第532号コラム:井上 哲也 幹事(株式会社NTTデータ セキュリティ技術部 情報セキュリティ推進室 課長代理)
題:「パスワードの無い世界へ/WebAuthn」

■パスワード流出のリスク

不正アクセス等によるパスワードの漏洩が止まりません。GmailやYahoo!アカウントのパスワードがダークウェブで売買されることが日常となっています。どれくらいの割合で使用可能なものが含まれるのかはわかりませんが、一億件等と報じられています。

なぜ、パスワードが流出するのでしょうか。パスワードが流出する場所は、サーバ、利用者の端末、通信路からです。それぞれでパスワードを流出させないためのセキュリティ対策が必要です。例えば、サーバはネットワークやOSのアクセス制御、ソフトウェアは脆弱性対策、通信路は暗号化、利用者の端末はウイルス対策、クラウドはパスワード管理のように技術的対策から人的対策まで、さまざまな対策が必要です。

■パスワード流出への対策、そしてFIDOへ

重要なシステムやサービスは、もし、パスワードが流出してログインを試行されても、ICカードやワンタイムパスワード、指紋等の生体認証を用いてログインできないように二要素認証を導入しています。それでも、ICカードやPIN・OTPトークンの管理、利用者端末のセキュリティ対策は必要ですし、生体認証情報の取扱や管理も懸念されます。このように、セキュリティは一滴の水(情報)も漏らさない完全なシステムが必要になり、そのための技術開発や研究が行われています。

そのような中、2009年にPayPal社CISOのMichael Barrett氏と、Validity Sensors社CTOのRamesh Kesanupalli氏によって安全な利用者の本人確認を行う画期的な方法FIDO(ファイド)が議論・考案され、その方式を普及させるためにFIDOアライアンスが2012年に設立されました。

FIDOの仕組みは、まず耐タンパー性の高いFIDO対応端末を使うことを前提としています。このFIDO端末は、端末使用時の本人認証、利用するサービス毎の公開鍵・秘密鍵の生成と管理、鍵交換機能を持っています。使用するにあたっては、事前にユーザIDとサービス用にFIDO端末で生成した公開鍵を登録しておきます。そして、以下の手順でサービスの認証を行います。

(1)利用者がユーザIDを送信

(2)サーバが利用者の公開鍵とサーバの秘密鍵で暗号化した乱数を送信

(3)利用者がFIDO端末で本人認証

(4)FIDO端末が利用者の秘密鍵で復号化した乱数のハッシュを送信

(5)サーバがハッシュを検証することで認証

これによって、サーバとFIDO端末の間のパスワードはありません。

FIDO対応端末は、機能を使用するための本人認証に生体認証等を組み込み、Something you know、Something you have、Something you areの要素確認を手元の端末に封じ込めることができ、利用者端末のパスワード流出対策が不要になります。

この仕組みによって、パスワードの無い環境となるのです。

■FIDO2.0 WebAuthn

この素晴らしいFIDOを利用するには、残念ながらサービスの対応はもちろん、対応するアプリケーションが必要で、世の中で最も多く使用されているWebブラウザは対応していません。

そこで、FIDO を広く利用してもらうために、2015年からW3C内で、新しいFIDOの規格 FIDO 2.0 WebAuthn(Web Authentication) のWeb標準化の活動が進められています。この活動には主要ブラウザの開発ベンダが関わっており、既に実装が進められ、Google Chrome 67、Windows10 October 2018 UpdateのEdgeでは、使用可能になっています。標準化の一歩手前の最終勧告(Recommendation)の状態が、もうすぐそこまで来ています。

WebAuthnには、Resident Keyと呼ばれるユーザ情報を格納できる機能があります。これを使用すると、1度認証すると次からユーザIDの入力も不要になります。

これが普及すると、様々なネットワークサービスはもちろん、PCのログイン等もFIDO端末で指紋認証等を行うだけで可能になります。

■まとめ

煩わしいパスワードの管理から開放され、認証にはFIDO端末(スマートフォンや専用機器)で指紋認証等を行うだけでよくなるのは、素晴らしいと思いませんか。このような簡単で安全な認証環境を、個人から企業内まで利用できるようにしていけたらと考えています。

【著作権は、井上氏に属します】