パスワードレス認証の実現と普及を目指して　「認証」の標準化・研究・開発を通じて実現したいこと

私たちがインターネットサービスなどにログインして利用するためには、まず、本人であることを証明し「認証」される必要があります。1960年代に考案された「パスワード」は、これまで多くのサービスの認証において使われてきました。ですが、パスワードには、覚えておくことが難しいため使いまわしされやすい、盗まれてしまうおそれがあるなどの課題があります。
そのため、近年ではセキュリティと使いやすさの両立を可能にする、顔や指紋などによるパスワードを使わない認証（「パスワードレス認証」）の取り組みが進んでいます。

パスワードレスログインの研究開発と標準化に取り組んでいるYahoo! JAPAN研究所の五味は、「パスワードによる認証は、セキュリティと使いやすさの両面で問題があるが多くのサービスで既に利用されているため、すぐに完全になくすことはとても難しい。だが、将来的に認証においてパスワードへの依存を減らしていくことが理想」だといいます。
五味の研究内容、新たに挑戦したい認証テーマなどについて聞きました。

目次：

• パーソナライズしたサービスの実現には「認証」が必要
• 標準化されている認証とされていない認証の違い
• 認証サービスを利用するときに私たちが気をつけたほうがいいこと
• 標準化と開発、研究をバランス良く進めていくために
• パスワードがなくなるのが理想の世界　新しい認証の仕組みとは？

パーソナライズしたサービスの実現には「認証」が必要

ログインをする必要がなく、たとえば何か質問を投げて返事が返ってくるようなサービスであれば、「その人である」ことを証明すること＝認証は必ずしも必要ありません。ですが、実際に「ピザを注文する」ばどお金の支払いが発生するときは、その人が本人であることを認証する必要が出てきます。

パーソナライズされたサービスを提供しようと考えたとき、認証はインフラのような存在になっていくのではないかと考えたことが、この研究に取り組むようになったきっかけです。
たとえば、私たちが今、クラウドサービスやアプリケーションなどのサービス認証に使っている、「シングルサインオン（※1）」の仕組みは、もともと「Libertyアライアンス」というオンライン認証技術団体が定めた標準仕様を基本として進化してきています。私も当時、その団体に携わっていたことから、認証の標準化に本格的に関わるようになりました。

※1 シングルサインオン：SSO（Single Sign-On）：
一度ユーザー認証 （ログイン） を行うことで、そのユーザー認証にひもづけられているシステムやサービスを、追加の認証なしで利用できる機能

標準化とは、具体的には「プロトコル」という、通信規約を決めていく作業です。サービスを提供する側が認証する側に、「こういうメッセージを送られたらこう返事を返す」という、送り手と受け手の間のメッセージの内容や処理ルールを決め文書にまとめることを「仕様化」といい、それを標準仕様として定めていくことが標準化です。
たとえば、先ほどお話したシングルサインオンを取り入れたい業者は、安全で便利な仕組みを多くのユーザーに使ってもらえるように、事業者間で適切なやり方になるように、標準仕様を決めていきます。この標準化の取り組みを、日本だけでなく、世界中で進めています。

標準化されている認証とされていない認証の違い

ヤフーは、パスワードをなくしていこうという目標を挙げて認証の標準化を推進している「FIDOアライアンス」に2014年から参加し、指紋や顔などの生体認証などの認証方法をログインに適用できるFIDO認証（※2）の仕様の策定と普及に貢献しています。
2018年には「FIDO2」の認定を取得し、Yahoo! JAPAN IDでの認証サーバーに実装。サービス事業者としては世界で初めて、実サービスにFIDO2によるパスワードレス認証をリリースしました。これにより、Yahoo! JAPAN IDを使ったログインが必要なサービスでは、指紋や顔などの生体認証がご利用いただけるようになっています。

※2 FIDO認証：
ユーザーが所持するデバイスを使って本人確認を行い、サーバーには「認証に成功した」という署名付き情報のみを送信。ユーザーの生体情報などをサーバーには渡さない、安全性の高い認証方法。

このFIDO認証の仕組みも、世界中の専門家と共に標準化を目指して実現したものです。たとえば、指紋や顔認証などの生体認証は、すでにスマホのロック解除に使われていますが、それらの認証結果をどのように展開し共有するかなどの仕組みがFIDO認証において標準化されています。このため、スマホのロック解除で利用する顔認証は、ヤフーに限らずFIDO認証に対応している他のサービスでも利用できます。
つまり、標準化しているか、していないかの違いは、その生体認証をその事業に閉じて使っているか、あるいは、他社も共通で使えるかどうかという違いになって表れます。

