ケータイ用語の基礎知識

第758回:FIDO とは

パスワードなしでサービスを使える新しい認証

 FIDO(ファイド)は、「素早いオンライン認証」を意味する英語“Fast IDentity Online”の略で、多要素認証というパスワードに代わる新しい認証技術のひとつです。主に生体認証などが利用されますが、ジェスチャー認証などにも対応しています。そしてFIDOは、次世代の認証技術としては、事実上、業界標準になるだろうと見られている技術のひとつでもあります。

 規格の策定と普及推進は、FIDO Allianceという業界団体が進めています。PayPal、中国のLenovoといった企業によって設立され、グーグルやマイクロソフト、RSA、NXP、Yubico、クアルコム、サムスンといった企業がボードレベルメンバーとなっています。日本の携帯電話事業者ではNTTドコモがボードレベルメンバーとして加盟しています。

 FIDO Allianceからは、FIDO 1.0仕様の技術として「UAF」「U2F」という2つの仕様が公開されています。いずれも将来の相互運用を考慮したオープンな標準仕様であり、これが短期間に多くの企業が参加し、標準として有力視された理由でしょう。

 UAFは、FIDO対応デバイスを利用してパスワードを使わないで認証を行う仕組みのことです。その名は「汎用的な認証基盤」を意味する英語“Universal Authentication Framework”を略したもので、最初の標準的な仕様である1.0版が2014年12月に公開されました。

 一方のU2Fは、「汎用的な第2要素」を意味する“Universal 2nd Factor”のことです。これはいわゆる二段階認証で、ID/パスワードといった最初の段階の認証に追加して、セキュリティコードやセキュリティキーなどを使った認証を行うことで、より安全にログインするための仕組みのことです。たとえばGoogleアカウントやdアカウントのように二段階認証を利用できるケースもあり、お馴染みかもしれません。U2Fでは、USBキーのほか、BluetoothとNFCをサポートした仕様が2015年5月に公開されました。

 UAFとU2Fと統合したFIDO 2.0という仕様もあります。こちらは2015年11月、Web技術の標準化団体「W3C」にWeb API仕様として提案されました。マイクロソフトは、Windows 10をFIDO 2.0に準拠させることを表明しています。

認証情報自体はネットワークを流れずサーバーからの漏洩もない

 FIDOの大きな特徴としては、ユーザーからすると「パスワードを憶えなくて済む」ということが大きいのですが、「認証情報そのものはネットワーク上に流れず、サーバー上から漏れることもない」ということが挙げられます。

 たとえば指紋や静脈といった生体情報は、外部に情報が流出してしまった場合、人のほうの情報を変えることができません。つまり、パスワードよりも情報漏洩が致命的になるわけです。

 そこで生きてくるのがFIDOの「経路上で情報が漏れても悪用できない」という点です。FIDOでは、ログインなどを行う際に“ユーザーが正しい”ということを確認する「認証」作業を、インターネットを経由してサーバー上で行うのではなく、ユーザーの手元にある端末上で行うからです。

 FIDOのU2Fの仕組みでは、サービスを利用する端末には秘密鍵が、サーバー上には公開鍵と秘密鍵、公開鍵を関連づけたKeyHandleと呼ばれるデータが登録されています。生体認証によって指紋などの特徴点を捕らえたデータは、まず端末内で登録済みの生体情報を使って照合されます。そして照合の結果が正しかった場合は、FIDOオーセンティケーターというモジュール内で、サーバーから送られてきた「今回はこれを使ってください」という指示にあたるKeyHandleに関連した秘密鍵を使って、暗号化した認証情報である「トークン」を作ります。インターネット上にはこのトークンが流されて、サービスを提供するサーバー側ではこの送られてきたトークンを、公開鍵を使って検証を行い、検証の結果が正しければ認証OKとするのです。

 従来の多くの認証方法では、中継路で情報を覗かれたり、あるいはサーバー上に記録してある認証情報が漏れたりするリスクがありました。FIDOのU2Fという仕組みは、簡単に言えば現在の二段階認証を公開鍵暗号の方式を使って進化させた方式です。その仕組みであればネットワーク上を流れるのは暗号化されたトークンのみで、サーバー側にあるのは公開鍵だけです。トークンと公開鍵だけから得た情報だけでは、悪意ある第三者がいたとしても、そのときに応じたトークンを作ることはできません。万が一、これらの情報が漏れても悪用することはできませんので安全と言えます。つまり、生体認証デバイスにも非常に適した認証方式であるというわけです。

 FIDOに準拠したデバイス、つまりFIDO Certified 生体認証デバイスとしては、すでにいくつかの製品が販売されています。身近なところでは、NTTドコモのスマートフォンで生体認証可能デバイスがそれにあたります。たとえば2015年発売の「ARROWS NX F-04G」が虹彩認証と指紋認証で、2015年発売の「Galaxy S6 edge SC-04G」「AQUOS ZETA SH-03G」「Xperia Z5 Premium SO-03H」などが指紋認証でFIDO規格に対応しています。dTVやdマガジンといったドコモサービスのログインやケータイ払いの認証にこれらの機種では、指紋認証、虹彩認証でログインできます。ちなみにiPhoneシリーズのTouch IDは指紋認証対応ですが、FIDO対応ではありません。

大和 哲

1968年生まれ東京都出身。88年8月、Oh!X(日本ソフトバンク)にて「我ら電脳遊戯民」を執筆。以来、パソコン誌にて初歩のプログラミング、HTML、CGI、インターネットプロトコルなどの解説記事、インターネット関連のQ&A、ゲーム分析記事などを書く。兼業テクニカルライター。ホームページはこちら
(イラスト : 高橋哲史)