安全・快適なパスワードレス認証、FIDO「UAF」「U2F」の違いを探る

schedule 2023/11/08  refresh 2024/10/18

 

 

そもそもFIDOとは?

「FIDO」という文字列を、目にしたことはあるでしょうか。読み方は「ファイド」で、「Fast IDentity Online」を略したものです。規格の策定や普及の推進は、FIDO Allianceという業界団体が行っています。

 

アライアンスの創立は2012年で、PayPal、Lenovoなど6社により行われました。2017年現在、ボードメンバーにはバンク・オブ・アメリカやBCカード、マスターカードなどの金融機関をはじめ、情報通信産業からはIntel、Google、さらにはMicrosoftといった錚々たる面々が並びます。もちろん、RSAやYubicoといった、セキュリティ関連企業もあります。

 

ボードメンバーとしては、日本からはNTTドコモが参加しています。メンバーとしては他にも多くの日本企業、なかでもセキュリティ関連のソリューションプロバイダ企業の参加が見られることは注目すべきポイントです。期待される技術であることは、間違いありません。

このFIDO、次世代の認証技術の主流になると見られています。20世紀から、情報技術が進展する速度は他の技術に比較して数倍違うといわれてきました。それにしても、アライアンスの創立から、わずか5年あまりの時間しか経っていません。

 

FIDOの「魅力」とは?

ではなぜ、FIDOが主流になると見られているのでしょうか。さまざまな視点はありますが、大きなものは「安全性」と「簡便性」の両立でしょう。キーワードは「パスワードレスの認証技術」で、セキュリティが保たれた上で、ユーザーフレンドリーに各種のオンラインサービスを受けることができるのです。

 

 

「パスワードに依存しない」本人認証は、公開鍵暗号方式で実現しています。オンラインサービスへの登録時に、ユーザー端末は新しい鍵のペアを生成します。暗号化に用いられる公開鍵がサーバーに送信・登録され、復号に用いられる秘密鍵は、ユーザーの手元に保存、ロックされます。この秘密鍵は、端末上でユーザー認証が行われてはじめてロックが解除され、使用可能になります。

 

秘密鍵を持たなければ、オンラインサービスにアクセスしたところで、何もできないのです。しかも、秘密鍵は、端末上での本人確認を行わないと、使用することができません。さらに、秘密鍵はセキュアな空間に保管されています。すなわち、携帯可能な端末が盗難にあっても、本人へのなりすましを行うことはほぼ不可能と考えていいでしょう。

 

このように、高いレベルで安全性が確保できるFIDOには、2つの種類があります。それぞれの長短所を、見ていきましょう。

 

安全性が高い「UAF」

ひとつは、UAFと呼ばれる方式です。これは「Universal Authentication Framework」の頭文字をとったものです。FIDOに対応した端末を用いて、安全性の高い認証を行うものと考えればいいでしょう。

 

 

こちらでは、端末上のユーザー認証には、指紋や声紋などの生体情報を用います。パスワードは、一切不要です。さらにいうと、ユーザー認証のために使われた生体情報は、サーバー側に一切流れません。個人情報はネットワーク上にはまったく流れないとお考えください。

 

万一端末を紛失・盗難などがあった場合でも、不正利用を起こされる可能性は、現状ではきわめて低いといえるでしょう。将来的には生体情報の偽装が容易になる可能性はありますが、現状ではきわめてハードルが高いものなのです。

 

このように、UAFはいいことづくめのように見えます。ただし、UAFの利用には、FIDOに対応した端末が必要です。そうでない場合、UAFではFIDOを利用することができません。当然ながら、FIDO対応の端末を揃える場合は相応のコスト負担が発生します。端末変更にともない、ユーザーインターフェースの変更が発生する可能性もあります。

 

それでもやはり、安全性と利便性を高いレベルで共存させているUAFは、魅力的な選択肢です。

 

導入への敷居が低い「U2F」

FIDO未対応の端末でも、FIDOの仕組みを利用することができるのが「U2F」と呼ばれる方式です「Universal Second Factor」の頭文字をとったものです。

 

UAFとの決定的な違いは、端末へのログインは、ユーザーIDとパスワード、あるいは安全が確保された上でのPINコード(暗証番号)入力により行うということです。このあと、端末のUSBポートにトークンを挿す、あるいはNFCやBluetoothを用いたキーを近づけることで、本人認証を行うというものです。対応端末が必要ない分、導入が容易であるといえましょう。

 

認証の情報はローカルにとどまりますが、完全にパスワードフリーにはなりません。UAFに比較すると、ややセキュリティは弱くなる面が存在します。それでも、FIDOのメリットを十分に享受することができます。

大きな組織では、FIDOを取り入れていく場合にも、段階的に進めざるを得なくなることが多いものです。過渡期にU2Fを用い、徐々にUAFに切り替えて、理想とされる形でのFIDO利用環境を整備することが、模範的な回答といえそうです。

 

FIDOの今後

FIDOに対応するオンラインサービスは、現状ではそれほど多いとはいえません。しかし、今後増加していく可能性は、高そうです。移動体通信事業者として、KDDIやソフトバンクも、アライアンスに加入しています。対応する端末は、どんどん増えていくでしょう。

 

 

しかし、すべての認証にパスワードレス対応させるのには、まだ時間はかかるでしょう。そこで重要になるのが、シングルサインオンや統合ID管理など、既存のユーザー認証ソリューションとの共存であることは、言葉にするまでもありません。

 

既存のソリューションには、既にFIDOを取り込んでいるサービスも存在します。オンラインサービス利用時の、安全性と快適性の両立は、既に実現可能なレベルにあるといっていいでしょう。

 

(画像は「Pixabay」より)

▼外部リンク
FIDOアライアンス(日本語)
https://fidoalliance.org/?lang=ja

FIDO(ファイド)アライアンスが日本国内での活動を発表
https://prtimes.jp/main/html/rd/p/000000005.000029122.html