現在のように認証の標準化が進むまでは、各社が自社サービス専用の認証手段を用意する必要がありました。そのため、サービスプロバイダーそれぞれが固有の認証手段を使い、他の業者との連携がない場合、その都度新しい認証手段を開発する必要があったのです。また、ユーザーは、極端に言うと自分が利用するサービスの数だけIDとパスワードを持ち、異なる認証を行う必要がありました。

その課題を解決するため、認証技術を異なる事業者の間でも共通に使えるようにしたのが、先ほどお話したシングルサインオンやFIDO認証による「標準化された認証」です。
標準化された認証方法を選ぶメリットは、まず、広く流通している技術を取り込めること。自前で認証を導入するコストを削減できるというメリットもあります。
また、標準化された認証は、世界中の専門家が集まるコミュニティで作られたものですので、万が 一何か問題が見つかった場合でも先のコミュニティがしっかり対応するため、セキュリティ面でも安心して利用できると思います。

認証サービスを利用するときに私たちが気をつけたほうがいいこと

たとえば、先ほどお話したように、同じ「自分の顔をかざして認証される」仕組みでも、標準化されたFIDO認証の仕組みを使っているものと、そうではなく、そのサービス専用のものがあります。
そのため、ご自身の生体認証認証をされる仕組みがどうなっているかを理解すると、より安心してそのサービスを使えると思います。
たとえば、ご自身の顔写真を事前に登録しておくことで認証されるサービスの場合は、「自分が認証用に登録したこの写真を使って認証する」とわかると思います。そして、一般的にはその写真データがサービス側に保存されることが多いので、その情報がどのように取り扱われるか気にするとよいと思います。
認証のされ方としては「顔をかざして認証される」という同じ方法ですが、 ご自身の顔写真データがどこに管理され、どのように扱われているか注意していただくと良いと思います。

標準化と開発、研究をバランス良く進めていくために

私は、認証の標準化に関わりながら、開発と研究をバランス良く見ていくことを意識しています。また、新しい技術の研究という目で仕様を見ることで開発を支援したり、自らプロトタイプを開発したりもしています。そして、ある程度技術が成熟してきたら、その技術を応用してどのようなことができるかという研究にも取り組んでいます。

実は、純粋に認証の研究を進める上では、標準化や開発に携わる必要がない場合もあります。ただ、新しい技術として標準化されたものが出てきたら、それが多くのユーザーの方にとって良いものであれば、その標準技術をうまく取り込むことでその先の世界を探そうという、研究としての視点も生まれてきます。
また、このサービスや技術が未完成で成熟していくかどうかまだわからないとき、稼働中のサービスにその技術を取り入れるリスクを取ることはなかなかできません。そのため、私たち研究部門は、新しく策定された標準仕様のドラフトをベースにまずプロトタイプを開発し、しっかり検証してから事業部門でサービスに落とし込んでもらう、という進め方もしてきました。

FIDOアライアンスの標準化に取り組みはじめたころは、研究部門と事業部門の人も一緒に勉強会を実施していました。標準化の会議から得た最新情報をシェアしたり、新しい技術を一緒に学び議論したりする機会にしていました。そうやって、関係者間で適切に技術を理解して、サービスに取り入れてもらえる環境を少しずつ作っていくように努力しました。
その勉強会を約3年続けた結果、2018年にサービス事業者として世界初のFIDO2を使った認証サービス（AndroidによるYahoo! JAPAN IDログイン）をリリースできたことは、とてもうれしかったですね。
また、このように研究部門と事業部門とが一体となって進めてきたパスワードレス認証の活動を表彰（※3）いただけたこともうれしいと同時に光栄でした。

※3 表彰：
令和5年度文部科学大臣表彰 科学技術賞、2022年度電子情報通信学会 業績賞、2021年度情報処理学会 業績賞、第69回電気科学技術奨励賞をそれぞれ受賞。

認証について考えるときは、「これは研究の対象として見ている」「開発している」「これは標準化の案件だ」などとそれぞれを切り分けて考えるようにしています。同じ認証についてでも、それぞれ使う頭や見方、考え方が異なるので、頭の切り替え方、時間の使い方はまだ課題だと感じていますね…。研究と開発と標準化をバランス良く実践していくことには、まだチャレンジしている途中です。

