ニュース
パスワードレス認証でフィッシング被害にも効果あり! パスキーを展開する「FIDOアライアンス」の現況とこれから
2023年12月8日 19:07
近年、パスワードではなく生体認証や画面ロックの解除などでログインできるサービスが増えてきている。通信キャリアのマイページへのログインや、ヤフーやメルカリ、グーグル(Google)などさまざまなサービスでこのようなサービスが導入されているが、多くはFIDO(ファイド)アライアンスという国際的な非営利団体が提唱する技術仕様に基づいたもので、一般に「パスキー」と呼ばれている。
この「パスキー」を利用すれば、スマートフォンの指紋/顔認証や、パソコンの顔認証やPINコードをキーとして、ユーザー所有のデバイスであればサービスをまたいで“パスワードを入力せずに”認証できる。
ユーザーは、サービスごとに長く複雑なパスワードを作成し、記憶し、入力することなくログインできる機能だが、この生体認証や端末に基づく認証方法によって、サービス側のメリットや、フィッシング詐欺などの犯罪抑止に役立っているという。
FIDOアライアンスとFIDO Japan ワーキンググループは8日、報道陣向けに説明会を実施。これまでの成果や今後の方針などが披露された。
シンプルかつ堅牢な認証
「FIDOアライアンスでは創立当初から公開鍵と暗号方式を活用したモデルの仕組みを目指し、コンシューマーユーザーが毎日使うようなデバイスを使って認証ができる仕組みを目指してきた」と語るのは、FIDOアライアンス エグゼクティブディレクター兼最高マーケティング責任者のアンドリュー・シキア(Andrew Shikiar)氏。
アンドリュー氏は、これらの認証方法には、「シンプルさ」と「堅牢性」を両立しなければならないとし、たとえサービスの従業員であっても「抜け道を見つけてしまう」ことのない認証方法であることが重要だという。
パスキーのしくみ
2022年からiOSやAndroidなど、OS単位でサポートが始まった「パスキー」では、クラウド上で同じユーザー間の異なるデバイス同士で認証情報を共有できる。この「同期型パスキー(Sync Passkeyとも)」についてアンドリュー氏は「継続した取り組みの中でも最新の成果」とアピール。
このパスキーによる認証は、先述のとおりFIDOアライアンスにより策定された認証方法で、この「FIDO認証」では、ユーザーがサービス側にログインしようとすると、サービス側から認証要求(チャレンジ)がなされ、ユーザーの端末で認証しその結果を返す(レスポンス)ことに認証される仕組み。
ユーザー端末上の認証は、端末内の「認証器(Authenticator)」によって行われる。この認証器は、アプリやサービスごとに固有の秘密鍵を保有し、ペアとなる公開鍵をサービス側が保有する。秘密にしておきたい「秘密鍵」を、認証が行う端末側のみに保存され、ネットワークで送受信したりサーバー側で保存したりする必要が無いため、ハッカーに攻撃されても被害がないという。認証器を利用する際は、端末での生体認証などの方法で本人確認が必要になる。
そして、最近急速に普及している「同期型パスキー」では、認証器が持っていた秘密鍵を、アップル(Apple)などの認証プロバイダーがクラウド上に安全にエクスポートされ、ユーザー所有のデバイス同士で共有できるようになっている。
企業側にもメリットが
このパスキー認証やFIDO認証を利用するコンシューマーサービスは、近年急速に拡大してきており、NTTドコモやGoogle、LINEヤフーのほか、メルカリやアマゾン、Adobeのサービスでも利用できるようになっている。
これらのパスキーが利用できるアカウント数も、2023年の1年間で70億以上となり「地球上の人口、1人あたり1つ持っていることに等しい数字」(アンドリュー氏)とするなど、勢いは加速度的に上昇しているとアピールする。
また、サービスを提供する側にもメリットがもたらされているとアンドリュー氏は説明する。
たとえば、ニュージーランド航空ではパスキーの導入で、初訪問から24時間以内のユーザー登録率が30%に向上したほか、ユーザー登録完了までの時間が4.7倍改善、離脱率が50%削減、アカウント復旧要請や認証関連の問い合わせも削減できている。
