パスワードレスを実現するFIDO/WebAuthのさらなる普及へ、新提案を公開。デバイス間でのクレデンシャル同期、Bluetooth経由でのローミング認証器など

今回は「パスワードレスを実現するFIDO/WebAuthのさらなる普及へ、新提案を公開。デバイス間でのクレデンシャル同期、Bluetooth経由でのローミング認証器など」についてご紹介します。

関連ワード (リカバリ、存在、課題等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


一般にWebサービスなどへのログインには、ユーザー名とパスワードの組み合わせが使われます。しかしこのパスワードの情報などが漏洩することで、企業や個人に大きな損失を与える事故が繰り返されてきました。

そこで、ユーザー名とパスワードの組み合わせの代わりにスマートフォンなどのデバイス内に保存したクレデンシャルを用いてユーザー認証を行い、パスワードの入力を不要にする技術が登場しています。

業界標準となっているのが、FIDOアライアンスによる「FIDO2」と、それをW3CのWeb標準として策定した「Web Authentication」(WebAuthn)です(以下、FIDO/WebAuthn)。

ユーザーはスマートフォンなどのデバイスに対して顔認証や指紋認証、PINなどの入力による本人確認を行うことでデバイス内に保存したクレデンシャルを有効にし、サーバに対する認証はクレデンシャルを用いた公開鍵暗号方式を用いて行います。

これによりパスワードの入力や保存は不要となり、また通信経路上に流れる情報やサーバ側で保存される情報はクレデンシャルに対応した公開鍵だけとなるため、それらが流出しても大きな問題となりません。より安全なインターネットの実現につながるわけです。

FIDO 2FIDO AllianceがFIDO2の説明に用いている図。指紋認証や顔認証などを用いた簡単で強力な認証機能をWebブラウザにもたらしつつ、中間者攻撃や流出したパスワードなどによる攻撃に耐性があるとしている

参考記事:パスワードに依存しない認証「WebAuthn」をChrome/Firefox/Edgeが実装開始、W3Cが標準化。Webはパスワードに依存しないより安全で便利なものへ

まだ不便さが残るFIDO/WebAuthnの課題とは

このFIDO/WebAuthnの技術は、すでにYahoo! JAPANなど主要なWebサイトなどが数年前から採用を始めていますが、本格的な普及には至っていません。

その理由はいくつか考えられますが、現時点でFIDO/WebAuthnの不便な点の1つとして、複数のデバイスでの利用が考慮されていない点が挙げられます。

例えば、複数のデバイスを利用する場合には、デバイスごとにログインしてクレデンシャルの登録をしなくてはいけませんし、デバイスを紛失したあとで新しいデバイスを入手した場合、これまで使っていたクレデンシャルをリカバリする方法も用意されていませんでした。

こうした不便さを解消することでFIDO/WebAuthnをさらに普及させるべく、FIDOアライアンスとW3CのWebAuthnワークグループが、WebAuthnの「Leve 3」と呼ぶ追加仕様を提案する文書を公開しました。

fig

マルチデバイス対応のFIDOクレデンシャルを導入することで、ユーザーが利用するすべてのデバイスでFIDO/WebAuthnを利用しやすくすることが目的です。

新たにマルチデバイスFIDOクレデンシャルの導入を提案

追加仕様は2つあります。1つ目はローミング認証器の機能をデバイスに持たせること。

1)ユーザーの携帯電話(FIDO認証器となる)と、ユーザーが認証を行おうとしているデバイスとの間で通信するためのプロトコルを定義し、携帯電話をローミング認証器として使用できるようにすること。

例えば、普段使っているiPhoneではFIDO/WebAuthnでいつもログインしているので、iPhoneにはクレデンシャルが入っているけれど、ときどき使うiPadにはクレデンシャルが入っていないので、ログイン名とパスワードを入力してログインしている、という場合を考えます。

この追加仕様ではiPadとiPhoneがBluetoothで通信を行い、iPadでのログイン処理をiPhoneをFIDO認証器として用いる、つまりiPhone側のクレデンシャルによってiPadでログイン名とパスワードを入力することなくログインする、ということを可能にします。

