煩雑なパスワードから解放される世界を目指す。注目が高まるFIDO2の認証方法と利用イメージを徹底解説

アクセスするユーザやデバイスが正規であることを確認する「認証」はセキュリティの基本です。コロナ禍によってテレワークが急速に進み、認証の重要性はますます高まっています。複数のクラウドサービスを利用する場合、パスワードの使い回しを避けるため、ユーザは複数のパスワードの管理を迫られます。管理者はパスワード忘れに伴う業務負荷の課題を抱えています。この解決策として注目されているのが「FIDO2(ファイドツー)」です。指紋や静脈、顔認証などの生体認証にも対応し、“パスワードレス”による安全・確実な認証が可能になります。これによってテレワーク時代の認証はどう変わるのか。FIDO2の仕組みとメリットを徹底解説します。

目次
  1. 急速なテレワークシフトが生み出したセキュリティリスク
  2. パスワード認証の限界と問題点
  3. “パスワードレス”の認証を実現するFIDO2とは
  4. FIDO2導入のハードルの低さ
  5. パスワードからの解放
  6. 「IIJ IDサービス」でFIDO2認証をご提供

急速なテレワークシフトが生み出したセキュリティリスク

近年は働き方改革の一環としてテレワークの利用が広がりを見せています。同時に、場所やデバイスに依存せず仕事ができる業務アプリやオンライン会議サービスなど、様々なクラウドサービスの利用が増えています。

この流れはコロナ禍によって一気に加速しました。テレワーク時代の働き方を支える快適な仕事空間「デジタルワークプレース(DWP)」も普及しつつあります。

社内/社外の境界線を超えた業務形態が進むことで「不正ログイン」対策が喫緊の課題となっています。その中でも「認証」は必要不可欠なセキュリティ対策と言えるでしょう。

認証手段はパスワード認証が一般的ですが、その管理と運用には細心の注意が必要です。例えば、クラウドサービスごとにパスワードポリシーはまちまちで常に企業の基準を満たしたパスワードポリシーを強制できるとは限りません。また、社内/社外どこでもIDとパスワードだけでログインできてしまうことで、外部の攻撃者からの不正ログインのリスクに絶えず晒されることにもなります。

ビジネスメール詐欺やフィッシング詐欺によるID/パスワードの漏えい例

コロナ禍でのテレワークへの急速な移行に伴い、すべての従業員が十分なリテラシー教育を受けられていないことも不正ログインのリスクを高めています。会社の許可を得ずに独断でBYOD端末を業務利用したり、テレワークにより各従業員が孤立化していることで、フィッシング詐欺などに遭いやすくなっています。

パスワード認証の限界と問題点

認証のためのパスワードは、システムごとに入力が必要です。利用するシステムやクラウドサービスが増えると、パスワードを入力する回数も比例して増えることになります。生年月日や数字、アルファベットの単純な羅列は推察されやすいので、より複雑に、かつ、ある程度長い文字数でパスワードを設定する必要があります。また、不正ログインの被害を拡大しないように、パスワードの使い回しも避けなくてはなりません。企業によっては、定期的なパスワード変更を求めているところもあります。設定したパスワードを忘れてしまった――。いくつものパスワードを覚えきれない――。ユーザにとってパスワードの管理が大きな負担になっています。

例えば、ユーザがパスワードを忘れた場合、再びログインするためには情報システム部門に依頼するなどしてパスワードリセットを行い、新たなパスワードを設定する必要があります。その間、業務を停止せざるを得ません。お客様へのレスポンスが遅れ、ビジネス機会の損失につながります。

情報システム部門では定期的に多くのユーザからパスワードリセット業務を要求されることで、多くの時間を割かなくてはいけません。対象のサービス数が増えることで、不正ログインを検知する監視作業の手間も大きくなります。会社全体として見た時、その影響は決して小さなものではありません。

このようにテレワークの利用拡大に伴い、パスワード認証の手間とリスクが高まっています。

“パスワードレス”の認証を実現するFIDO2とは

パスワード認証による課題解決策として注目されているのが「FIDO2(ファイドツー)」です。

FIDO2はWeb技術の標準仕様を策定しているW3C(World Wide Web Consortium)と、安全な認証技術の標準を策定する「FIDO Alliance」が策定した規格。WebサイトがFIDOベースの認証システムでログインできるようにするためのWeb認証仕様「WebAuthn」と、デバイスと認証器(バイオメトリクスやPINなど)の通信仕様「Client to Authenticator Protocol(CTAP)」で構成された認証方式です。

