で認証を行うことができます。現代人が常に持ち歩くスマートフォンを活用することで、非常に便利かつ安全な物理的認証器として機能し、パスワード不要または二要素認証の普及を促進し、全体的なネットワークのセキュリティを強化します。
FIDO 認証技術の産業への応用
FIDO(Fast Identity Online)認証技術は、金融、電子商取引、政府部門を含む多くの産業分野で広く利用されています。デジタルセキュリティの需要が増すにつれて、このFIDO技術の重要性と実用性がますます際立っています。
- 銀行口座:近年、多くの金融機関が「ファイナンシャルFIDO」を導入しています。ユーザーは物理的なチップ付き銀行カードをモバイルデバイスにリンクし、指紋や顔認証などの生体認証で登録します。その後、金融サービスにログインする際には、スマートフォンを使って生体認証を行うだけで、ユーザー名やパスワードを再設定または入力する必要がなくなります。これにより、パスワードを忘れる心配や漏洩のリスクがなくなります。
- オンライン取引:オンラインショッピングが盛んになる一方で、クレジットカードの不正利用が後を絶ちません。通常、オンラインでのカード決済には一回限りのOTP(ワンタイムパスワード)が必要です。しかし、パスワードが送信中に詐欺グループに傍受されたり、フィッシングサイトに誤って入力されたりすると、不正利用が発生することがあります。特に海外にいる場合、OTPを受け取ることができず、オンライン取引が完了しないことがしばしばあります。FIDO認証を使用すると、事前に登録したデバイスのアプリで生体認証を行い、認証が通ればすぐに取引が完了します。これにより、海外でのオンラインカード決済も安全で迅速なショッピング体験が可能になります。
- 政府部門:従来、税金の支払いや行政手数料の支払いには、書類を持って直接支払場所に行く必要がありました。しかし、デジタル変革が進む中で、政府がFIDOをオンラインサービスプラットフォームに導入することで、市民は初めに登録とデバイスのリンク、生体認証と身元確認を一度だけ完了させれば、その後は指紋や顔認証を使用して迅速に各種政府サービスの手続きが可能になります。これにより、カードリーダーやユーザー名とパスワードの入力などの面倒な手順を省くことができ、安全性とプライバシーを保ちながら、政府サービスのアクセシビリティと効率が大幅に向上します。
Authmeについて
AuthmeはFIDO(Fast Identity Online)連盟の一員として、Google、Microsoft、Amazonなどの業界の巨人と共に、台湾代表としてFIDO連盟のIdentity Verification and Binding Working Group (IDWG)に参加しています。このグループでは、さまざまな身分認証の問題について討議し、最終的な議論結果に基づいて標準を策定し、各企業が具体的な実装を行っています。
Authmeは設立以来、安全で便利、効率的なAIによる身分認証ソリューションを提供しています。さらに、FIDO認証フレームワークに準拠したアンチフィッシングMFA、パスワードレスログインソリューションを提供し、ISO-30107認証を受けたパッシブ生体検出技術を組み合わせて、複数のデバイスに対応し、ユーザー体験を向上させ、セキュリティを強化し、スムーズでシームレスなログイン体験を実現しています。これにより、パスワードレスの未来を推進し、より安全なオンライン環境とデジタルアイデンティティエコシステムの構築を目指しています。
