企業情報

2020.09.15

個人認証の歴史「IDとパスワード」から「パスワードレス」まで

画像

わたしたちがインターネットサービスなどにログインしサービスを利用するためには、まず、本人であることを証明して「認証」される必要があります。
認証は、利用者を識別する情報と利用者本人であることを確認する情報を組み合わせることで行われ、以下の3つの要素があります。

画像

認証要素の「知識」「所持」「生体」のなかで、もっとも長く使用されているのは「知識」の要素である「IDとパスワード」です。パスワードによる認証方法は1960年代に発明され、約60年が経った現在も、多くのサービスで使われています。
今では、自分専用のパソコンやスマホを所持していることが普通になりましたが、私たちがその端末で利用するアプリなどでは、あまり意識することなく多くのIDとパスワードを管理しています。ですが、IDやパスワードがもれてしまった場合、悪意のある人にその情報を使われてしまうことで、自分になりすまして他のサービスでログインされてしまう、個人情報を知られてしまう、自分のアイデンティティーが証明できなくなってしまう、などのリスクが考えられます。

画像

このようなリスクを減らすため、2020年の現在に至るまで、インターネットの進化とともに「認証」も進化を続けてきました。近年では、セキュリティと使いやすさを両立できる「パスワードレス」の取り組みが進んでいます。
パスワードレスログインの仕様検討と推進を担当しているYahoo! JAPAN研究所の五味に、IDとパスワードの歴史をふりかえってもらいました。

五味 秀仁(ごみ ひでひと)
2007年入社。Yahoo! JAPAN研究所 上席研究員。
1996年京都大学大学院工学研究科応用システム科学専攻修士課程修了。2001~03年スタンフォード大学客員研究員。アイデンティティー管理、アクセス制御、プライバシー保護、トラスト管理 、コンテキストアウェア技術の研究開発に従事。IEEE 、ACM、情報処理学会、電子情報通信学会各会員。博士(情報学)。

1995年以前:Windows95以前

Windows95よりずっと以前の「メインフレーム」と呼ばれるような大型コンピューターなどは、限られた開発者が使うものでした。また、それらのコンピューターが置かれている場所にも、限られた人しか入室できないようになっている場合もあり、複雑なパスワードの利用やパスワード自体が今ほど厳重な管理を求められていませんでした。
また、このときは各利用者が共同で利用するコンピュータに時間制限をつけ、IDとパスワードによる認証を行うことで管理することもありました。

1995年~:Windows95、98の登場

Windows95、98の登場により、インターネットが一般の人に広がり始めましたが、当時はウェブサービスはまだそれほど多くありませんでした。そのため、サービスを使用するために必要なIDとパスワードの数も少ないので管理にそれほど苦労せず、多少使いまわしたとしてもそれほど問題にはならなかったと考えられます。

2000年代半ば~:シングルサインオン(SSO)の登場

その後、ユーザーが使うウェブサービスが増え、管理するIDとパスワードの数も増えていきました。また、コンピューターの処理能力があがるにつれ、攻撃者がいわゆる「総当たり攻撃」できるパターンも増えました。そのため、安全なパスワードを作成するために推奨される桁数や要素数(英字・大文字英字・数字など)も増えて複雑化していきました。これは現在まで継続している事象です。
これを解決するため、特定のIDとパスワードによる個人認証の結果を他社のサービスでも利用できる仕組み「シングルサインオン(SSO)」が登場します。これによりログイン処理が簡略化され、一度、ある認証プロバイダで認証すれば、そのプロバイダと連携している他社のサービスを利用する際に、さらなる認証が不要になりました。

Yahoo! JAPANでは、同様の取り組みとして、2008年から「Yahoo! ID連携」の提供を開始しました。これは、Yahoo! JAPAN IDで他社のウェブサイトやアプリケーションへのログインができる仕組みです。
日本でよく利用されているのは、Facebook、Twitter、Yahoo! JAPAN、LINEなどのID連携ではないでしょうか。

2008年ごろ~:スマホの登場と浸透

2008年ごろまでのウェブサービスは共有のパソコンなどでアクセスして利用されていたため、万人に向けて共通の仕様で作られており「特定のサービス(メール、チャット、ECなど)を使うときだけログインする」のが一般的でした。
その一方でスマホというパーソナルデバイスが浸透しはじめたことで、ウェブサービスやアプリ自体が、その人に合わせた情報を提供するなど「一人ひとりに向けた提供」を前提として進化していきました。
これにより、個人認証が求められるウェブサービスとアプリが一気に増え、「常にログイン」している状態が一般的になっていきました。代表的なサービスとしてはLINE、Facebook、Twitterなどで、電話番号でログイン(本人確認)するものとなっています。

