会員サイト構築の記事
ARTICLEFIDO認証とは?仕組みやメリット、安全性や利用シーンを解説
FIDO認証とはパスワードを使わない新しい認証方式です。今回はFIDO認証の仕組みと取り入れるメリット、セキュリティ面で安全といえるのかを解説します。従来の認証方法についても書いてありますのでぜひ見てみてくださいね。
目次
FIDO(ファイド)認証とは
FIDO(Fast IDentity Online)認証とは新しい認証方式で、パスワードを利用しない点が最大の特徴です。パスワードのいらない認証方式とはどういうことか、標準規格団体であるFIDOアライアンスとは何かを見ていきましょう。
パスワードのいらない認証方式
「オンラインによる高速なID認証」を意味するFIDO認証は、パスワードを利用しません。昔から認証はパスワードによるものがほとんどで、それが一般的になっています。パスワードは個人が自由に設定できて便利ですが、安易な文字列でパスワードを組んでしまうと推測されたり、のぞき見やフィッシング詐欺などによって盗まれたりする場合があります。セキュリティについて様々なリスクが高まる現在、パスワードだけで安全を守るのは難しいでしょう。FIDO認証はパスワードの脆弱性をカバーできる認証方法の1つです。
FIDOアライアンスにはさまざまな企業が加盟している
FIDOアライアンスはFIDO認証の普及を掲げている非営利団体で、2012年に設立されました。パスワードによる本人認証の煩雑さや認証の標準化を図ることを目的に活動しています。2020年の時点で、FIDOアライアンスには250社以上の加盟企業がいます。半導体ベンターやデバイス製造メーカー、プラットフォームベンターや認証器ベンターから、多くのオンラインプロバイダーなど業種に富んでいます。
従来の認証方法について
FIDO認証の仕組みについて触れる前に、従来の認証方法について知っておきましょう。従来の認証方法には以下のものがあります。
- パスワード認証
- ワンタイムパスワード
- 生体認証
- 多要素認証
順番に見ていきましょう。
パスワード認証
どんなにセキュリティ技術が高度化しても、本人認証の中心となっているのは現代でもパスワードです。どんなに複雑で長い文字列を組んだとしても、パスワードが漏れてしまえば個人情報は丸裸になってしまいます。スマートフォンやPCの覗き見だけでなく、フィッシング詐欺やハッキングなどによってもパスワードが他人に盗まれることもあります。パスワードは手軽に設定できるぶん、脆弱性も高い認証方法です。
ワンタイムパスワード
ワンタイムパスワードとは一定時間ごとに変化し、自動的に新しいパスワードが生成される仕組みです。セキュリティトークンや、スマホのSMSや着信機能を利用してパスワードの配布を受けます。上記の固定されたパスワードと比較して、パスワードを盗まれるリスクが低くなりますが、端末ごと盗まれる可能性もありますので、取り扱いに注意が必要です。
生体認証
生体認証とは自身の身体の一部を鍵として認証する方法です。具体的には指紋、顔、静脈、網膜や光彩などで認証します。偽造されにくく、かんたんに盗まれにくい部分なので安全面は高いですが、写真に写った指から指紋データを盗まれる危険もあるため、注意が必要です。
多要素認証
多要素認証とは上記の方法を2つ以上組み合わせて認証する方法です。たとえばインターネットバンキングでは、IDとパスワードを入力した後、さらにワンタイムパスワードを入力しログインする例があります。いくつかの認証方法を組み合わせることでひとつが突破されても、もう一つの認証を突破しなければならないのでセキュリティ効果は高いですが、利用者が認証が面倒だと感じてサービスを利用してくれなくなる可能性もあるため、スマホアプリを利用するなど利便性も求められます。
また、それぞれの認証方法に必ずデメリットがあるので、完璧な認証方法とはいえません。
FIDO認証の仕組み
FIDO認証は上記の認証方法とは違う、新しい認証方法です。その特徴として「秘密鍵」と「公開鍵」を作成すること、端末とサーバーで秘密を共有しないという2点があります。順番に見ていきましょう。
「秘密鍵」と「公開鍵」の作成
FIDO認証はパスワードのいらない認証方式と述べましたが、具体的にはどのようにして本人確認を行うのでしょうか。FIDO認証では、端末の生体認証で選ばれる情報である「秘密鍵」、サーバー側で持っている本人確認の情報である「公開鍵」が作成されます。本人確認は、「チャレンジ」と呼ばれるサーバー側の認証要求に対し、本人である証の「署名」を返すことで認証を行います。利用したいサービスにログインする際、まずは端末上で生体認証を行い秘密鍵を選択します。その秘密鍵を使ってサービス側に署名付きの検証結果を送信します。最後にサービス側が持っている公開鍵で署名の検証を行い、本人だと確認が取れればログインに成功する仕組みです。
端末とサーバーで秘密を共有しない
