みなさんはいま、何個の「パスワード」を管理していますか?
4割以上の人が、インターネットサービスにログインするためのアカウントを「6個以上」保有しているそうです(※1)。
※1:出典 2018年度情報セキュリティの脅威に対する意識調査(独立行政法人情報処理推進機構)(PDF)
パスワードを使った認証では、サービスごとに違うパスワード設定が推奨されています。その理由は、パスワードを使いまわしていると、1つのサービスでパスワードが漏(も)れた場合、悪意のあるユーザーにそのパスワードを使って他のサービスでログインされてしまうおそれがあるためです。
ですが、複数のサービスを利用し、それぞれに違うパスワードを設定して、そのすべてを覚えておくことは難しいのではないでしょうか?
また、パスワードではなく、トークンなどを使った認証でも、物理的に盗まれてしまうと誰でもログインできるというリスクがあります。
そのため、近年では比較的盗まれにくく覚える必要がない、パスワードを使わない「生体認証(指紋、顔など)」の実装が進んでいます。たとえば、指紋センサーは多くのスマートフォンに搭載されるようになってきました。
今回は、パスワードを使わないログインである「パスワードレスログイン」の仕組みやその安全性などについてご説明します。また、パスワードレスログインを推進している社員に、パスワードレスログインで実現したいことなどを聞きました。
「認証」とは
インターネットサービスなどにログインするためには、本人であることを証明し「認証」される必要があります。認証には、以下の3つの要素があります。
最近は、複数の要素を組み合わせた「多要素認証」が活用されるケースが多くなっています。たとえば、銀行のキャッシュカードを持っていても、それをATMに入れただけではお金をおろせません。4ケタの暗証番号を入力することで、お金をおろすことが可能です。この場合は、認証の3要素の「所持(カード)」と「知識(暗証番号)」の2つを組み合わせて使っていることになります。
多要素認証は、認証要素を1つ使うより安全な認証方法ですが、ユーザーの手間が増えてしまうデメリットもあります。
新しい認証技術「FIDO」は大事な情報をサーバーに渡さない
「高速なオンラインID認証」を意味する「FIDO(Fast IDentity Online)」は、パスワードに代わる新しい認証技術です。
まず、IDとパスワードを使った認証では、サービス側のサーバーに大事な情報を渡しているので、以下のようなリスクが発生します。
・インターネットを通じて送信する際に盗まれるリスク
・サーバーから漏(も)れるリスク
一方、FIDOのメリットは、以下の2点です。
・指紋などの大事な情報をサーバーに渡さない
・生体認証などのさまざまな認証方法を使える
FIDOでは、パスワードなどの大事な情報を送らない代わりにユーザーの「公開鍵」(※2)と「署名(本人であることを証明する文字列)」を送ります。どちらも誰に見られても問題がない情報です。
大事な情報であるユーザーの生体情報と「秘密鍵(※3)」は、ユーザーのスマートフォンなどの端末において厳正に保管されており、サーバーに送られません。そのため、より安全なログインが可能になると考えられています。
※2 公開鍵:
データの署名を検証する、あらかじめ利用先のサーバーなどに保管しておく鍵
※3 秘密鍵:
公開鍵とのペアとして使われる、サーバーや他人には公開されない鍵
「FIDO」の仕組み
FIDOでは、ユーザーが指紋などの大事な情報をスマートフォンなどの「認証器」に保管し、さらに「秘密鍵」と「公開鍵」のペアを作成します。この鍵のペアはそれぞれ、同じデータに対して、以下のような役割をもち、2つそろわないと機能しません。
秘密鍵:署名をする(この秘密鍵でなければ作れない文字列を付与する)
公開鍵:受け取った署名を検証する
ユーザーが新規に「このサービスを使いたい(自分の情報をサービス側に登録したい)」ときは、まず自分の端末(認証器)でサービス側に「登録したい」と連絡します。サービス側は、「チャレンジ」と呼ばれるランダムに作成された文字列をユーザーに返します。
チャレンジは、「今回のあなたとのやりとりにはこの文字列を使います」というそのユーザー専用の受付番号のようなものです。ユーザーは、秘密鍵を使って署名したチャレンジと公開鍵を、利用したいサービスのサーバーに送り返します。
サービス側のサーバーは署名されたチャレンジを検証し、ユーザー本人だと確認できたら公開鍵を登録し、ユーザーの登録が完了します。
サービスにログインするときも、「このサービスを利用したい」という情報を送り、サービス側から送られた「チャレンジ」に秘密鍵で署名をして送り返すことでログインが成立します。
FIDOでは「(公開鍵暗号方式の)署名」の仕組みを使うことで、より安全性の高いログインを実現します。
次世代の認証「FIDO」の「利便性」と展望
パスワードレスログインの仕様検討と推進を担当している、Yahoo! JAPAN研究所の五味、山口、大神、IDソリューション本部のエンジニア上野に、FIDOで実現できたこと、これからの展望などを聞きました。
- セキュリティの推進で大切なのは「安全性と利便性」
- パスワードレスログインでお客様の負担を減らしたい
- ユーザーの状況に合わせて適切に認証する仕組みを実現したい
セキュリティの推進で大切なのは「安全性と利便性」
五味(Yahoo! JAPAN研究所):
最近では、生体認証や所持認証にとどまらず、利用者の行動・挙動に関わるデータを分析して認証する、「行動認証」のような新しいアプローチの精度をさらに上げていこうという動きが盛んです。たとえば、マウス入力やタッチ操作、歩容(歩くときの姿勢、歩幅などの特徴)やジェスチャーなどが挙げられます。
