システムや各種サービスの利用開始時に欠かせない「パスワード」。しかし、サイバー攻撃や漏えいによる悪用のリスクが常につきまとい、もはや安全な認証方式ではなくなっている。パスワードに代わる安全な認証を実現する技術として「FIDO」（Fast Identity Online、ファイド）が提案されていたが、業界大手のサポートが広がり、いよいよ本格普及の段階を迎えようとしている。
（取材・文／日高 彰）

パスワード認証ではリスクが避けられない

　「お支払い情報を更新してください」「利用内容のご確認のお願い」「本人情報の緊急確認」――。このようなメールが毎日のように届くという人は少なくないだろう。これらは銀行のネットバンキングなどを装った「フィッシングメール」に使われた件名だ。メールに記載されたURLを開くと、金融機関のWebサイトとそっくりの画面が表示され、ログインを促される。ここでIDとパスワード、ワンタイムパスワードなどを入力したが最後、犯罪者はその情報を使って不正な支払いや送金を行い、口座から預金が抜き取られてしまう。

　警察庁の調べでは、インターネットバンキングに関係する2021年の不正送金の被害は、584件、約8億2000万円となり、いずれも2年連続で減少した。しかし、フィッシングの報告は増加傾向で、手口は巧妙化している。また、業務システムの管理者権限を奪うことを目的に、企業をターゲットとしてID・パスワードを盗もうとする標的型攻撃メールも確認されている。

　米通信会社のベライゾンが21年に発表した調査報告によれば、Webアプリケーションへの侵入の89％が、盗まれたパスワードやブルートフォース攻撃（パスワードの総当たり）によるものだったとしている。パスワードについては、「十分に複雑で長いパスワードを設定する」「複数のサービスでパスワードを使い回さない」といったことが推奨されているが、現実にはそれを徹底するのが難しいこともうかがえる。また、長らく「パスワードは定期的に変更すべき」と言われてきたが、定期的な変更を強いることで、かえってユーザーは覚えやすい簡単なパスワードを使い回すようになるおそれがあるため、現在では定期変更は求めるべきでないとされている。

　パスワードが危険な理由として、人による適切な管理が難しいというだけでなく、そもそもの仕組みに弱い部分がある認証方式であることが挙げられる。パスワードによる認証は、ユーザーとサーバーとの間でパスワードという「秘密」を共有する形態だからだ。

　ユーザーがサービスにログインする際、パスワードはインターネットなどの通信路を経由してサーバー側に送信される。サーバーはそれが適切なものかを検証するため、あらかじめ保管しておいたパスワードと照合し、合致すればログインを受け入れる。

　このプロセスにおいて、弱みとなるポイントがいくつかある。

●通信経路の途中でパスワードが盗聴される
●攻撃を受けてサーバー上に保存されているパスワードが漏えいする
●ログイン画面の改ざんやフィッシングサイトによってパスワードを盗まれる
●他のサービスで漏えいしたパスワードやブルートフォース攻撃で認証を突破される

　これらは、ユーザーとサーバーが秘密を共有し、ログインの度に通信路を介して秘密をやりとりする仕組みである以上、避けられないリスクだ。もちろん、通信の暗号化やパスワードのハッシュ化といった対策でリスクを低減することは可能だが、それでもパスワードの使い回しといった不適切な運用に対しては危険が残り、紙に書いたメモが盗まれるといった、テクノロジーの外部で行われる不正にも無力だ。また、複雑なパスワードの入力や、サービスごとに異なるパスワードを設定することは、利便性の低下につながるだけに、ユーザーに対する啓発で意識を高めるのにも限界がある。

秘密情報のやりとりなしで安全な認証を実現する

　このようなパスワード認証が持つ根本的な問題を解消しつつ、エンドユーザーの利便性も高めようとする認証方式が、「FIDO」である。FIDOは13年に発表された仕様だが、18年の「FIDO2」でWebブラウザーを通じた認証が可能になったことから、「脱・パスワード」を実現する技術として多くの企業の注目を集めるようになった。
 
　最も手軽にFIDO認証を試せるサービスの一つが、18年に先駆けてFIDO2に対応した「Yahoo! JAPAN」である。スマートフォン（Windows Helloに対応したPCなども利用可能）から同サイトにアクセスし、メニューから「生体認証ログイン設定」を選択し、指紋や顔認証などの生体認証で端末の登録を行う。次回からその端末でYahoo! JAPANにアクセスするときは、パスワードを入力しなくても生体認証だけでログインが可能となる。
 
　一見すると、パスワードという文字列が、指紋などの生体情報に置き換わっただけのように思える。しかしFIDO認証は、パスワード認証で弱点となっていた「ユーザーとサーバーとの間での秘密の共有」を行わない点が最大の特徴だ。