FIDO認証の最大の特徴は、認証の端末とサーバーで秘密を共有しないことにあります。従来の方法ではパスワードを端末で入力すると、そのパスワードはそのままサーバー側に送られ、サーバーで持っているパスワードの情報を一致すればログインできる仕組みでした。しかしその方法ではサーバーにパスワードを送ったり、サーバー側にアクセスをされたりすると大事な情報が盗まれてしまう危険がありました。FIDO認証では認証の端末に保管している情報をそのまま送らず検証前の本人確認した結果が入っているだけなので、万が一情報が盗まれてしまったとしても本人の情報が盗まれることはありません。また、サーバーへのアクセスで公開鍵が盗まれてしまっても、本人の情報ではなく見られても構わない情報が入っています。このように、実際に本人確認の情報が入っている端末とサーバーで秘密を共有しない点は従来の方法と違う新しい認証方式です。
FIDO認証の種類と利用シーン
FIDO認証はFIDO UAF、FIDO U2F、FIDO2の種類があります。それぞれの特徴と利用シーンを見ていきましょう。
FIDO UAF
FIDO UAF(Universal authentication Framework)は、デバイス経由で生体認証を行い、パスワードを使わずに認証できる仕様です。パスワードを使わないことから、安全性の高い認証方法といわれています。端末に生体情報を登録し、ログインしたいサービスに端末を登録すれば、端末上で生体認証するだけでサービスにログインできる仕組みとなっています。
FIDO U2F
FIDO U2F(Universal Second Factor)は、パスワードとセキュリティキーを利用し、二段階に分けて認証する方法です。従来のパスワードの入力にセキュリティキーなどほかの要素を足すので、導入の敷居が低いことがメリットでしょう。パスワードの入力、USB型などの端末を挿入してボタンを押すなどシンプルな作業で認証作業を行えます。
FIDO2
FIDO2は2018年に導入された最新の仕様で、主にWebでの認証に使われるサービスです。オンラインサービスへの認証が要求されると、スマートフォンや端末によって指紋やPINコードなどで認証し、サーバーが本人だと認証すればログインできます。パスワードを使わず見たり触ったりするだけで認証が完了するため高い利便性を持ち、現在、Goodle CromeやMicrosoft Edge、Firefox、Safariなさまざまな主要ブラウザでサポートされています。FIDO2は「CTAP」と「Web Authn」の2つの技術で成り立っていますが、AppleがWebAuthに対応したことから、Android、Windows OS、macOS/iOSの主要なプラットフォームでも利用可能になりました。今後、より多くの人や企業がFIDO2を取り入れていくと期待されています。
FIDO認証の利用シーン
FIDO認証の種類について見てきましたが、FIDO認証はすでに様々なサービスで使われています。事例として、以下の場面があります。
- 金融機関やECサービスへのログイン
- コンビニや量販店での決済サービス
- 組織内やテレワーク時のシステムへの本人認証
- 公共サービスでの本人認証
上記以外でも、FIDO認証は今後さらに広がっていくでしょう。
FIDO認証を取り入れるメリット
FIDO認証を取り入れるメリットとして、以下のものがあります。
- パスワードレスによる利便性
- 利用者のプライバシーの配慮
- 強固なセキュリティ
- さまざまなデバイスで利用可能
順番に見ていきましょう。
パスワードレスによる利便性
FIDO認証は、従来認証の中心であったパスワードをなくすことで利便性が高くなる点がメリットです。パスワードのセキュリティを高める考え方として、3つのポイントがあります。
- 桁数を増やす
- 異なる文字や記号を組み合わせる
- 意味のある文言や、利用者ゆかりの言葉を入れない
上記の方法でパスワードを組むと、確かに推測されにくいセキュリティの高いパスワードができあがります。しかしパスワードを使い回すと一つパスワードを盗まれてしまうと、芋づる式に利用しているすべてのサービスがログイン可能となってしまいます。
そのため一つひとつ複雑なパスワードを組む必要がある上、すべてを覚えるのは難しいでしょう。また、メモとして残すとそのメモ自体が盗まれたときに個人情報は丸裸となってしまいます。FIDO認証はパスワードなしで利用できるため、パスワードを組む手間や管理の必要性がなくなります。
利用者のプライバシーの配慮
FIDO認証は個人情報をサーバー側に渡さず、認証する端末のみで保存されるため、プライバシーにも配慮できる点がメリットです。従来の方法ではパスワードをそのままサーバーに送り、一致することによって本人確認を行っていました。FIDO認証では認証端末で本人確認をした後秘密鍵がサーバーに送られ、個人情報を渡しません。
強固なセキュリティ
上記のプライバシーの配慮でも述べましたが、サーバー側に個人情報が渡らず、登録されている公開鍵が盗難されても個人情報の心配がありません。フィッシングや中間者攻撃から保護できるので安心で、強固なセキュリティを持っているといえるでしょう。
さまざまなデバイスで利用可能
FIDO認証器にはUSBタイプや近距離無線通信のNFC、Bluetooht対応機などさまざまなデバイスがあります。導入の際に企業が対応デバイスを選択できるので、利用者の利便性を考え端末を選択できます。
FIDO認証はセキュリティ面で安全といえるのか
利便性や利用可能なデバイスの多彩さも重要な点であるのと同時に、本人認証において重視されるのがセキュリティです。上記で挙げた、FIDO認証のセキュリティは強固であるといえる理由を深掘りすると、以下の点が挙げられます。
