企業がDXを推進していく上で欠かせないセキュリティ対策。中でもユーザー認証は、正しく行われないとセキュリティ対策の根本が揺らいでしまう重要な要素であるが、さまざまな課題を抱えているパスワード認証が依然として多くのサービスで使われている。そんな中、近年注目され、採用が相次いでいるのが、FIDO(ファイド)の規格をベースにしたユーザー認証方式だ。
アイティメディア主催のオンラインイベント「ITmedia Security Week 2021 Autumn」が開催され、本イベントの初日にはNok Nok Labs, Inc. 事業開発ディレクター 宮園充氏が登壇し、「パスワードレスの世界が導く、セキュリティリスク軽減とUX改善」と題した講演を行った。
Nok Nok Labs, Inc.(ノックノックラブス)は2011年に米国シリコンバレーで創業したセキュリティ企業で、ユーザー認証の新たな規格として現在普及が進みつつある「FIDO(Fast IDentity Online)規格」をベースにした認証製品を開発・提供している。同社はFIDOの標準化団体である「FIDOアライアンス」の創設メンバーであり、現在でも複数の作業部会で共同議長を務めるなど、この領域における主要プレーヤーとして広く認識されおり、日本でも認証の重要性を理解している企業から強い関心が寄せられている。
そんな同社はこれまで、パスワードを使わずに認証を行う「パスワードレス認証」のプラットフォーム製品を数多くの企業に提供してきた。既にNTTドコモやアフラック、三菱UFJ銀行、ソフトバンクなど大手金融機関や主要通信事業者が同社のテクノロジーを利用している。宮園氏によれば、現在多くのサービスで採用されている「IDとパスワードを用いたユーザー認証」には、もともと多くの点で課題があるという。
「企業がDXを推進していく上では、ゼロトラストアーキテクチャに基づく新たなセキュリティ対策のアプローチを採用するとともに、対策の優先付けをきちんと行うことが重要です。中でもユーザー認証の強化は欠かせない取り組みですが、現在大半のサービスが採用するパスワード認証は多くの課題を抱えている上、ユーザーにストレスを与える一因にもなっており、ビジネス成長や生産性向上を阻害する要因にもなりかねません」(宮園氏)
パスワードはユーザーの記憶に頼る認証手段であるため、どうしても記憶しやすい単純なものが使われやすく、また複数のサイトで同じものが使い回されてしまう傾向がある。そこでパスワードの強度を上げようと複雑なルールを設けたり、定期的にパスワード変更を強制したりすると、今度はユーザー側のパスワード管理の負荷が増え、サービスの利用率や業務生産性を低下させてしまう恐れがある。
近年ではスマートフォンを通じてWebサイトにアクセスする機会も増えているが、スマートフォンのUIを通じてパスワード、特に複雑なルールに基づく文字列を入力するのは煩雑であり、タイプミスも生じやすい。またパスワードを失念してしまったユーザーのためにパスワードをリセットする作業も多く発生するため、管理側の作業負荷も増大し、ユーザーのスムーズなサービス利用にも支障をきたしてしまう。
こうしたパスワード認証が持つ課題や限界を克服するために、これまで「リスクベース認証」「振る舞い認証」「ハードウェアトークンOTP(ワンタイムパスワード)」などの方法が個々のセキュリティベンダー独自のソリューションとして展開されているが、これらはあくまでもパスワード認証を補完する位置付けにあり、パスワード認証に完全に取って代わるものではない。
そんな中、大手B2C事業者を中心に世界中で採用が相次いでいるのが、FIDOの規格をベースにしたユーザー認証方式だ。FIDOは2012年にNok Nok Labs, Inc.を始めとする6社で創設された標準化団体、FIDOアライアンスによって仕様が策定された認証方式の標準である。現在約250社が加盟しているFIDOアライアンスでは仕様の策定以外にも、製品・サービスがFIDOの仕様に準拠しているかどうかを認定する制度を設けており、これにより製品・サービス間の相互運用性を担保している。
FIDOはパスワード認証を補完するものではなく、生体認証などパスワードに取って代わる認証方式を安全かつ効率的に実現するための標準規格としてゼロから設計されている。従来のパスワード認証では、サーバ側でユーザーのID/パスワード情報が全て管理されているため、ユーザー認証を行う際には端末とサーバの間でID/パスワード情報が直接やりとりされてしまっていた。そのため通信経路上でID/パスワード情報が盗聴される危険性があるほか、いったんサーバがセキュリティ侵害に遭うと大量のパスワード情報がまとめて盗まれてしまう恐れもある。
そこでFIDOでは、ユーザーが正しいユーザーであるかどうかの検証を行うための秘密情報をサーバ側ではなく、クライアント側で管理する方式を採用する。例えば生体認証のための秘密情報(生体情報等)はクライアント端末内で管理され、ユーザーの検証はユーザーとクライアント端末の間だけで完結する。
また、クライアントとサーバの間では、「公開鍵暗号方式」を用いて検証結果の情報だけがやりとりされるため、通信経路上で秘密情報が盗聴される恐れはなく、またサーバ上にはユーザーの秘密情報は一切保管されないため、サーバからそれらの秘密情報が漏えいする心配もない。
このようにクライアント端末におけるユーザー検証と、クライアント・サーバ間の認証の2つのフェーズに完全に分離しているため、クライアント側でのユーザー検証方式をクライアント・サーバ間認証に一切影響を与えることなく、プラグアンドプレイ方式で柔軟に入れ替えたり、追加したりすることができる。
