常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に伝えるとなると更に難しくなります。『情シスNavi.』では数々のIT用語を三段階で説明します。

一段目　ITの知識がある人向けの説明
二段目　ITが苦手な経営者に理解してもらえる説明
三段目　小学生にもわかる説明

取り上げる用語を“知らない”と思った人は、小学生にもわかる説明から読んでみると、理解が深まるかもしれません!?

一段目　ITの知識がある人向け「FIDO２」の意味

安全な認証技術の標準化に取り組む団体業界団体「FIDO Alliance」は、2018年に認証技術「FIDO2」を公開しました。　普段の生活ではあまり聞きなれないFIDOですがいったいどんなものなのでしょうか？

そもそもFIDOとは

FIDOとはFast IDentity Onlineの略であり、インターネット上での“素早いオンライン認証”を目指した技術仕様になります。この規格策定と普及には業界団体であるFIDO Allianceが行っています。このFIDO AllianceにはGoogleやMicrosoftをはじめ、ARM、NXP、RSA、VISA、Mastercard、Bank of America、Samsung、Lenovoなどオンラインセキュリティのビジネスモデルにかかわる数多くの企業が参加しています。

参考：https://fidoalliance.org/

FIDO2とは

2014年に仕様公開されたUAF、2015年に仕様公開されたU2Fについて「FIDO1.0」と呼んでいます。
「FIDO2」は、前述のUAFとU2Fと統合した仕様であり、認証専用のソフトウェアやハードウェアを用いず、且つパスワードを使わない方法でユーザーを認証するという技術仕様です。

このような要素技術は私たちの生活の中で直接目にすることは少ないのですが、実は、「FIDO2」を活用したサービスはすでに身近なところに組み込まれているのです。

2018年10月にはヤフーが、Yahoo! JAPAN IDでの認証に「FIDO2」を採用しています。

画像出典：Yahoo! JAPAN

スマホからYahoo! JAPANの設定画面にアクセスし、「生体認証ログイン設定」をタップすると、指紋や顔などを使ってYahoo! JAPANにログインするための設定ができるようになっています。

画像出典：Yahoo! JAPAN

設定はごく簡単で、指紋センサーをタップ（またはスライド）すると、ユーザーの指紋の登録が完了します。

画像出典：Yahoo! JAPAN

利用するアプリやサービスが増えるたびに、ログインIDとパスワードの数が増え、「どのパスワードだったか思い出せない」「パスワードが管理し切れない」という点が問題となっていました。

この生体認証でアプリやサービスにログインする方法なら、パスワードを覚えておく必要がありません。「FIDO2」とは“パスワードレス認証”を実現するための技術仕様なのです。

2019年5月には、MicrosoftとFIDO Allianceが、Windows 10の生体認証機能「Windows Hello」がFIDO2認定を受けたと発表。2019年2月にすでにFIDO2認定を受けていたAndroidに加え、Windows 10のデバイスで生体認証が使えるようになることで、一気にパスワードレスの流れが加速すると見られています。

 FIDO２のしくみ

パスワードによる認証では、ユーザーの端末とサーバー間でパスワードという秘密を共有することで、そのユーザーのアクセス権を認証していました。

すなわち、パスワードという資格情報がネットワーク上に流れてしまうことになります。

「FIDO2」による認証は、ユーザーの手元にあるスマホなどの端末を認証器として利用するのが特徴です。ユーザー本人であることを手元の端末というローカル環境で実施し、認証サーバーには検証結果である署名だけが送信されます。すなわち、パスワードなどの資格情報がネットワーク上に流れるリスクがありません。

FIDO2のメリット・デメリット

「FIDO2」のメリットは、パスワードを利用した認証方法よりも安全に認証が完了する点です。
FIDO Allianceによると、情報漏えいの原因の80％以上がパスワードに起因しています。
パスワードを使わずに認証が完了できれば、このようなセキュリティインシデントを減らすことにも繋がります。

一方、ユーザーの手元の端末を認証器として使用できることが、逆に「FIDO2」のデメリットにもなってしまうことがあります。万が一、認証に必要な端末を忘れてしまったり、紛失したりすると、アプリやサービスにログインすることはほぼ不可能です。

