第５３２号コラム：「パスワードの無い世界へ／WebAuthn」

第５３２号コラム：井上 哲也　幹事（株式会社NTTデータ　セキュリティ技術部　情報セキュリティ推進室　課長代理）
題：「パスワードの無い世界へ／WebAuthn」

■パスワード流出のリスク

不正アクセス等によるパスワードの漏洩が止まりません。GmailやYahoo!アカウントのパスワードがダークウェブで売買されることが日常となっています。どれくらいの割合で使用可能なものが含まれるのかはわかりませんが、一億件等と報じられています。

なぜ、パスワードが流出するのでしょうか。パスワードが流出する場所は、サーバ、利用者の端末、通信路からです。それぞれでパスワードを流出させないためのセキュリティ対策が必要です。例えば、サーバはネットワークやＯＳのアクセス制御、ソフトウェアは脆弱性対策、通信路は暗号化、利用者の端末はウイルス対策、クラウドはパスワード管理のように技術的対策から人的対策まで、さまざまな対策が必要です。

■パスワード流出への対策、そしてＦＩＤＯへ

重要なシステムやサービスは、もし、パスワードが流出してログインを試行されても、ＩＣカードやワンタイムパスワード、指紋等の生体認証を用いてログインできないように二要素認証を導入しています。それでも、ＩＣカードやＰＩＮ・ＯＴＰトークンの管理、利用者端末のセキュリティ対策は必要ですし、生体認証情報の取扱や管理も懸念されます。このように、セキュリティは一滴の水（情報）も漏らさない完全なシステムが必要になり、そのための技術開発や研究が行われています。

そのような中、２００９年にPayPal社ＣＩＳＯのMichael Barrett氏と、Validity Sensors社ＣＴＯのRamesh Kesanupalli氏によって安全な利用者の本人確認を行う画期的な方法ＦＩＤＯ（ファイド）が議論・考案され、その方式を普及させるためにＦＩＤＯアライアンスが２０１２年に設立されました。

ＦＩＤＯの仕組みは、まず耐タンパー性の高いＦＩＤＯ対応端末を使うことを前提としています。このＦＩＤＯ端末は、端末使用時の本人認証、利用するサービス毎の公開鍵・秘密鍵の生成と管理、鍵交換機能を持っています。使用するにあたっては、事前にユーザＩＤとサービス用にＦＩＤＯ端末で生成した公開鍵を登録しておきます。そして、以下の手順でサービスの認証を行います。

（１）利用者がユーザＩＤを送信

（２）サーバが利用者の公開鍵とサーバの秘密鍵で暗号化した乱数を送信

（３）利用者がＦＩＤＯ端末で本人認証

（４）ＦＩＤＯ端末が利用者の秘密鍵で復号化した乱数のハッシュを送信

（５）サーバがハッシュを検証することで認証

これによって、サーバとＦＩＤＯ端末の間のパスワードはありません。

ＦＩＤＯ対応端末は、機能を使用するための本人認証に生体認証等を組み込み、Something you know、Something you have、Something you areの要素確認を手元の端末に封じ込めることができ、利用者端末のパスワード流出対策が不要になります。

この仕組みによって、パスワードの無い環境となるのです。

■FIDO2.0 WebAuthn

この素晴らしいＦＩＤＯを利用するには、残念ながらサービスの対応はもちろん、対応するアプリケーションが必要で、世の中で最も多く使用されているＷｅｂブラウザは対応していません。

そこで、ＦＩＤＯ を広く利用してもらうために、２０１５年からＷ３Ｃ内で、新しいＦＩＤＯの規格 FIDO 2.0 WebAuthn(Web Authentication) のＷｅｂ標準化の活動が進められています。この活動には主要ブラウザの開発ベンダが関わっており、既に実装が進められ、Google Chrome 67、Windows10 October 2018 UpdateのEdgeでは、使用可能になっています。標準化の一歩手前の最終勧告（Recommendation）の状態が、もうすぐそこまで来ています。

WebAuthnには、Resident Keyと呼ばれるユーザ情報を格納できる機能があります。これを使用すると、１度認証すると次からユーザＩＤの入力も不要になります。

これが普及すると、様々なネットワークサービスはもちろん、ＰＣのログイン等もＦＩＤＯ端末で指紋認証等を行うだけで可能になります。

■まとめ

煩わしいパスワードの管理から開放され、認証にはＦＩＤＯ端末（スマートフォンや専用機器）で指紋認証等を行うだけでよくなるのは、素晴らしいと思いませんか。このような簡単で安全な認証環境を、個人から企業内まで利用できるようにしていけたらと考えています。

【著作権は、井上氏に属します】