また、たとえばFacebookでは「ユーザーが普段から違う場所でログインしている」という行動を検知すると追加認証が求められるようになっています。この「リスクベース認証(※4)」に、今後は上記のような行動認証技術が加わっていくだろうと考えています。
セキュリティを推進する上でよくいわれるのは、「安全性と利便性」。
行動認証の場合、ユーザーは特別な機器を使わなくても認証できます。そのように手軽に認証できるようになれば、ユーザーの利便性向上につながるかもしれません。
※4 リスクベース認証:
ユーザーがログインする際の環境、IPアドレス、行動パターンなどに基づきユーザーを分析。リスクが高いと判断された場合に追加認証を行う
パスワードレスログインでお客様の負担を減らしたい
上野(IDソリューション本部):
日本ではここ数年、インターネットバンキングやネットショッピングなどのサービスで、パスワードを盗まれたり、不正ログインされたりなどの被害にあってしまうケースが増えています。
さらに、パスワードはお客様に設定・管理をしていただくものなので、どうしてもお客様の負担が大きくなるという課題があります。そのため、よりセキュリティを強化した、パスワードを使わないログインへ舵(かじ)をきりました。
同じ頃、世界的にFIDOに注目する動きがあり、ヤフーも業界団体FIDOアライアンスに加盟し、2018年8月に新たな規格である「FIDO2」の認定を取得しました。これにより、生体認証デバイスなどを利用した「パスワードを使わない、安全で簡単なログイン」が可能となりました。
新規にYahoo! JAPAN IDを取得していただく際は、スマホではパスワードを設定する必要がありません。長くて推測されにくいパスワードを考えるだけでも、お客様にとっては負担になるため、より簡単な方法で取得していただけるようにしました。
パスワードログインは、1人が使うサービス数が増えるに従い、簡単に使い続けるのは難しくなると思っています。パスワードを設定したり、入力したりする必要がない、パスワードレスログインの便利さをぜひ一度体験してみてください。
山口(Yahoo! JAPAN研究所):
FIDO2に対応したことで、Androidスマートフォンのウェブブラウザーでは、ヤフーのサービスに指紋認証などの生体認証を利用してログインできるようになりました。
すでにパスワードを設定して利用いただいているお客様には、パスワードを無効化する機能も用意していますので、その上で生体認証を利用したログイン方法に切り替えていただくことができます。
大神(Yahoo! JAPAN研究所):
ただ、すでにパスワードを設定して使っていただいているお客様にパスワードを無効化していただいたり、スマホの指紋認証機能をまだ使っていない方に指紋を登録していただいたりすることは簡単ではないと思っています。
お客様が実体験を通じて、いつのまにか自然にパスワードレスログインを使っているという体験を提供したいと考えています。たとえばYahoo! JAPAN IDを登録していただく際に、普段使っているスマートフォンでも簡単にFIDOを使って認証できる仕組みを今後は検討していきたいですね。
パスワードレスログイン、FIDOの今後の展望
山口:
ヤフーだからこそできる、データを使った認証の仕組みを作っていきたいですね。指紋登録すら不要なくらい、さらに利便性を高めた仕組みを検討したいと考えています。
ユーザーの状況に合わせて適切に認証する仕組みを実現したい
大神:
FIDO認証で生体認証が使えるようになっても、まだ不便なことはあるので、もっと簡単、便利に認証方法を多様化させたいと考えています。
たとえば、寒い日に手袋をしていたり、お風呂上りに指がふやけていたりして、指紋が認証されないときには声や顔で認証できるようになったら便利ですよね。
現在は、IoTに付随するセンサー類が増えインターネットにつながるようになったことで、ユーザーがどういう状況にいて、どのような認証を求めているのか把握しやすくなってきました。生活の中でユーザーの状況を知った上で適切に認証する仕組みを提供していきたいです。
【関連リンク】
- 指紋・顔認証を利用してログインをかんたんに 生体認証によるログイン(Yahoo! JAPAN IDガイド)
- FIDO認証の進化とさらなる応用展開 (第3回FIDOアライアンス東京セミナー講演)(Yahoo! JAPAN Tech Blog)
- Yahoo! JAPANでの生体認証の取り組み(FIDO2サーバーの仕組みについて)(Yahoo! JAPAN Tech Blog)
- ヤフー、Androidスマートフォンのウェブブラウザー上でのログインが指紋認証などの生体認証に対応(プレスリリース)
- 「スマホを落としただけなのに」スマホのセキュリティ対策(Yahoo! JAPANコーポレートブログ)
【ヤフーのFIDO2への取り組みについて】
複数サービスのID、パスワードを管理する負担を減らす手段として、ヤフーでは、Yahoo! JAPAN IDを使ってYahoo! JAPAN以外のサービスにログインできる「ID連携」の仕組みを提供してきました。
そして、より簡単で安全なログインを実装するため、ヤフーは「FIDO」を使った「パスワードレスログイン」の仕様検討、推進を行っています。
FIDO認証の標準化活動をする「FIDOアライアンス」にヤフーも参加しており、2018年8月には、世界で初めて開催された「FIDO2」認定テストで業界団体FIDOアライアンスの新たな規格である「FIDO2」の認定を国内企業で唯一取得しました。
これにより、2018年10月に、AndroidのChromeブラウザーで生体認証を使ってログインできる仕組みを導入。FIDO 2に対応した一般向けサイトを世界で初めてリリースしました。