FIDOとFIDO2の関係

FIDO Allianceは、2018年に認証技術「FIDO2」を公開する前にも、FIDO 1.Xとしてパスワードレスの認証技術に関する概念を発表していました。

FIDO 1.Xでは、生体認証を使って認証する仕組み「UAF（Universal Authentication Framework）」と、二要素認証を行う仕組み「U2F（Universal 2nd Factor）」を規定しています。「FIDO2」でUAFとU2Fが統合されました。

 

二段目　ITが苦手な経営者向け

とある繊維メーカーでの昼下がり。情シス課長の西庄さんと社長は実はゴルフ仲間です。昼休みに社長が西庄さんのところにやってきました。

社長：いやあ、最近はパソコンで何をやるにしてもパスワードの入力が必要なことばかり。全部覚えられないからどのアプリも同じパスワードで入れるようにしてるもんねー。がはははは。
西庄：いやいやいや。パスワードの使い回しは駄目ですよ、社長。そのパスワードがネット上に漏えいしてしまったら、社長のオンラインバンキングにだって侵入されてしまいますよ。
社長：えー、そりゃ困るよ。
西庄：でも、ユーザー一人につき90以上のオンラインアカウントを所有していると言われていますので、そのパスワードをすべて管理しろというのが土台無理な話です。そこで、スマホが普及してきた今まさにパスワードを使わない認証を拡大する方向に向かっているのですよ。
社長：パスワードの代わりに何で認証するの？
西庄：具体的には、物理的な鍵であるセキュリティキーに加え、顔認証・指紋認証を、社長のお手持ちのスマホやパソコンから使うことになります。すなわちパスワードを使わず“パスワードレス”でアプリやサービスにログインできるということです。
社長：パスワードを覚えなくていいなら楽でいいや。でも、僕のスマホはAndroid、パソコンはWindows、使っているサービスを開発している会社もバラバラなのに認証の仕組みを揃えるのは難しくない？
西庄：そのとおりです。そのため業界団体「FIDO Alliance」が結成され、安全な認証技術の標準化に取り組んでいます。FIDO Allianceがパスワードレスの認証技術として公開したのが「FIDO2」という仕様です。FIDO Allianceには、Amazon・Google・Microsoft・Facebook・Yahoo! Japan・NTTドコモ・VISAなど、世界の名だたる企業の多くが参加しているのですよ。
社長：「FIDO2」は世界標準化しているということだな。じゃあ、我々ユーザーは、パスワードを使わない認証ができるデバイスやサービスが次々に登場するという流れに乗っかるしかないことになりそうだね。

 

三段目　小学生向け

裏山には6年2組の10人が作った秘密の隠れ家があります。
隠れ家には10人それぞれの部屋があり、合言葉を知っている人だけが入れるようになっています。

Aさん「えーと、B君の部屋の合言葉は“ひらけごま”だったな。」
ギ、ギギギー・・合言葉は正しかったようです。B君の部屋に入れました。

Aさん「C君の部屋の合言葉は、“ひらけこめ”だね。」
ギ、ギギギー・・C君の部屋にも入れました。

Aさん「D君の合言葉は、“ひらけたね”だっけな」
・・・

Aさん「あれ、入れない。“ひらけしお”だったかな」
・・・

Aさん「“ひらけさとう”！“ひらけにく”！“ひらけさかな”！」
・・・

Aさん「もうダメだ、全員の合言葉なんて覚えられないし。」

B君「そもそも、合言葉じゃなくてもいいよね。Aさんの顔を見ればAさんと分かるわけだし」

C君「だよね。それに合言葉って他の人に知られたら意味がないものじゃない？」

D君「要は、合言葉を使う方法は止めようって、2組の全員で決めておけばいいんだよね。」

6年2組の皆が気づいた合言葉の問題点は、コンピュータの世界でも問題となっていました。
このため、多くの会社が集まって「FIDO Alliance（ファイド アライアンス）」という団体を結成し、パスワード（合言葉）を使わずに本人を確認する方法を決めようという動きが広がっています。
FIDO Allianceは、パスワードを使わない確認方法についての決まりごとを「FIDO2」という名前で発表しました。
今後は、決まりごと「FIDO2」に沿った製品やサービスがどんどん増えていくと言われています。

 

さて、皆様のご理解は深まったでしょうか？

 

【執筆：編集Gp　近藤真理】