利便性と高セキュリティ性を備えたFIDO2対応デバイスとは?FIDO2でパスワードレスが加速する

認証に利用するパスワードの扱いがなかなか改善しない。覚えなければならないパスワードは増える一方であり、漏えいリスクも高まっている。この状況を改善できるのが、パスワードを使わず、面倒な操作が不要なFIDO/FIDO2認証だ。カード型やUSB型など用途に応じた製品を選択できる。

» 2019年04月23日 10時00分 公開
[PR/@IT]
PR

パスワード運用はもう限界、注目集めるFIDO

 盗難、紛失したパスワードからアカウントが不正アクセスを受け、個人情報や企業の重要情報が盗まれるという事件が頻発している。パスワードを強固なものに設定しておけば情報の漏えいまでは至らない可能性は高い。だが、現在では強固なパスワードを運用すること自体が難しくなっているという事情がある。

 背景にあるのはクラウドサービスの普及だ。個人はもとより、企業においてもクラウドサービスの利用が当たり前になった。用途ごとにクラウドサービスを使い分けることが一般化しており、それぞれにIDとパスワードを設定しなければならないケースも増えている。一般的な社会人が業務をこなす上では、最低でも4〜5個のパスワードを使い分けているともいわれる。

 加えてパスワードの定期的な変更を促されることが、依然として多い。定期的な変更は「不要」との見解を、2018年に総務省が示したものの、相変わらず変更を強いられている場合も多い。金融機関の特定業務の中には、2週間置きにパスワードの変更が要求されるケースさえあるという。

 複数のサービスに対して同じパスワードを使い回す行為も横行している。使い回しにより一意性がなくなると、1つのパスワードが漏れるだけで、同じパスワードを利用している全てのサービスに被害が及ぶ可能性が出てくる。実際にパスワードリスト攻撃など、パスワードの使い回しを前提にした攻撃が広がっている。

 こうした現状を見ると、ログインなどでパスワードに依存していること自体が問題だという考え方も妥当性を持ってくる。そうした中、注目を集めているのが「FIDO(ファイド)」によるパスワードレス認証だ。

秘密を持たず共有もしないことが重要

 FIDOは、2012年7月に発足した非営利団体「FIDO Alliance」が発表した、生体認証などの技術を活用したオープンな次世代認証標準だ。FIDO AllianceはGoogleやFacebook、Amazon.comなどのグルーバルリーダー企業と団体が参加しており、2019年4月現在でボードメンバーは40社、スポンサー59社、アソシエイト159社といった陣容であり、さまざまなワーキンググループで、次世代認証の策定や認証、普及促進などを行っている。

 FIDOは、生体認証(UAF)と二段階認証(U2F)という大きく2つの規格で構成されている。さらにこれらを拡張した「FIDO2」対応サービスも始まっている。FIDO2対応サービスと対応ブラウザを利用すれば、Web上でのパスワードレス認証も可能だ。Yahoo! JAPANが2018年10月からFIDO2を活用したログイン機能の提供を開始した他、Microsoft、Dropboxといったクラウドサービスも対応済みだ。対応ブラウザとしてはGoogle Chrome、Microsoft Edge、Mozilla Firefoxなどがある。

飛天ジャパンの李 戦海氏

 FIDOのボードメンバーに名を連ねる中国企業の飛天(Feitian Technologies)では、FIDOやFIDO2に準拠したさまざまな認証デバイスや認証サービスを提供している。Feitian Technologiesの日本総代理店である飛天ジャパンの代表取締役 李戦海氏はこう話す。

 「パスワード認証は機密情報をサーバに保存する必要があり、その際に高コストでハイレベルな暗号化を施さずに保存してしまうと、サーバへの不正アクセスによって機密情報が流出してしまうリスクが高くなります。一方、FIDO認証では、PKI(Public Key Infrastructure:公開鍵基盤)を使って機密情報をサーバと共有しないことにより、情報漏えいの原因を根本的に解決しているのです」(李氏)

 このような『機密情報を共有しない』という考え方は、個人情報などをできるだけサーバに保存しないという昨今のトレンドとも共通するものだ。ユーザーの利便性を向上させるだけではなく、エンジニアや管理者の設定ミス、運用の不備などへの対策にもなり得る。

 飛天ジャパンは、FIDO/FIDO2に対応したさまざまな製品、ソリューションを国内に展開している。本稿では、特にユニークな2つの製品を紹介しよう。一つは指紋認証機能を備えたカード型デバイス「指紋認証カード」。もう一つは、FIDO2に対応したUSBセキュリティキー「BioPass FIDO2」だ。

生体認証を備えたカード「指紋認証カード」

 指紋認証カードは、クレジットカードと同じ大きさのカード型デバイスだ。特長は、カード前面に指紋認証センサーを備え、NFC(Near Field Communication)を使い非接触で指紋認証を行えることにある。しかもカード内の電池搭載が不要だ。

指紋認証カード

 「電池を使わず、指紋認証を備えたカード型セキュリティキーの開発はFeitian Technologiesが初です。カード内部で指紋登録から照合まで完結するため、指紋データが流出することもありません。指紋認証カードには、FIDO/FIDO2に対応した機能が実装されています。もちろん、将来はFIDO2認定済みの認証デバイスとして提供する予定です」(李氏)

