煩雑なパスワード管理から解放してくれる「FIDO」とは?

小山安博

November 2, 2016 08:30
by 小山安博

ネットで買い物をするにも、旅行を予約するのも、メールを見るのにも、様々なシーンでパスワードを入力する必要がある。パスワードを管理する方法はいくつかあるが、すでに「記憶する」のは不可能な段階にきている。パスワードはより複雑な文字列が求められ、しかもサービスごとに異なるものを使うように推奨されている。ブラウザーのパスワード管理機能を使ったり、パスワード管理ツールを使ったりもできるが、面倒であることは変わりない。そこで、これらのパスワード管理から解放されると期待されている技術が「FIDO」(ファイド Fast IDentity Online)だ。

FIDOは、2013年2月に設立された非営利団体のFIDO Allianceが仕様を策定してきた。目的は、認証時のパスワード入力の負担を軽減するというもので、当初の規格としては2つのものがあり、1つが「UAF」、もう1つが「U2F」と呼ばれていた。

UAF(Universal Authentication Framework)は、オンラインサービスの「パスワードレス」を実現するためのプロトコルだ。パスワードの代わりとして生体情報を用いて認証を行うことで、パスワードを入力せずに安全に認証できるようにする。もう1つのU2F(Universal 2nd Factor)は2要素認証のためのプロトコルで、USBやNFCなどで接続したデバイスを使って2要素認証を実現することを目指して仕様が策定された。

ただ、これはFIDO 1.0の話で、新バージョンとなるFIDO 2.0ではこの両者は統合されることになった。FIDO Allianceでは2.0ドラフトの仕様を策定してきたが、2015年11月にはWeb技術の標準化を策定するW3Cに提案を行い、今後はW3Cで標準化に向けた策定が進められることになった。

パスワードレスの運用可能な「FIDO 2.0」

このFIDOが注目されているのは、パスワードレスの部分だ。FIDO 2.0(W3Cのドラフト名は「Web Authentication: An API for accessing Scoped Credentials」)では、次のようなユースケースを紹介している。

まず、スマートフォンで特定のサイトのアカウントを作成する。この登録方法は従来のパスワードを使ったもので構わない。この時、スマートフォンには「このサイトを端末に登録しますか?」という表示が出るので、同意する。その上でスマートフォンの認証方法を使って登録を行う。この登録方法は、PINコード、ジェスチャー、指紋認証など、どの方法でもいい。これで、サイトのアカウントとスマートフォンの認証が連携する。

続いてPCから実際にサイトにアクセスすると、「スマートフォンでサインイン」というオプションが表示される。オプションを選択すると、スマートフォン側に通知が送られる。スマートフォンの通知から、サインインするアカウントを選び、上記で登録した認証方法を使用する。それを受けて、PC側のサイトにログインが完了する。

このユースケースで紹介されているのは、サインインする場合に、スマートフォンという2要素目を使って認証する多要素認証と、指紋認証などがパスワード代わりに利用される、という2つの仕組みだ。これはFIDO 1.0でいうUAFとU2Fと同じ仕組みだ。これは「PCでサイトのログインに2要素認証を使い、スマートフォン側では指紋(など)で認証する」という例だが、「スマートフォンサイトへのログインに指紋を使う」という動作も可能なのがFIDOだ。

スマートフォンであればAndroidやiPhoneなどで指紋によるロック解除機能を搭載するものが増えており、安全に指紋情報が保管されている。この指紋認証によってユーザーを認証してログインを行うことができる。

生体認証を使ったログイン画面イメージ(docomo発表資料より

パスワードを使わない仕組み

もう少し詳細な動作は次のようになる。まず、ログインもしくはサービス登録時に、「Relying Party」に接続できるように設定する。このRelying PartyはOAuthの仕様などでも出てくる言葉だが、ほかの仕様と同一の動作は必要ない、とされている。

ログイン時にはRelying Partyのスクリプトが動作し、それを受けてクライアントOS側は「認証器(Authenticator)」を検索して接続する。認証器は、スマートフォンやPCであればTEE(Trusted Execution Environment)、TPM(Trusted Platform Module)、SE(Secure Element)といったセキュア環境で動作することが想定され、外部接続の場合は、USB、Bluetooth Low Energy、NFCが接続インタフェースとして規定される。

認証器は適切なUIで、新しい資格情報を作成して、生体認証情報やほかの認証方法を取得することの了解をユーザーから得る。了承が得られたら、認証器はクライアントOSにRelying Partyスクリプトへの反応を返すようレスポンスを返す。

Relying Partyスクリプトは、新しく生成された公開鍵をサーバーに送信するので、サーバー側でその公開鍵を保存する。この情報はユーザーと紐付いて保管され、準備が完了する。

ログイン時には、Relying Partyスクリプトが動作し、クライアントOSが認証器に接続し、ユーザーに対して通知を表示する。必要ならばユーザーはログインするアカウントなどを選択し、指紋認証などの認証動作を行う。認証器はその結果をOSに返し、Relying Partyスクリプトがサーバーに結果を送信する。サーバーはその正当性を評価し、関連する公開鍵を探して、それが見つかれば認証されて、ログイン後の画面が表示される、という流れになる。

docomoのサービスと端末を使った「FIDO」の実際の流れ (docomo発表資料より)

この連携のポイントは、ユーザーはパスワードを覚えておく必要がないという点。生体認証を使えば、指紋や顔などの生体情報でWebサービスにログインできるようになるので、利便性が向上する。安全性に関しても、ユーザー名とパスワードのように、盗難されるとログインが自由にできてしまうこともない。サーバー側には公開鍵しかなく、認証はローカルで行われるため、通信経路上で窃取されることもない。秘密鍵は安全な環境で保管されているため、データ盗難に対する危険性が減少する。

FIDOが使える環境

このFIDO 2.0のリファレンス実装としてマイクロソフトはWindows 10でFIDOサポートを提供。Windows 10では生体認証やPINを使ったログイン機構の「Windows Hello」を搭載しており、WindowsへのログインはこのFIDOに準拠している。さらに2016年7月のWindows 10 Anniversary Updateでは、ブラウザーのMicrosoft EdgeからFIDO対応サービスへのログイン方法に生体認証が利用できるようになった。

Windows Helloのセットアップ方法

日本では、NTTドコモがFIDO 1.0への対応を行い、同社の一部サービスでは生体認証を使ったログインに対応。ほかにもSamsungがGalaxyシリーズでも対応しているし、Googleも2要素認証にU2F準拠のセキュリティデバイスを利用可能にしている。Intel、Synaptics、PayPal、Lenovoは共同でLenovoのPC「Yoga 910」でFIDOを対応させたり、クレジットカードの認定機関EMVcoとFIDO Allianceが共同で、モバイル決済時のFIDO対応がEMVに準拠できるかどうかの検証を開始するなど、順調に拡大を続けている。

FIDOがログインにおける完全なセキュリティを実現するわけではないが、IDとパスワードの組み合わせによるログインにおける課題の多くを解決する仕組みであることは間違いない。ハードウェア、ソフトウェア、サービス(サーバー)側がそれぞれ対応する必要があり、FIDO Allianceによれば、今年9月の段階でFIDO認定製品は250。FIDO対応サイトがまだ多くはないというのが課題だが、今後、サポートが進めば、IDとパスワードに組み合わせによる情報漏えいなどの問題が減少することが期待されている。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…