FIDO認証とは? パスワードレスを実現する仕組みとメリットなど
社内システムをはじめとするITシステムを業務で利用することが当たり前となり、近年では外部のクラウドサービスも同時に業務利用する機会が増えています。そんななかで、従来どおりのID/パスワードのみによる認証は、セキュリティ・利便性の両方の面で、変更することが望ましいと言えるでしょう。
パスワードに頼らない認証を実現するための方法はいくつか存在しますが、そのなかでも注目したいものが「FIDO(ファイド)認証」です。この記事では、FIDO認証の概要から仕組み、メリット・デメリットなどについて解説します。
FIDO認証とは
FIDO(Fast IDentity Online:ファイド)とは、「FIDOアライアンス」によって規格の策定、普及、推進されている従来のパスワード認証に代わる認証技術です。2012年にFIDO1.0の仕様がリリースされ、2018年にFIDO2がリリースされて今日に至ります。
FIDO認証は、パスワードを利用しない「パスワードレス認証」を実現するための技術として開発されました。2022年5月には世界有数の大手IT企業3社がFIDO新機能のサポートを進めるとして注目されるようになりました。FIDO認証は従来のパスワード認証が持つさまざまな問題点を解決するとともに、ユーザーの利便性を向上させるものとして導入が進められています。
FIDOアライアンスとは?
FIDOアライアンスとは、オンライン認証に変革をもたらすことを目的として2012年に発足した業界団体です。パスワードを利用しない生体認証などを利用した新しい認証技術の標準化を目指しており、世界有数のIT企業が会員として加盟しています。
パスワードの問題点
パスワードはセキュリティ・利便性の両面で問題を抱えています。その一例としては、次のようなものが挙げられます。
・第三者に知られてしまう可能性
・第三者に盗用されてしまう可能性
・使いまわしや脆弱な値を設定することで類推されてしまう
・利用するシステムが増えるほど管理が大変である
など
パスワードは本人を識別するための情報として手軽に利用できますが、第三者に知られてしまう・盗まれてしまう可能性があります。また、利用するシステムが増えるたびにパスワードを設定しなければならないため、管理すべきパスワードの数が膨大になり、管理できなくなってしまうことも考えられます。実際に、覚えられないためパスワードを使いまわしたり、脆弱なパスワードを設定したりすることで、セキュリティ事故に繋がるケースも少なくありません。
従来の認証とFIDO認証
FIDO認証の特長として、「ユーザーとサーバーで機密情報を共有しない」という点が挙げられます。従来の認証方法の概要と併せて、FIDO認証との違いを簡単に見ていきましょう。
従来の認証方法
従来の認証方法では、ユーザー登録する際にパスワードなどの機密情報をサーバー側にも保存し、ユーザーとサーバーで機密情報を共有します。例えば、パスワードを使った認証では、ユーザーが入力したパスワードとサーバー側で保持するパスワードが一致するか、という観点でチェックし、一致すれば認証成功となります。
FIDO認証の場合
対して、FIDO認証では前述のとおり機密情報を共有しません。FIDO認証は「公開鍵暗号方式」を用いることで、ユーザー・サーバー間でやり取りされる情報のなかに機密情報を含みません。機密情報(秘密鍵)はユーザーのデバイス側にのみ存在しており、従来の認証方法と比べて強固なセキュリティを実現しています。より詳しい仕組みについては、後ほど解説します。
FIDO認証の種類
FIDO認証はさまざまなケースに合わせて利用できるように、3つの仕様が提供されています。
FIDO UAF
FIDO UAF(Universal Authentication Framework)は、生体認証によるパスワードレス認証を実装するための認証プロトコルです。認証要求に対して、FIDO UAF対応のデバイスを用いて指紋や顔などの生体情報を読み取り、認証します。
FIDO U2F
FIDO U2F(Universal 2nd Factor)は、強固な二要素認証を実現するための認証プロトコルです。オンラインサービスの認証要求に対して、ユーザーはID/パスワードを入力した後に、セキュリティキーなどを使って2段階の認証を行います。
上記のFIDO UAFおよびU2Fの2種が「FIDO1.0」と定義されており、認証を実現するためには専用のソフトウェアやハードウェアが必要となります。
FIDO2
FIDO2は、FIDO1.0を拡張した認証プロトコルであり、FIDO1.0のように専用のソフトウェア/ハードウェアは必要ありません。FIDO UAF/U2Fを統合した最新のプロトコルであり、利用中のデバイス(スマートフォンなど)を使って生体認証などを実現することでパスワードレスを実現します。主にWebでの認証に利用され、すでに主要なブラウザでサポートされています。
より詳しくFIDO2について知りたい方は、こちらの記事も併せてご覧ください。
→「FIDO2とは? 特徴やパスワードレス認証の仕組みについて解説」
パスワードレスを実現するFIDO認証の仕組み
FIDO認証によってパスワードレスを実現する仕組みについて知るには、まず公開鍵暗号方式について理解する必要があります。公開鍵暗号方式の概要と併せて、FIDO認証の流れを見ていきましょう。
FIDO認証で使用される公開鍵暗号とは
公開鍵暗号方式とは、誰もが入手可能な「公開鍵」と特定の人物(デバイス)しか持っていない「秘密鍵」を組み合わせた暗号化の方法です。この2つはペアになっており、一方で暗号化し、もう一方で復号することができます。たとえば、公開鍵を使って暗号化したデータを送信する場合、それを復号し読み取れるのは、対となる秘密鍵を持っている特定の人物(デバイス)のみです。公開鍵で暗号化したデータを同じ公開鍵で復号することはできないため、第三者や、公開鍵を持っている他のユーザーでは読み取ることができません。