また、グーグルではログイン成功率が4倍(14%→64%)に、メルカリでは20.5秒の認証時間削減と82.5%の認証成功率になるなど、ユーザーの利便性改善にもつながっている。
コンシューマーサービスだけでなく、企業内のネットワークでの認証でも、パスワードリセットの削減や、初期設定時間の短縮、認証時間の短縮など効果が出ているという。
政府機関との連携
アンドリュー氏は、サービスを提供する企業だけでなく「デジタルIDは世界の政府が直面している最も重要な課題」とし、政府機関との継続的な取り組みを進めている。
グローバルでは、米国政府を含めた10カ国の政府機関がアライアンスのメンバーとして参加しているといい、実際ではNISTのデジタルIDガイドラインの次回改定に盛り込まれる見込みであるほか、台湾やオーストラリアではパスキーによる住民サービスへのアクセスなどができるようになっている。
2023年は「パスキーの年」、今後も展開を加速
2023年を「パスキーの年だったといえる」とアンドリュー氏も振り返るように、急速に普及したパスキーであったが、グローバルでの認知度は52%、日本での認知度も34%とまだまだ高いとはいえない状態だ。
アンドリュー氏は、2024年のすべきこと(TODOリスト)として、コンシューマーへの啓発や、銀行など規制のある企業への対応、セキュリティ水準の認定などを通じた開発者支援やエコシステムのオープン化などを進めていくとコメント。
また、企業の社内業務に関わる認証への対応や、規制当局との適切な連携もあわせて進めるとしている。
日本でも急速に展開するFIDO認証
FIDOアライアンス 執行評議会・ボードメンバーであり、FIDO Japan WGの座長も務めるNTTドコモ チーフセキュリティアーキテクトの森山 光一氏は、「8年目を迎えるワーキンググループは、創設当初の10社から今や64社の参加企業数となった」と日本企業の中でも関心が広がってきているとコメント。
また、Japan WGにも関わらず、日本以外のグローバル企業も日本での取り組みに関心を持っているとのことで、世界からも日本のFIDO認証に関心があることがうかがえる。
ワーキンググループでは、森山座長のほか、LINEヤフーやメルカリ、NTTデータと言ったリーダーシップチーム6社とマーケティングマネージャーで日々の運営がなされており、毎月の定例ミーティングのほか、技術とプロモーション、日本語への翻訳に関するサブワーキンググループが実施されている。
Japan WGに関しては、アンドリュー氏も「FIDOのイノベーションにとって非常に重要なハブ」とコメントするようにグローバルと連携し、FIDO認証の標準化や実用化に貢献している。Japan WGからも、障害をもつユーザーへの認証の利便性向上やアカウントリカバリーに関する課題、機種変更をや端末をなくした際にどうするか? といった「ホワイトペーパー」を発信しているという。
生産性の向上やフィッシング抑止に効果
日本においても、ドコモやKDDI、ソフトバンク、楽天グループ、LINEヤフーのほか、金融機関やNECなど社内業務での利用などが進んでいる。
たとえば、KDDIでは、au IDのFIDO登録は1000万を超えており、ログイン関連の問い合わせや関連のコールセンター入電数が3割減少している。
LINEヤフーでは、Yahoo!JAPAN IDユーザーのアクティブユーザー数5500万に対して、FIDO認証を設定したアクティブユーザー数が2100万となりおよそ4割のユーザーが利用している。スマートフォンからのユーザー認証に限れば、40%以上がFIDO認証でサービスを利用しているという。
ドコモでは、「ドコモオンラインショップでフィッシング耐性のある認証方式をユーザーに案内した結果、ユーザーの申告に基づいたフィッシング詐欺の認知数がなくなった」(森山氏)など、サイバー犯罪に対する効果も現れつつあるという。
また、最新のニュースとして森川氏は、近畿大学へのFIDO導入や住信SBIネット銀行の加盟、メルカリがボードメンバーとして参画するなど、FIDO認証の拡大が進んでいることをアピールした。