「今後もさまざまなユーザー検証方式が実用化されるでしょうが、それらを全体のアーキテクチャに影響を与えることなく柔軟に取り入れることができる点がFIDOの大きな特徴です。例えば、生体認証などを採用すればユーザーはパスワードを記憶したり入力したりする必要が一切なくなるため、利便性や生産性が大きく向上します。こうしてセキュリティ対策の強化とユーザーの利便性向上という一見相反する要素を同時に実現できる点がFIDOのもうひとつの大きな特徴だと言えます」(宮園氏)
では、実際にFIDOをベースにしたパスワードレス認証を自社の製品やサービスに導入する際のイメージとは、一体どのようなものなのだろうか。最も分かりやすい例が、スマートフォンに装備された指紋センサーや、カメラによる顔認証など、既にモバイルデバイスに装備されている生体情報の認識機能をFIDOのユーザー検証として活用する方法だ。宮園氏によれば、「大半のユーザーが、まずはモバイルデバイスの生体情報の認識機能を使って自社のアプリやサービスへのパスワード依存からの脱却を目指すところから始めています」という。
そして次のステップが、Webブラウザを通じたサイト利用におけるユーザー認証のパスワードレス化だ。これも、FIDOアライアンスが策定した「FIDO2」と呼ばれる仕様をベースにしたWeb認証規格「Web Authentication」が2019年3月にW3Cによって正式勧告となり、主要ブラウザ製品がこの規格を標準実装するようになったことから、モバイルデバイスだけでなくPC等でも、ブラウザを介したユーザー認証の標準はFIDO方式となり、パスワードレス認証が広く普及していくものと思われる。
Nok Nok Labs, Inc.では、こうしたFIDOベースのパスワードレス認証を既存のアプリやサイトに実装するための手段として、「S3 Authentication Suite」と呼ばれる製品を提供している。この製品は大きく分けて、先ほど解説したFIDOの仕組みにおけるサーバ側の処理を担当する「Authentication Server」と、クライアント側のローカル検証機能の実装を容易にし、認証サーバとやりとりするための「App SDK」と呼ばれるコンポーネントによって構成されている。
FIDO認証仕様(UAF、U2F、FIDO2)を全てサポートしているのはもちろんのこと、業界最多のユーザベースと業界最長期間の運用経験から得たフィードバックを基に、顧客のニーズに寄り添う独自機能を備えている。例えば、認証に用いるスマートフォンなどのデバイスを紛失してしまった際に、メールやSMSによるOTP認証などを用いて一時的にユーザーアカウントを回復する「アカウントリカバリー機能」や、認証場面のリスクのレベルに応じて動的に認証方法を切り替える「適応認証」など、実際にパスワードレス認証を運用する際に往々にして必要となる実践的な機能を数多く備えている。
こうしたメリットに着目した世界中の企業が、S3 Authentication Suiteのテクノロジーを利用してパスワード認証にまつわる課題の解決を実現している。例えば米国で広く使われている個人向け会計管理ソフト「TurboTax」の開発・提供元である米Intuit社では、これまで紹介してきたようなパスワード認証にまつわる課題を解決するとともに、認証関連コストの削減を目指してS3 Authentication Suiteを導入した。
その結果同社では、アプリケーションのユーザー認証の成功率が80〜85%から99.9%へと向上し、認証に要する時間を78%削減することに成功した。またアカウント乗っ取りによるサイバー攻撃のリスクを大幅に低減するとともに、パスワードのリセットと再発行に要する手間やコストの削減も実現した。今ではモバイルユーザーの3分の2がFIDO認証を利用し、23%はパスワード認証を無効化してサービスを利用しているという。
また米国の大手通信事業であるT-Mobile社でも、パスワードにまつわる課題を解決するためにS3 Authentication Suiteを導入している。同社は数ある認証方式の中から、強力な多要素認証と生体認証を実現できるとともに、将来の拡張性にも優れたFIDO認証を選択した。またFIDO認証をサポートする多くの認証製品の中から、これまで数多くの企業で導入され、かつ長らく安定稼働の実績を持つS3 Authentication Suiteを選んだ。
その結果、S3 Authentication Suiteを利用したFIDO認証基盤の展開後3カ月でパスワード再設定コストを60%削減し、さらにその3カ月後には対象ユーザーの50%が利用するに至ったという。加えて、コールセンターでユーザー対応を行う際の事前の身元確認にもFIDO認証を適用した結果、確認時間の大幅な削減を実現したという。
この他にも冒頭で紹介したように、NTTドコモやアフラック、三菱UFJ銀行、ソフトバンクなど、国内の名だたる大手企業がS3 Authentication SuiteのFIDOテクノロジーを利用して製品・サービスのパスワード依存からの脱却を目指す認証環境を実現している。現在さまざまなベンダーから生体認証や多要素認証の製品・サービスが提供されている中、Nok Nok Labs, Inc.は「FIDO認証において、実績の点で他社とは一線を画している」と宮園氏。
Nok Nok Labs, Inc.はFIDOアライアンスの創設メンバーとして、また主要規格の起案者として極めて豊富な実績と高い知見を有している。FIDOの最初の仕様が公開されて間もない2015年には既に具体的なソリューションを展開しており、国内でもNTTドコモにいち早く採用されている。「これまで大きなトラブルを起こしたことがなく、安定性には絶対の自信がある」と宮園氏は話す。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:Nok Nok Labs, Inc.
アイティメディア営業企画/制作:ITmedia エグゼクティブ編集部/掲載内容有効期限:2021年10月26日