 利用する場合は、カードを片手で持ち、その際に親指を右上の指紋センサーに当てる。すると、事前に登録しておいた指紋と一致するかどうかをカード自体が識別、一致した場合にはじめて従来のICカードやクレジットカードとして機能する。

 例えば、入退室管理にICカードを用いている場合、ICカードを指紋認証カードに切り替えることで「カードを所持している」という所持認証の要素に加え、「本人である」という生体認証の要素を加えた二要素認証が可能になる。

 こうしたケースで二要素認証を行う必要があるものとしては、データセンターなど重要な施設への入退室管理などがあるが、これまでは指紋認証機能のないICカードのみで運用することが一般的だった。

 「ICカードのみでの入退室制限だけでは不安な場合、既存の設備に二要素認証を追加することを検討すると思います。ただ、大掛かりな工事が必要になる場合が少なくありません。例えば顔認証システムを採用しようとしても、コスト面や設備面から導入が難しい企業は多いでしょう。一方、指紋認証カードなら、既存のカードと入れ替えるだけで容易に二要素認証を実現します」(李氏)

 指紋認証カードはBLEとNFCに対応しているため、さまざまな使い方が可能だ。例えば、ICカード付きの社員証として利用したり、USBキーの代わりとしてPCやスマートフォンのログイン時に用いたりできる。ログイン時に利用する場合、例えば、スマートフォンなら、カードを端末に重ねるだけでスクリーンロックを解除できる。PCならカードリーダーを介することで、指紋認証によるログインも可能だ。このカードを個人向けサービスで提供する場合にも、決済時にサインやPIN入力を省略するといった利便性を他社サービスとの差別化要因にできる。

クラウドサービスをパスワードレスで認証する「BioPass FIDO2」

 BioPass FIDO2は、FIDO2に対応したUSB型のセキュリティキーだ。飛天ではこれまでもFIDOに対応したUSBセキュリティキーを提供してきたが、2018年10月、新たにFIDO2対応製品としてリリースしたのがBioPass FIDO2だ。指紋認証カードと同様に所持認証と生体認証の二要素認証を実現した認証デバイスだ。USBデバイス上に指紋センサーを備えており、FIDO2に対応したサービスの認証は、パスワードレスで安全にアクセスできるようになる。

BioPass FIDO2

 BioPass FIDO2は、現在USB Type-A/USB Type-C、NFCのインタフェースに対応している。2019年4月現在の対応サービスは、Windows Hello for Businessを利用したWindowsログオンやMicrosoftアカウントでログインするサービスの他、Dropboxがあり、PCに挿したBioPass FIDO2の指紋センサーに指を当てるとログイン認証される。飛天ジャパン セキュリティ営業部 部門長 志村憲一氏は、こう話す。

飛天ジャパンの志村 憲一氏

 「Feitian TechnologiesはMicrosoftと密接に連携しています。Microsoftは、Windows Hello for Businessとして、企業向けでも二要素認証やパスワードレス認証を推進しています。Microsoftの紹介ビデオでも飛天のデバイスが登場しています」

 BioPass FIDO2を企業で利用する場合には、「SecureCore for BioPass」を利用することをおすすめする。SecureCoreは、飛天ジャパンが提供するUSBキーを物理的な鍵としてWindows PCへのログオンを制御するソリューションだ。IDとパスワードにUSBトークンを組み合わせた二要素認証によって不正ログオンを防止したり、USBトークンを抜くことでPCにロックをかけたりできる。

 このSecureCoreをBioPass FIDO2に対応させたのがSecureCore for BioPassだ。BioPass FIDO2により、IDとパスワードを入力することなく、Windows PCへのログオンが可能となる。

パスワードのいらない世界を「第16回 情報セキュリティ EXPO」で体感できる

 指紋認証カードとBioPass FIDO2という新製品に加え、飛天はその他にもさまざまな製品を展開している。AIを使った顔認証デバイスやQRコード決済端末、モバイル決済端末などのハードウェア製品から、暗号化ソフトウェアやWeb認証サーバなどのソフトウェアソリューションまで数多い。

 「官公庁や大手企業をはじめとして日本国内でも数多くの納入実績があります。われわれの強みは、セキュリティ、AI顔認証技術、モバイル決済端末など高い技術力を持っていること。ユーザーのニーズに合わせてさまざまな製品を組み合わせた多彩なソリューションを展開できることです。日本におけるFIDO/FIDO2普及のための活動についても、セミナーや展示会への参加、スポンサーとしての支援などを積極的に進めています。パスワードのいらない世界を目指して、今後もさまざまなサービスを展開していきます」(李氏)

 パスワード運用が限界を迎える中、FIDO/FIDO2に代表されるパスワードレス認証は、今後の主流になっていくと期待される。飛天の製品が活躍する場はますます広がっていくはずだ。

 なお飛天ジャパンは、2019年5月8〜10日に開催される「第16回 情報セキュリティ EXPO」に出展する。指紋認証カードとBioPass FIDO2も紹介されるので、実物を見ることができる。自社での使い方などヒントをつかむために、参加してみてはいかがだろうか。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:飛天ジャパン株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2019年6月6日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。