パスワード世界からついに脱却?!「WebAuthn」とは何か
schedule 2018/06/07 refresh 2023/11/08
パスワードに頼らない安全なオンライン認証の実現へ
今日の私たちは、業務でも日常生活でも、そこにおける意識の有無にかかわらずさまざまなネットワークサービスを活用しています。そのサービスを便利に利用する上で欠かせないのが本人認証であり、そのためのパスワードであることは言うまでもないでしょう。
しかし一方でそのパスワード管理に困難を抱え、安全に利用するために不可欠であることは認識しつつも、その不便さや不完全さに悩まされていることも事実です。誰もが新たな面倒事として生じたパスワードの問題性や限界を感じつつ、パスワードに依存し続けているのです。
複雑な多くのパスワードを記憶し、使い分けることは難しく、それに対して他人のパスワードを盗み取って悪用する技術は日々進化し、巧みに、容易になっていく――この不便で脆弱な仕組みこそ、新しいテクノロジーで乗り越えるべき次の課題とも考えられるでしょう。そうした発想のもと、「WebAuthn」と呼ばれる仕組みが生み出され、注目を集め始めています。今回はこの「WebAuthn」について解説します。
「WebAuthn」とは何か?
「WebAuthn」とは、パスワードに頼ることなくセキュアなオンライン認証を実現させることを目的としたプロトコルで、「Web Authentication」を省略して生まれた名称です。
現在このWebAuthnに関しては、幅広いシーンでの実装を目標に、草案を作成するなど具体的な取り組みを進める専門の作業部会が設置され、「World Wide Web Consortium(W3C)」のもと活動しています。W3Cは、長期的なWorld Wide Webの成長をサポートし、プロトコルやガイドラインの開発など、各種技術の国際的標準化を推進する非営利団体です。
WebAuthnは、セキュリティとユーザー利便性を両立し、パスワードを不要とする生体認証などで実行するオンライン本人認証、よりオープンで拡張性と相互運用性をもち、シンプルかつ堅牢な認証規格の標準化を目指す「FIDO Alliance」も参加した取り組みとなっており、いよいよパスワードをめぐる困難からの解放が実現されるのではと期待が高まっているのです。
GoogleやMozilla、Microsoftといったおなじみのグローバルリーダー企業も、仕様が定まった段階で、このプロトコルを採用すると表明しており、2018年4月10日にはW3Cの勧告候補発表を受け、各ブラウザでの実装も開始されています。
長く用いられてきたパスワードという認証の手法、エンドユーザーの習慣や社会の仕組みを変更することは容易ではありませんが、こうした影響力の大きな企業がサポートすることにより、加速的な普及が強力に促されるものとなったことは間違いないでしょう。
ブラウザから、顔認証や指紋認証といったユーザーに管理負担が生じない生体認証の仕組みで、簡単かつ安全にサイトやアプリへログイン、個々のサービスを利用できるようになる日も近いと言えます。
「WebAuthn」の技術とは?
WebAuthnはどのような技術で成り立っているものなのでしょうか。これまでの発表によると、WebAuthnは、FIDO Allianceが2015年11月に手出した認証技術「FIDO 2.0」に基づくもので、それを構成するテクノロジーのひとつとなっています。
認証時にパスワードではなく、指紋や虹彩、声紋、顔といった生体認証やPINコードを用い、簡単で信頼性の高い本人認証を実行します。クライアントとサーバーの間のやりとりには公開鍵暗号技術が用いられます。
初回利用時に認証情報を登録すると、それに応じた秘密鍵と公開鍵が作成され、秘密鍵はクライアントデバイス内の安全な領域に、サーバーには公開鍵が送信され、それぞれで保存されます。公開鍵は他人に見られても問題のない情報で構成されているため、漏洩の不安がなく、セキュリティリスクも最低限になります。
ユーザーの認証利用時には、まず生体認証などで本人確認を行い、確認に成功すると、クライアントデバイスがサーバーから送信されてきたデータを保存している秘密鍵で署名、サーバーに情報を送り返します。サーバー側はこの署名を公開鍵で検証し、確かに本人の通信と確認するのです。
WebAuthnでは、その仕様にAPI向けの設計や暗号鍵を生成するデバイスの認証、署名メカニズムといったものを含んでおり、ユースケースについての具体的な説明もなされています。例えばノートPCを用い、認証を必要とするサイトにログインする場合、スマートフォンなどの個人デバイスを利用して、生体認証などの必要動作をユーザーに求めます。ユーザーが正しく応答すると、暗号化処理をバックグラウンドでアクティベート、パスワードもIDも入力することなく、安全でプライバシーの管理もしやすい認証と通信の仕組みで、サービスの利用が可能になるのです。
パスワードの入力がないため、手間がかからないだけでなく、フィッシングや介入者の攻撃、盗み見といったセキュリティリスクをなくすことができ、オープンな通信の経路には漏洩して困る情報はそもそも流れないことになります。
WebAuthnが広く実装され、「FIDO 2.0」が標準となれば、これまでにない高精度な本人認証と高いセキュリティ耐性、ユーザー利便性が実現されると考えられます。現時点では、最終段階一歩手前の“勧告候補”の位置づけですが、パスワード問題から解放される未来は、もうすぐそこまで来ているのです。