　Yahoo! JAPANの例でも、ヤフーのサーバーにユーザーの生体情報が送られることはなく、サーバー側で生体情報が保存されることもない。万が一通信路が盗聴されたり、サーバーがサイバー攻撃に遭ったりしても、ログインに必要な資格情報が盗まれるおそれはない。

　ユーザーとサーバーの間で、事前に決めた秘密のやりとりなしに認証を行うというメカニズムは直感的には理解しにくいが、FIDO認証では、端末上で生体情報などによるユーザー認証を行い、正しく認証された場合、端末はサーバーから送られてきた認証用の情報を電子署名の要領で暗号化して返送する。サーバー側は、ユーザーが認証されたという結果のみを検証する仕組みとなっており、あくまで認証は端末側のローカルで完結しているのがポイントだ。また、生体情報は端末に紐付く形で保存されており、仮に第三者に漏えいしたとしても、他の端末からその情報を利用してログインすることはできない。

　既に、グーグルのChrome、アップルのSafari、マイクロソフトのEdgeといった主要ブラウザーはFIDO2をサポートしている。多くの機種が生体認証機能を標準搭載しているスマートフォンでの活用が先行していたが、「Windows Hello」対応のWindows PCや「Touch ID」対応のMacでもFIDO認証は利用可能となっており、Webブラウザー経由でアクセスする業務システムなどでも活用できる体制が整いつつある。

マイクロソフト、アップル、グーグルが対応拡大

　今年に入り、FIDO認証の普及を後押しする大きな動きがあった。5月に、マイクロソフト、グーグル、アップルの3社は足並みを揃えるかたちで、FIDO認証への対応をさらに拡充していくと発表した。具体的には、認証に用いる資格情報をマルチデバイスで利用可能にするもので、これまでは新しい端末を導入する度に各サービスに対して指紋などの再登録が必要だったところ、資格情報のバックアップ／リストアを可能にしていく。定期的に端末の入れ替えが発生する企業ユースでは、資格情報の管理・運用が行いにくいためにFIDO認証の普及が進まないという問題があったが、その解決に向けて大手3社が動き始めた。

　また、ユーザーの近くにあるスマートフォンなどを使って、他の端末上で利用しようとしているサービスの認証を行えるようにしていくことも発表されている。PC上でWebアプリケーションにログインする際に、ユーザーが所有するスマートフォンを用いて指紋認証を行うといった形態を実現するもので、OSやブラウザーの種類をまたいだ認証を可能にしていく方針が示されている。
 
　これらの取り組みを具体化するものとして、アップルは6月6日（米国時間）に開催した開発者会議「WWDC 2022」において、今後の製品で新機能の「Passkeys」を搭載する方針を明らかにした。これはFIDO認証の仕様を同社のプラットフォーム上に実装するもので、PCでFIDO認証対応のWebサービスにログインを行う際、手元にあるiPhoneなどの「Face ID」「Touch ID」を利用した生体認証を利用可能にする。また、「iCloud」を利用して資格情報のバックアップや複数端末間での同期に対応するとしている。日本国内でシェアが非常に大きいiPhoneが認証器として使えるようになることは、FIDO認証導入のハードルの引き下げにつながりそうだ。

　端末側の環境整備は進んでいるが、当然のことながら肝心のサービス側がFIDO認証に対応しない限り、パスワードに代わる便利で安全なログインの仕組みは実現しない。

　FIDO認証の仕様は公開情報だが、Webサービスや業務システムの開発者が自ら仕様を読み解いて実装するのは容易ではない。認証基盤は一つ間違うと重大なセキュリティホールになり得ることからも、既に実証されたテクノロジーを活用するのが現実解となるだろう。

　多くの企業で導入が進んでいるシングルサインオンやIDaaSのソリューションでは、FIDO認証をサポートしているものが増えている。これを利用すれば、企業内で使用している一つ一つのアプリケーションがFIDO認証に対応していなくても、パスワードなしのログインを実現できる。

　また、Webアプリケーションやモバイルアプリを提供しているサービス事業者向けには、認証基盤をクラウド型の「as a Service」モデルで提供するソリューションが登場しており、認証サーバーを構築・運用することなく、自社のサービスに生体認証機能を組み込むことが可能になっている。各ベンダーは「利便性向上や本人確認厳密化のため生体認証を導入したいが、生体情報は保持したくない」「自社が運営するサービスでパスワードに起因するインシデントを起こしたくない」といった企業向けの訴求を図っており、端末側の環境が整うのに合わせて、導入例も増加していくものと考えられる。