画像

2013年9月~:iPhone5s、生体(指紋)認証デバイスの登場と浸透

このような背景から、これまでは企業向けや金融機関向けシステムなどの限定的な環境でしか使われていなかった生体認証が、iPhone5sの登場で一気に一般化します。生体認証の普及はスマートフォンの普及によるところが大きいといえます。ですが、デバイスの個人認証が生体認証になっても、ウェブサービスとアプリの個人認証はIDとパスワードを使っているユーザーもかなり多くいるため簡単になくせない、という現実がありました。

そのような背景の中、生体認証など、パスワードを使わない安全な個人認証の標準化を目指す団体「FIDO アライアンス(※)」も2013年に正式に発足しました。ヤフーは、2014年にスポンサーメンバーとして「FIDOアライアンス」に加盟以来、技術仕様の策定に参加し認証技術の実装方法の検討を進めてきました。さらに2018年には「FIDOアライアンス」ボードメンバーに加盟しています。

比較的盗まれにくく覚える必要がない、「パスワードレス=パスワードを使わない」の実装が進むことで、パスワードを覚えておく必要がなくなり、より使いやすく安全なサービスを提供できるようになると考えています。

※FIDOアライアンス:
「高速なオンラインID認証」を意味する「FIDO(Fast IDentity Online)アライアンス」。
セキュリティと利便性の両立をめざすため、2013年2月に発足したグローバルな非営利団体。ユーザーが多くのIDとパスワードを覚えなければならないという 煩わしさなどのパスワードの問題を解決することを目的としている。

パスワードを使わない、安全で簡単な「パスワードレスログイン」の推進

IDとパスワードによる認証は、ユーザーのみなさまに設定・管理をしていただくものなので、どうしても使い勝手の面で負担が大きくなってしまうという課題があります。また、みなさんが使うサービス数が増えるに従い、安全かつ簡単に使い続けることは難しくなっていくと思います。そのため、ヤフーでは、よりセキュリティを強化した「パスワードレスログイン」を推進しています。
また、最近では、生体認証や所持認証にとどまらず、利用者の行動・挙動に関わるデータを分析して認証する、「行動認証」のような新しいアプローチの精度をさらに上げていこうという動きが盛んです。たとえば、マウス入力やタッチ操作、歩容(歩くときの姿勢、歩幅などの特徴)やジェスチャーなどが挙げられます。

セキュリティを推進する上で大切なのは「安全性と利便性」のバランスをとり、両立させること。行動認証を使った場合、ユーザーは特別な機器を使わなくても認証が可能になります。そのように手軽に認証できるようになれば、さらなる利便性向上につながるかもしれません。

ヤフーは今後も、ユーザーのみなさまが「いつのまにか自然にパスワードレスログインを安全・安心に使っている」という体験や、さらに利便性を高めたサービスをご提供していきたいと考えています。

ヤフーのFIDO2への取り組み

複数サービスのID、パスワードを管理する負担を減らす手段として、ヤフーでは、Yahoo! JAPAN IDを使ってYahoo! JAPAN以外のサービスにログインできる「ID連携」の仕組みを提供してきました。 そして、より簡単で安全なログインを実装するため、ヤフーは「FIDO」を使った「パスワードレスログイン」の仕様検討、推進を行っています。
FIDO認証の標準化活動をする「FIDOアライアンス」にヤフーも参加しており、2018年8月には、FIDOアライアンスの新たな規格である「FIDO2」に関して、世界で初めて開催された認証テストにおいて「FIDO2」の認定を国内企業で唯一取得しました。
これにより、2018年10月に、AndroidのChromeブラウザーで生体認証を使ってログインできる仕組みを導入。FIDO2に対応した一般向けサイトをサービス事業者として世界で初めてリリースしました。

2014年:FIDO Allianceスポンサーメンバーに加盟
2015年:FIDO UAF 1.0認定取得
2017年4月:パスワードを使わないログイン方法(SMS認証)の導入を開始
2018年5月:既存パスワードの無効化機能の提供を開始
2018年9月:FIDO2認定を国内企業として初取得、10月に商用サービスに世界初導入
2018年12月:FIDO Allianceボードメンバーに加盟
現在アクティブログインユーザーの約半数がパスワードレスログイン(SMS認証、生体認証)を利用中。

【関連リンク】

このページの先頭へ