とはいえ、認証という同じテーマなので、研究だけでなく標準化を進めたり開発したりする中でヒントを得られることもあります。FIDO認証をヤフーのサービスに導入することで、ユーザーのみなさんに安心してご利用いただける土台はできたと思っていますので、今後は、FIDO認証を使った次の展開を考えていきたいですね。
また、標準化を進める立場としては、ヤフーがこの技術をサービスに導入しても問題ないか、また、不足している点はないかなど、常に最新の情報や認証技術を確認しながら改善や調整を続けています。

パスワードがなくなるのが、理想の世界　新しい認証の仕組みとは？

私たちは、パスワードがなくなるのが理想の世界だと思っています。そのため、FIDOアライアンスのメンバーとして目指しているのは、「パスワードをなくす」という大きな目標です。
ただ、まだまだ達成できていないと感じています。FIDO認証を使っていただいているユーザーはかなり増えてきましたが、パスワードを完全になくしても大丈夫な状況にはまだ遠いですね。

パスワードには安全性や利便性の両面でいろいろな問題があります。何十年もの間、セキュリティのコミュニティーの中でも指摘されてきたのですが、なかなか完全になくすことができていません。
たとえば、「覚えられない」ということはデメリットですが、覚えてしまえばどこでも使えるという「ポータビリティ（持ち運びができる）」のプラスの面もあります。導入のコスト面などもあわせて考えると、パスワードはよくできた仕組みだともいえるため、これがなくすことが難しい理由の一つだと考えています。
現状のパスワードの利用実態を観察しながら、パスワードへの依存度を減らしつつ、FIDO認証も含めた新しい認証の在り方を取り入れていきたいと思っています。

パスワードに代わる安全な認証方法として、私たちはヤフーのサービスをご利用いただいているお客さまのデータをお預かりしているので、お客様の同意を得た上でそのデータを使った認証はできないだろうかという研究も行っています。
たとえば、こういう店で買い物した、こういう検索をしたなどを「行動」のデータとして認証に活用できないか検討しています。この考え方を使ったものに、ターゲティング広告の仕組みがありますが、それをプライバシーに配慮しながらも認証にもう少し進化させられないか、という研究にも取り組んでいます。
また、ユーザーが使ったウェブサービスやアプリによる「行動」だけでなく、ユーザーが使っているアプリやデバイスの特徴まで加えて認証するという、新しい形の認証ができたらというアイデアもあります。

多くの方にとって使いやすい認証方法は、基本的には生体認証だと思っています。ただ、やはりユーザーのコンテキスト（状況）によって使える・使えないがあるので、それをうまく使い分けられる総合的な認証がいいのではないか、というビジョンを持っています。
具体的には、たとえば手袋をしている人に指紋で認証してもらうのは不便ですし、電車に乗っていてみんなが静かな状況のときに、声で認証するのは無理ですよね。そのように、コンテキストに応じた適切な認証の手段があるはずなので、その場その場で使い分けた認証ができると、より便利になると思います。
また、ずっと同じ人とチャットで話していたら、相手の人となりがわかってくることがありませんか？　そのように、「さっきこんなことを言った人だったら、もうあらためて認証する必要はない」という認証の仕組みを「継続的認証（※4）」と言います。

※4 継続的認証：
同一のユーザーによるサービスの継続利用を認証する技術のこと。サービスの利用中にユーザーの認証状態を評価することで、認証の頻度を下げられるメリットがある

このように、必要なときは尋ねる（認証を求める）けれど、もうわかっていることに対しては尋ねない、追加的に必要なものだけ尋ねるような認証があってもいいと思っています。
話したりチャットしたりしているうちに、いつの間にか認証できていて、認証される側も意識しない、というのもおもしろいですね。そのような複合的な認証、新しい認証の在り方をこれからも追求していきたいと思います。

【関連リンク】

• Yahoo! JAPAN IDガイド
• 「安全・安心・便利」FIDO（ファイド）を使ったパスワードレスログインとは
• 個人認証の歴史「IDとパスワード」から「パスワードレス」まで
• パスワードのないログインを目指して ? ヤフーのFIDO標準化活動
• パスワードレス認証のアカウントリカバリーの必要がない戦略とは
• ヤフーが世界で初めて、「FIDO2」を活用したパスワード不要のウェブサービスを実現！