パスワード不要でより簡単・安全!金融機関を中心に広がる生体認証「FIDO」とは

schedule 2018/06/14  refresh 2023/11/08


深刻化の一途をたどるセキュリティ被害、パスワード社会の限界に直面して

昨今、金融と最新のICTを結びつけ、利便性の高い商品・サービスや革新的なサービスを創出していくFinTechの動きが活発です。インターネットバンキングをはじめ、資産運用・管理など、生活のあらゆるシーンでもFinTechのサービスが身近なものとなってきました。

 

ビジネス領域としての魅力や開拓可能性も高いFinTech分野ですが、その大きな課題は、オンライン認証にかかるセキュリティ面でしょう。認証方法として、現在最もよく使われているのは、ユーザーIDとパスワードによるものですが、この方法はセキュリティ性とユーザー利便性の観点から、問題の多い方式、現代にあってもはやそれに依存するのは限界という状況に直面しつつあることが指摘されてもいます。

 

どんな企業システムにおいてもいえることですが、本体側でいかに強固なセキュリティ対策を施しても、パスワードが流出するなど認証部分が突破されてしまえば、いくらでも不正侵入を許してしまいます。秘匿性の高い情報資産を守り、安全で信頼性の高いデータのやりとりを可能にするには、個々のアクセス入り口となる認証をこそ、とくに強化しなければならないのです。

 

こうした背景から、主に銀行など金融機関で生体認証「FIDO」を採用するケースが増えてきました。今回は、活用も広がるこの生体認証について、特色やメリットなどを解説します。

 

パスワード不要で確実な本人認証を実行

「FIDO」とは“Fast IDentity Online”の略から生まれた名称で、よりスピーディで強固な認証技術のことを指しており、2012年に設立されたFIDO Allianceという非営利団体が、従来のパスワード認証の仕組みから、この新たな認証技術規格を標準化していく取り組みを展開しています。

 

FIDO Allianceには、国際的業界団体として、GoogleやMicrosoft、Amazon、Qualcomm、Visaなど関連するグローバルリーダー企業が数多く参加、早期に有用な認証技術をオープンで拡張性・相互運用性のあるものとして確立し、全世界的な普及を図ることが目指されています。

 

そうした近未来のスタンダードになることが見込まれるFIDOの生体認証は、どのような点が優れているのでしょうか。従来のパスワード認証では、複雑な文字列による推測しづらいパスワードを作成し、使い回しをすることなく、エンドユーザーが個々に管理する必要があります。しかし、この場合のエンドユーザーにおける負担は大きく、不適切なパスワードの管理・使用を招く危険性が高いでしょう。

 

攻撃を受けた場合、そこで発生したセキュリティホールから、システム全体の安全性が脆くも崩れ去る可能性も非常に高く、パスワードによる仕組み自体が、脆弱かつユーザー利便性も低い、問題性の多いものであることが浮かび上がってきます。

 

この問題をカバーするため、端末ごとのIDやワンタイムパスワードを組み合わせた多要素認証も導入されていますが、十分な安全性と利便性が実現されているとはいえません。

 

これに対し、FIDOの生体認証はパスワードそのものを不要化し、指紋や虹彩、顔、手の平や指の静脈といったユーザーの生体情報を活用、これを登録して認証に用います。認証デバイスにはユーザーが所有するスマートフォンなどを利用しますから、特別な設備を別に必要とすることがありません。パスワードを用いないため、管理に悩むこともなく、簡単かつセキュアな本人確認とログイン後のサービス利用などが可能になります。

 

FIDOの生体認証では、まずデバイスのセンサーで生体情報による本人認証を実行、暗号化されたその認証結果情報を受け、サーバー側がデバイス認証を行うかたちになります。

 

より具体的に解説すると、あらかじめデバイス認証に用いる秘密鍵と公開鍵のペアを生成し、サーバー側では公開鍵を格納・管理します。一方、秘密鍵はデバイスだけに保存され、そのロック解除を生体認証で行うのです。よって生体認証の仕組みながら、生体情報がサーバー側にわたることはありません。

 

そのためサービス事業者のネットワークやシステムが攻撃を受けても、ユーザーの生体情報データが流出するリスクがなく、ネットワーク上を行き交うのは、盗み見されても問題のない公開データ、公開鍵のみになります。この仕組みによる照合の結果、本人認証が正しく成功すると、その情報が送られてサービスへのアクセスが許可されるのです。

 

事業者側の負担も少なく普及への後押しも

このFIDOによる生体認証の仕組みであれば、サービスの提供事業者はユーザーの生体情報を預かる不安がなく、設備投資など導入にかかるコストや手間も最小限に、より高いセキュリティ性を、ユーザーの利便性、サービス利用における満足度は高めながら、安定的に確保できるという大きなメリットを享受できます。

 

エンドユーザーも、手持ちのスマートフォンなどに生体情報を登録するだけで、煩雑なパスワード管理から解放され、手間なく確実に個別サービスを利用できるようになるでしょう。個人情報流出のリスクや、不正侵入による金銭的被害などの不安が大きく低減されるため、これまで以上にサービスを利活用しやすくもなります。

 

FIDO Allianceによる国際標準規格として、広く普及が後押しされている点も、この認証の有用性を支えるポイントになっています。すでにAndroidスマートフォンでの対応端末出荷や、Windows 10の「Windows Hello」における対応など、デバイス環境が整ってきていますし、Webブラウザでの標準化も進んでいます。実装のない端末についても、アプリで対応する動きがあり、デバイス側、サーバー側とも環境対応が加速化していますから、採用ケースは今後さらに増加していくでしょう。

 

登録・利用できる生体情報の認証方式も複数の中から選択可能など、柔軟性も高く、国際標準のオープンな規格として普及が後押しされているFIDOの生体認証は、次世代のセキュアなオンライン認証方式として非常に有望なものです。

 

現在はこれらのメリットから、銀行など金融機関を中心に採用が進んでいますが、今後はEC事業者や企業内の認証システムはもちろん、あらゆるログインサービスに導入・活用されていく可能性があります。

 

パスワードの管理負担を解消することによる利便性向上だけでなく、その脆弱性もクリアし、より高いセキュリティを実現するこの生体認証は、長く続いたパスワード依存の世界そのものを変えていくのではないでしょうか。

 

(画像は写真素材 足成より)