- パスワードを使わないので安全性が高い
- デバイスの所持がなければ署名が作成できない
- 本人以外に秘密鍵の利用ができない
順番に見ていきましょう。
パスワードを利用しないので安全性が高い
何度か触れましたが、FIDO認証はパスワードを利用しない仕組みなのでセキュリティ面で安全といえます。従来の認証の多くはIDとパスワードが必要です。方法としては、IDとパスワードのセットを登録しておいたサーバーが、送られてきたIDとパスワードが一致するか判断して認証していました。
IDとパスワードのセットが第三者に知られない限りは安全ですが、リスクとしてパスワードはフィッシングやマルウェアによって盗み出されてしまう可能性があります。FIDO認証は秘密鍵と公開鍵を作成することによりパスワードをサーバーに送らない仕組みを取っているので、パスワードのリスクがなくなり安全です。
デバイスの所持がなければ署名が作成できない
認証デバイスを持っていなければ署名が作成できない面で、FIDO認証はセキュリティ面で安全といえます。FIDO認証はログインしたいとサーバーに連絡が行くと、サーバーは署名を求める「チャレンジ」を送ります。利用者は秘密鍵で送られてきたチャレンジに署名し送り返します。サーバーが返ってきた署名を検証し、本人だと確認できたらログインが成功します。
このように署名は認証デバイスを持っていないと作成できません。生体認証は本人と切り離すことができない部分であるため、認証デバイスの管理もしっかりと行っていれば、セキュリティ面は安全といえます。
本人以外に秘密鍵の利用ができない
秘密鍵は本人以外に利用できない点で、セキュリティ面は安全といえます。FIDO認証はネットサービス登録時に、新しい公開鍵と秘密鍵のペアを生成します。ネットサービスに登録されるのは公開鍵のみで、秘密鍵は利用者の認証デバイスに留まります。
秘密鍵は利用者がデバイス上でロックを解除することによりはじめて使用できますが、ロック解除は生体認証やマイクへの発音、USBデバイスなどの挿入など本人以外利用できない方法となっています。利用者が認証に利用している指紋などを盗まれてしまう可能性も考慮した管理を行いセキュリティを意識することで、安全になるといえるでしょう。
FIDO認証は高いセキュリティが確保されている
上記の3点の理由によって、FIDO認証のセキュリティは高いといえます。FIDO認証を利用することで、アプリでもIDとパスワードによる認証作業の必要がなくなり、認証情報も漏洩の心配がなくなります。セキュリティ面で安心して利用できる上、生体情報で手間なくログインできれば利便性も高まるので、今後ますますFIDO認証を利用したサービスは増えていくことが予想されます。
二段階認証やFIDO認証、生体認証を活用した認証機能で会員向けサイト・サービスを構築するなら
当社のご提供する 「会員管理・会員サイト構築ソリューション」は、会員向けのサイトやサービスに必要とな要素をワンストップで提供するシステムです。
会員データ管理からマイページ作成・ログインなどの基本機能から、メール配信やアンケート作成、問い合わせ、フォーム作成、決済連携まで、会員管理・運営に必要な機能が充実。また、金融機関・官公庁でも採用されている高いセキュリティで会員の大切なデータを管理します。WordPressやMovableTypeを始めとした各種CMSや基幹システム等とのAPI連携も可能です。
ログイン認証機能では、通常のID・パスワードを使った認証に加えて、スマートフォンアプリ・メール・SMSなどを用いた二段階認証、指紋や虹彩等の生体情報を利用したFIDO認証(Fast IDentity Online)など、強固な認証にも対応しています。
ファンクラブやユーザーサポートサイト、学会・協会サイト、申請受付サイト、キャンペーン受付サイト、イベント受付管理、入居者サイトなど様々な業界・用途・シーンで延べ11,000以上のご利用実績がございます。
また、メガバンクを始め100以上の金融機関に導入されている個人情報運用に最適なセキュリティを備えています。総務省のセキュリティ対策にも準拠。また、第三者機関のセキュリティ診断でも高いセキュリティを評価されています。
サービスの詳細については「会員管理・会員サイト構築ソリューション」のページをご覧いただくか、サービス導入をご検討中の方はこちらからぜひお問い合わせください。
まとめ
本人認証の新しい仕組み「FIDO(ファイド)認証」について解説しました。
・FIDO認証とはパスワードのいらない認証方式である
・従来のパスワード、デバイスを利用したワンタイムパスワード、生体認証と比較してセキュリティが高く利便性もある
・公開鍵と秘密鍵が生成され、端末とサーバーで秘密を共有しない仕組みになっている
・UAF、U2Fに加えFIDO2の3つの認証方法から、金融機関やコンビニ、PCへのログインなどさまざまなシーンで利用されている
・パスワードレスによる利便性や強固なセキュリティがメリットである
FIDO認証の普及を掲げているFIDOアライアンスには多くの企業が参加し、多くのサービスで利用されることから認証のスタンダード候補になるのではないかといわれています。FIDO認証を取り入れていることが一つのアピールにもなりますので、セキュリティについて検討する際の候補に入れておきましょう。