FIDO2における認証では、ブラウザからローカルの認証器の認証機能が呼び出されます。ユーザがその認証器に対して認証を実施することにより、認証器自身に格納されている生体情報やPINなどの認証情報と照合を行い、その認証結果だけが公開鍵とともにサーバ側に送信されることで完了します。つまり、生体情報やPINなどの認証情報はローカルの認証器内にとどまっているので、生体情報などの個人情報が外部で管理されるわけでなく、また、外部に漏えいする心配はありません。

ユーザがFIDO2認証を完了するまで

※1 FIDO2に対応しているブラウザには、Edge、Chrome、Firefox、Safari などがあります。詳しくは下記サイトなどでご確認ください。
https://fidoalliance.org/fido2/fido2-web-authentication-webauthn/
※2 FIDO2に対応している認証器には、Windows Hello、Face ID、Touch ID などがあります。詳しくは認証器提供ベンダーにご確認ください。

ユーザがFIDO2によってどのように認証を行うことになるのか、FIDO2に対応するクラウド型ID管理・認証サービス「IIJ IDサービス」を例にした以下の動画でご覧ください。

FIDO2導入のハードルの低さ

なぜFIDO2に注目が高まっているのでしょうか。背景には仕様の標準化が進み、主要なプラットフォームで容易に利用できる環境が整ったことが挙げられます。

FIDO2が登場する以前にも、対応する特別な専用デバイスを利用してパスワードレス認証を実現する「FIDO UAF」、セキュリティコードやセキュリティキーなどを用いた二段階認証を行う「FIDO U2F」という認証方式がありましたが、いずれも専用のデバイスが必要で導入の敷居が高く、普及は限定的でした。

これがFIDO2の登場により、一変しました。Microsoft、Google、Appleなどの主要プラットフォームベンダーがサポートを表明したことで、これまで使っている端末で容易に利用できるようになったのです。現在はGoogle Chrome、Mozilla Firefox、Microsoft Edge、Safariなどの主要ブラウザが対応しています。

また、認証器として特別の専用デバイスを必要とせず、Windows Hello、Face ID、Touch IDなどを用いてFIDO2での認証が行えるようになっています。今後、FIDO2に対応した認証器が数多く提供され、さらに利用しやすくなっていくでしょう。

既に利用している多くの端末で追加コストをかけずにFIDO2認証が行える環境が整い、導入が容易になったことで、今後広く普及することが予想されています。

パスワードからの解放

FIDO2を利用することで、ユーザも管理者もパスワードから解放されます。その結果として、脆弱なパスワードやフィッシング詐欺などでのパスワード漏洩による不正ログインを防止でき、定期的なパスワード更新やパスワード忘れによるリセット/再設定などの対応からも解放されます。

FIDO2ではWindows Hello、Face ID、Touch IDなどが利用可能であり、ITリテラシーがあまり高くないユーザでも簡単に利用できるため、高いセキュリティを保ちつつ認証時の負荷負担を大きく軽減できます。さらに、FIDO2はユーザが持っている認証器しか実施し得ないものです。会社で認められた端末だけに認証を制限するといったことも検討しやすく、様々な企業のセキュリティポリシーに適合しやすいでしょう。

FIDO2では対応する認証器であれば、なんでも利用できるため、指紋や静脈、顔認証など自社のニーズにマッチした認証ソリューションをお選びいただけます。

「IIJ IDサービス」でFIDO2認証をご提供

IIJではクラウド型でID管理・認証サービスを行う「IIJ IDサービス」を提供しています。2020年11月現在で、約3,500社のお客様にご利用いただいています。

IIJ IDサービス」はFIDO2にも対応しており、SAML 2.0およびOpenID Connect 1.0に準拠したサービスへのシングルサインオンが可能です。これによって、FIDO2に対応していないクラウドサービスであっても「IIJ IDサービス」と連携することでFIDO2での認証が可能になり、更に、クラウドサービスごとに認証を行う必要もなくなります。

IIJ IDサービス」ではシングルサインオン機能もFIDO2認証を含む多要素認証機能もオプションサービスとして提供しています。それぞれ1ユーザあたり月額100円と非常に安価に利用できます。

パスワードレスを実現できるFIDO2は、今後の認証手段のメインストリームになると注目されています。IIJでは今後も、より簡単かつ安心・安全な認証プラットフォームの提供を目指し、サービス強化とラインアップの拡充を推進していきます。