この技術は、電子署名などでも用いられています。基本的には『公開鍵で暗号化』し、『秘密鍵で復号』することの多い技術ですが、著名な公開鍵署名のひとつであるRSA署名などでは、署名者は自分の『秘密鍵で署名対象のデータを暗号化』し、ユーザーは『公開鍵を使って復号』し署名者を検証します。
FIDO認証でも、これらの技術を活用して本人認証を実現することができます。
FIDO認証のフロー
FIDO認証の基本的な流れは次のとおりです。
- ユーザーがサービスにログイン要求
- サービス側はユーザーに署名を要求
- ユーザーは秘密鍵で署名を暗号化して返信
- サービス側はユーザーの公開鍵で署名を復号
- 復号できることで本人と判別できる
FIDO認証では、ユーザーの秘密鍵はスマートフォンなどの認証デバイスに保存されており、秘密鍵を利用する際には指紋認証などを行うため、第三者が勝手に利用することはできません。また、サービス側で保管する公開鍵は誰もが入手可能なものであるため、パスワードと違って仮に第三者に知られてしまっても、セキュリティ面での影響はほとんどないといえます。
FIDO認証のメリット
FIDO認証を利用する主なメリットは「セキュリティ強化」と「ユーザーの利便性向上」の2点です。
セキュリティ強化
従来のパスワード認証では、パスワードが知られてしまうと誰でもなりすましが可能です。重要な情報をユーザー側、サービス(サーバー)側で保管する必要があり、どちらか一方で情報が漏れてしまうと、不正アクセス・なりすましの被害に遭う可能性がありました。
一方で、FIDO認証では生体情報やデバイスの所持情報などによるパスワードレス認証・多要素認証を実現でき、パスワードが持つさまざまなデメリットを解消してセキュリティを強化することが可能です。
ユーザーの利便性向上
パスワードを使い回すと、仮に知られてしまった場合に被害が拡大してしまうため、サービス、システムごとに変更することが望ましいとされています。しかし、一人で多数のサービス、システムを利用する昨今では、パスワードの管理が難しくなり、ログインする際に都度入力しなければならないことから利便性が損なわれていました。
FIDO認証ではパスワードレスが実現できるため、多数のパスワードを記憶しておく必要がありません。また、利用中のデバイスに備わっている指紋認証などをそのまま利用できるため、ログインの際の煩わしさが解消します。パスワードレスの実現はセキュリティの強化だけでなく、ユーザーの利便性を向上させるためにも大きく役立ちます。
FIDO認証のデメリット
メリットがある一方で、利用する際にはデメリットについても理解しておく必要があります。FIDO認証におけるデメリットとしては、次の2点が挙げられます。
認証デバイスが必要
生体認証やデバイス認証を実現するためには、 Authenticator と呼ばれる認証デバイスが必要です。FIDO認証を実現するために別途用意しなければならないとなれば、デメリットといえるでしょう。
しかし、いまやほとんどのユーザーがスマートフォンを所有しており、FIDO認証ではお手持ちのスマートフォンの指紋認証や顔認証を活用できる場合が多いです。パソコンにおいては、指紋読取り用の装置を外付けしたり、内臓のカメラを使って顔認証をしたりすることで対応できます。
対応しているサービスが限られる
FIDO2が2018年に登場して以来、対応しているWebサービスは増えつつありますが、まだ限定的です。どのサービスでも利用できるわけではない、という点はデメリットといえるでしょう。
しかし、前述のとおり世界有数の大手IT企業3社がFIDO新機能のサポートを進めており、2023年中に各社のプラットフォームで利用できる予定です。
このように、FIDO認証にはいくつかのデメリットが存在しますが、解消に向けて積極的な取り組みが進められています。
まとめ
FIDO認証はパスワードレスを実現するための認証技術であり、パスワードがもつさまざまな問題点を解決できる新しい認証方法として注目されています。パスワードレスが実現すれば、セキュリティの強化だけでなくユーザーの利便性向上も期待できるでしょう。
一方で、FIDO認証を利用するためには認証デバイスが必要であったり、対応しているサービスが限られていたりと、いくつかのデメリットも存在します。しかし、これらのデメリットの解消に向けて積極的な取り組みも進められています。
FIDO認証は、ユーザーのオンライン認証をより安全で便利にするために有効な技術です。パスワードレス環境の実現に向けて、FIDO認証の導入を検討してみてはいかがでしょうか。
Pickup ピックアップ
-
インタビュー
「切れない」VPNに認証の側面から安心をプラス|Absolute Secure Access ✕ Soliton OneGat...
-
イベント報告
【ウェビナー】知っておきたい「医療ガイドライン第6.0版」のポイントと、求められるセキュリティ対策とは?|アクシオ×ソリトンシ...
-
インタビュー
フルマネージドの連携ソリューションで快適かつ安全な無線環境を負荷なく実現|Hypersonix × Soliton OneGa...
-
インタビュー
「まずは認証から」現場の課題に寄り添い、実現可能なゼロトラストセキュリティソリューションを提案|萩原テクノソリューションズ×ソ...
-
インタビュー
新たな脅威への対応まで『任せられる』。「Prisma SASE」で、組織のセキュリティ対策をシンプルに強化|パロアルトネットワ...