次世代のオンライン認証を目指す「FIDO(ファイド)」とは?
1.IDとパスワードによる認証の課題点
オンラインサイトで個人ページにログインする際の認証方法といえば、最も一般的なものがIDとパスワードの入力です。現在でも、IDとパスワードの入力だけでサービスを利用したり物を購入したりしている人は多いでしょう。しかし、他ユーザーになりすまし不正ログインをするリスト型攻撃などの増加により、IDとパスワードの入力だけで情報セキュリティの安全性を確保するのには限界がきています。総務省が2013年にまとめた「リスト型アカウントハッキングによる不正ログインへの対応方策について」でも、ID・パスワードの使い回し回避や情報の適切な保存に加え、「二要素認証の採用」などが推奨されています[1]。
2.迅速で安全な認証を目指す「FIDO」の2つのアプローチ
そこで最近普及が進むものの1つが、「FIDO(ファイド)」です。FIDOは“Fast IDentity Online”の頭文字をとったもので、「迅速なオンライン認証」という意味を表します。FIDOを推進するのは「FIDO Alliance」という団体で、IDとパスワードの入力に代わる、または、認証要素を追加することでパスワードを簡略化する、などの方法で情報セキュリティの安全性を向上させる規格を提唱しています。
FIDO Allianceは公式サイトで、FIDOの2つのアプローチを提唱。1つは、パスワードが不要な「UAF(Universal Authentication Framework)」という方法で、規定のデバイスに指紋や角膜、声紋などを登録し認証を行う生体認証の一種です。デバイスと各サイトを連携させ、デバイス側で正しく認証が行われれば公開鍵暗号方式を利用した認証技術によってサイトにログインできる仕組みです。もう1つは「U2F(Universal Second Factor)」という方法で、ID・パスワードの入力に加え、第2の要素を追加認証することで安全性を高める二要素認証の一種です。UAFと同様にこの第2の要素は汎用性が高いことが特徴で、同認証と各サイトを連携することで認証を行います。現在FIDO Allianceでは、持ち運び可能なドングルなどのデバイスの使用を想定しているということです。
情報セキュリティの向上が叫ばれる中、企業にとっては、いかにユーザーエクスペリエンスを損ねず安全性を確保できるかが重要な課題となっています。セキュリティとユーザビリティという、事業者にとって悩ましいトレードオフに対する1つの解として、これからますますFIDOの注目度が上がっていきそうです。
(文/星野みゆき 画像/© James Thew – Fotolia)
参考:
[1] 総務省. (2013). 「リスト型アカウントハッキングによる不正ログインへの対応方策について」http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000063.html
[2] FIDO Alliance. (2014). Approach & Vision
https://fidoalliance.org/approach-vision/
