近年、企業の情報セキュリティを取り巻く環境はますます厳しくなっています。従来のパスワード認証は、フィッシング攻撃やリスト型攻撃の標的となり、情報漏えいのリスクが高まっています。加えて、パスワードのリセット対応やセキュリティ強化のための方策には多大なコストと労力がかかります。
サイバー攻撃が年々巧妙化する中、企業はユーザーの個人情報やアカウントを安全に守る責務を負っています。大規模な情報漏洩に至った場合、法的制裁や社会的信用の失墜を避けられません。
このような背景から、FIDO(Fast IDentity Online)認証が注目されています。FIDOはパスワードを使わず、公開鍵暗号方式を利用した安全な認証技術であり、これまでの課題解決とセキュリティ強化に大きく貢献すると期待されています。
FIDO認証とは?
FIDO(Fast IDentity Online)は、FIDOアライアンスによって策定され普及促進されている認証規格です。主な特徴は、パスワードを使わずに公開鍵暗号方式を用いる点にあります。
ユーザー側のデバイスで作成された秘密鍵が本人認証に使用されるため、サーバー側にパスワードを置く必要がありません。サーバ側に盗まれうる秘密を残さないようにし、より安全な認証を実現しているのです。
具体的な認証の流れを説明します。
FIDO認証ではユーザー端末上で鍵ペア(公開鍵・秘密鍵)が生成され、サーバーには公開鍵のみが登録されます。ユーザーがログインする際は、端末で指紋認証や顔認証などによって利用者本人であることをローカルに確認し、端末内の秘密鍵で認証用のチャレンジ(署名データ)に電子署名します。
この署名結果(署名データ)がユーザー端末から送信され、サーバー側では対応する公開鍵でその署名を検証することで本人確認が完了します。
重要なのは、この過程でサーバーと端末が共有するパスワードなどの秘密情報は一切存在しない点です。
秘密鍵は端末の中に留まり、サーバーには公開鍵しか置かれないため、仮にサーバー側がハッキングされても盗まれるのは公開鍵と署名データのみであり、この情報では攻撃者はユーザーになりすますことができません。
従来方式との違い
- パスワード認証: パスワードの使い回しや漏洩が大きなリスクとなりやすい。
- SMSコード認証: コードの傍受やSIM交換などの攻撃手法がある。
- FIDO認証: サーバー側に秘密情報を保持しないため、リスト攻撃やフィッシングのリスクを原理的に低減。
| 認証方式 | セキュリティ | 利便性 | 管理コスト |
|---|---|---|---|
| パスワード認証 | 低い (漏えいリスクあり) | 低い (パスワード管理が必要) | 高い (定期変更・リセット対応) |
| SMS認証 | 中程度 (SMS傍受リスクあり) | 低い (コード入力が必要) | 中程度 (通信費・運用負担) |
| FIDO認証 | 高い (秘密鍵をローカル保存) | 高い (指紋や顔認証で即時ログイン) | 低い (パスワード管理不要) |
FIDOアライアンスとは?
FIDOアライアンスにはGoogle、Apple、Microsoftをはじめ世界中のIT企業や金融機関、認証ベンダーなど250社以上が参加しており、FIDO仕様に準拠した認証デバイスやソフトウェアが数多く市場投入されています。
FIDOアライアンスでは、FIDO U2F(FIDO Universal Second Factor)という2段階認証の規格、FIDO UAF(FIDO Universal Authentication Framework)パスワードレス認証の規格、FIDO2というweb認証仕様を提供しています。
近年では「パスキー(Passkey)」と呼ばれる形で、スマートフォンやPCに内蔵された生体認証やPINコードを用いたクラウド同期可能なFIDO認証情報も登場し拡大しています。こうした業界全体の流れの中で、FIDO認証はパスワードに代わる新たな認証として期待されています。
FIDO認証のメリット
- セキュリティ向上
パスワード漏洩やフィッシング被害を大幅に防止でき、不正アクセスのリスクを低減できます。秘密鍵が端末から出ない仕組みにより、仮にサーバーがハッキングされてもユーザーをなりすますことは困難です。
Microsoftの分析では、多要素認証やパスワードレスログインを導入したアカウントは、パスワードのみのアカウントに比べてアカウント乗っ取り攻撃の99.9%を阻止できたとの報告があります。また、ドコモオンラインショップではパスキーを導入したところフィッシングの被害報告が0件になったというデータもあります。
このようにFIDOは企業の認証セキュリティレベルを飛躍的に高めます。 - 利便性の向上
ユーザーはパスワードを覚える必要がなく、生体認証やPIN入力のみでログイン可能です。利用者の操作が簡略化され、ログイン失敗も減るため、顧客満足度も高まりやすくなります。
認証方法をFIDOに変えたことで、Yahoo!JAPANではサインイン時間2.6倍短縮されたとのことです。また、メルカリではログイン時間が17秒から4.4秒になり、さらに、ログイン成功率は67.7%から82.5%になりました。
このように、ユーザーの利便性の向上も顕著になっています。 - コスト削減
パスワードリセット対応をはじめとする運用コストや問い合わせ対応に費やす時間・手間が大幅に軽減できます。セキュリティ事故による金銭的・社会的コストの回避にもつながります。
Yahoo!JAPANではパスキーではないアカウントも含めサポートへの問い合わせ25%減になったという報告もあります。