Bluetoothのような近接通信を用いることで、利用者がFIDO認証器を所持していることを保証するわけです。

2つ目はクレデンシャルをデバイス間で同期可能にすることです。

2)FIDO認証資格情報をユーザーのすべてのデバイスで広く利用できるようにし、デバイスの紛失に耐えられるようにし、異なるデバイス間でも同期できるようにすること。

これはiOSデバイス間での同期やAndroidデバイス間の同期など、まずはプラットフォームベンダが安全な同期機能を提供することを想定しているようです。

これが実現することで、デバイスを紛失して新しいデバイスに乗り換える場合、あるいは古いデバイスを処分して新しいデバイスに乗り換える場合にも、スムーズにデバイスの乗り換えが可能になります。

また、iOSとAndroidなど異なるプラットフォームのデバイスが混在するマルチデバイス環境でも、1)の追加仕様によって異なるプラットフォーム間でのローミングができるため、これを利用した認証後のデバイスに対するクレデンシャルの登録が行えれば、プラットフォーム間の乗り換えも比較的スムーズにできることが想定されます。

この追加仕様を発表したFIDOアライアンスは「マルチデバイスFIDOクレデンシャルの導入により、今日、パスワードに完全に依存している多くのユースケースや、攻撃が増加しているSMS OTPなどの従前から存在しているMFA(二段階認証など)において、フィッシング耐性のあるFIDO認証をより広い規模で展開する重要なステップになると考えています。」とコメントしています。

この追加仕様についての詳しい解説は、3月22日付けで公開された文書「How FIDO Addresses a Full Range of Use Cases」(PDF)で読むことができます。現在は英語ですが、日本語訳の公開も予定されているとのこと。また今月にはウェビナーも開催予定とのことです。

AppleやGoogleの対応に期待

Googleは2019年の時点でAndroid 7以降のFIDO/WebAuthnの対応を済ませており、Appleも2020年にFIDOアライアンスへの加盟を発表しています。そのため両社ともに、今回の追加仕様への対応もいずれ行うと見られます。

  • Apple、パスワードを不要にするFIDO Allianceへの加盟が明らかに
  • パスワードを不要にするFIDO2プロトコルに、Android 7以降の全デバイスが適合。FIDOアライアンスが「AndroidがFIDO2認定取得」と発表

いまだにWebサービスなどへのログインはログイン名とパスワードの入力が主流です。特に個人利用においてはまだFIDO/WebAuthnの普及はほとんど進んでいないと言っていいでしょう。

今回の追加仕様が、できるだけ早く安全なインターネットの実現につながることを期待したいところです。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
IBM上級幹部が語る「日本への投資を増強している理由」とは
IT関連
2023-09-30 06:22
IIJ、エッジコンピューティング環境を体感できるショーケース開設
IT関連
2022-02-06 03:33
JERAとマイクロソフト、発電分野で戦略的協業–生成AIやデジタルツインを活用
IT関連
2023-09-13 08:39
世界的テック企業とやり合うEUの主任データ監督者は未だにLotus Notesを使っているという驚きの事実
その他
2021-03-06 02:44
ネット中立性に関するコメント2200万の80%が捏造と調査で判明
パブリック / ダイバーシティ
2021-05-09 06:24
富士通と帝国データバンク、「日本版eシール」社会実装に向けて実証実験–国内初
IT関連
2022-04-05 23:16
SAS堀田社長が3月末で退任–後任はZook氏が暫定就任
IT関連
2021-03-23 00:40
VSCodeの新機能「Copilot Edits」、GitHub Copilotが複数ファイルにわたるコード変更や生成に対応。「ダークモードとライトモードのテーマに対応して」など複雑な指示も可能に
GitHub
2024-11-06 13:05
アトラシアン、AIが社内情報をサービス横断で学習し質問に答える「Atlassian Rovo」正式リリース。JiraやConfluence、Googleドライブ、GitHub、Slackなどに対応
Atlassian
2024-10-11 08:19
感情検知AIとアイトラッキング技術の出会いは何を生み出すか
IT関連
2021-06-15 15:23
凸版、パワー半導体事業に参入–安定供給の支援図る
IT関連
2023-05-02 22:34
シスコ自身の変革を通じ社会や顧客の変革と価値に貢献–濱田新社長が所信表明
IT関連
2024-01-26 00:01
住友ゴム、ロックウェルの製造実行システムを実装–デジタル製造を本格化
IT関連
2024-12-13 03:43
テレワークでエアコンの使用時間は約1.8倍に ダイキン調査
くらテク
2021-03-20 17:03