パスワードリセット対応に費やしていたヘルプデスクやユーザーの時間が削減され、ひいてはサポートコストの圧縮が期待できます。
ITmedia,ドコモが「パスキー」を導入してフィッシング被害報告が0件に パスワードレス認証の効果,
https://www.itmedia.co.jp/mobile/articles/2312/09/news060_2.html,2023年12月8日
FIDO Alliance,ヤフー、パスワード不要の認証で問い合わせ25%減、サインイン時間2.6倍短縮,
https://fidoalliance.org/yahoo-japans-password-free-authentication-reduced-inquiries-by-25-sped-up-sign-in-time-by-2-6x/?lang=ja,6月 30, 2022
FIDO Alliance,ヤフー、メルカリのパスキー認証、サインインを3.9倍に高速化,
https://fidoalliance.org/mercaris-passkey-authentication-speeds-up-sign-in-3-9-times/?lang=ja,3月 7, 2024
企業におけるFIDO認証の導入事例
GoogleやMicrosoft、Appleの取り組み
GoogleやMicrosoft、Appleはデバイスやプラットフォームを超えたパスワードレスサインインを実現するための取り組みを強化しています。
2023年にはGoogle・Microsoft・Appleの3社共同で、クロスプラットフォームでのパスキー普及を推進する声明を出すなど、大手各社が足並みを揃えて「脱パスワード」の流れを加速させています。
国内企業の導入事例
セキュリティを重視する金融業界や大量のユーザーを抱えるオンラインサービスでも、FIDO認証の採用事例が増えてきました。
国内のメガバンクは順次オンラインバンキング等にFIDO認証を導入しており、スマートフォンアプリでの生体認証ログインや高額取引時の本人確認に活用しています。
たとえば住信SBIネット銀行は業界に先駆けFIDO UAF規格に対応した生体認証サービスを提供開始し、ゆうちょ銀行も「ゆうちょ認証アプリ」にFIDO2認証を組み込んでログインや送金時の安全性を高めました 。
また、Yahoo! JAPANでは2018年からウェブサービスのログインにFIDO認証を導入し、現在ではパスキーによる認証にも対応しています 。
LINEや楽天といった大手IT企業も追随しており、楽天グループは「楽天ウォレット」などでパスキー(FIDO2認証)によるかんたんログイン機能を提供開始しています。
このように金融からEC、Webプラットフォームに至るまで、「顧客向けサービスのログインをパスワードレス化」する動きが国内外で進行中です。行政分野でも、安全な電子行政サービスを実現するためにFIDO認証を活用する取り組みが見られます。たとえば一部の自治体や大学では職員・学生ログインにFIDO対応の認証を導入する例が出始めています。
パスキーやFIDOの導入事例をまとめた記事はこちら
海外&日本のパスキー導入事例39社まとめ|セキュリティ強化とUX改善の最前線
FIDO認証を導入する方法
自社開発を行い導入する場合
FIDO認証を自社開発して導入することは可能ですが、技術力とセキュリティに関する知識が求められます。
例えばFIDO2を導入するのであれば、仕様に基づく認証サーバーとWebAuthn APIを準備します。
FIDO2を使用するためには認定が必要で、認定はFIDOアライアンスが定めた基準を満たした製品やサービスに与えられるものです。
FIDO2の認定は、以下の手順で行われます。
- 要求事項の定義: FIDO2に求められるセキュリティ要件や機能要件を定義します。
- 仕様策定: 要求事項に基づいて、FIDO2の技術仕様を策定します。
- 実装: FIDO2の仕様に基づいて、認証デバイスやソフトウェアが開発されます。
- テストと認定: 開発された認証デバイスやソフトウェアは、FIDOアライアンスの認定プログラムによってテストされ、FIDO2認証を取得します。
簡単に導入可能なクラウドサービスの活用
FIDO認証を実際導入するとなると、自社開発はハードルが高いかもしれません。しかし、近年はクラウド型の認証基盤サービスやライブラリが充実しており、たとえ中小企業でも比較的容易にFIDOを導入できる環境が整っています。
Capyではログイン画面のあるサイトにFIDO認証が簡単に導入できます。自社サービスや社内システムへの導入について詳しく知りたい方は、ぜひお気軽にお問い合わせください。
まとめ
FIDO認証は企業にとって、セキュリティ強化とコスト削減を同時に達成できる有力なソリューションです。ユーザーにとっては使い勝手が向上し、企業にとってはパスワード管理業務や不正アクセス被害が減少するため、総合的なメリットが高いといえます。
パスワードレス認証の波は、大企業だけでなくあらゆる業種・規模の企業に波及しつつあります。クラウドサービスの活用により、比較的容易にFIDO認証を導入できるようになりました。
これまで抱えてきたパスワードの課題を根本的に解決し、新時代の認証基盤を整備するためにも、FIDO認証は今後のスタンダードとなるでしょう。自社のセキュリティを一段上のレベルへと引き上げるために、FIDO認証の導入を検討してみてはいかがでしょうか。
Capyの生体認証へのお問い合わせはこちら
https://corp.capy.me/fido/
