FIDO(Fast IDentity Online)

fido_004_R

FIDO

FIDO(Fast IDentity Online)はパスワードに代わる新しい認証方法に関する技術仕様であり、認証仕様の策定と普及推進を行うアライアンスの名称でもあります。団体は2012年に設立され、グーグルやマイクロソフト、中国レノボ、韓国サムスンといった世界的なIT企業に加え、米VISAやマスターといったカード会社などが参加しています。200団体が現在参加しています。そして、2014年12月に、FIDO(Fast IDentity Online)のバージョン1.0最終版が公開されました。

「パスワード疲れ」という言葉があるように、複数のIDやパスワードに多くのネットユーザーが悩まされています。また、ID・パスワードの流出も絶えず、それによるクレジットカードの不正利用、アカウントの乗っ取り、ハッキングなどの問題は、大きな社会問題となっています。

こうした中、強固なセキュリティとユーザービリティに優れた多要素生体認証の標準規格であるFIDOは一般消費者だけでなく、もうすぐ実施されるマイナンバー制度や国際的サイバーセキュリティ対策など、幅広い分野における展開が期待されていると言えます。

認証の3要素とFIDO

認証方式には「記憶」、「所持」、「バイオメトリクス情報」があります。

① 記憶 (SYK: Something You Know)

本人のみが記憶しているデータに基づいて利用者を認証する方法で、パスワード、パスフレーズなどです。

② 所持 (SYH: Something You Have)

本人のみが所持している、ICカードやスマートカード、ワンタイムパスワードのトークンなどで利用者を認証する方法です。

③ バイオメトリクス情報 (SYA: Something You Are)

本人の生体に基づくデータ(指紋、音声、虹彩、顔など)で利用者を認証する方法です。

(「オンライン本人認証方式の実態調査報告書」独立行政法人情報処理推進機構 参照)

この中でFIDOが対象としているのは、「所持」と「バイオメトリック情報」です。

FIDOの認証プロトコル

FIDOは「パスワード置き換え型(UAF:Universal Authentication Framework)」と「パスワード補完型(U2F:Universal Second Framework)」の2つの標準プロトコルを策定しています。

「パスワード置き換え型(UAF:Universal Authentication Framework)」は、FIDO標準に対応したモバイルなどのデバイス経由で、パスワードを使わず認証を行うのもので、利用者はデバイスに生体情報等を登録し、オンラインサービスにそのデバイスを登録すれば、デバイスでの認証だけでサービスにログインできる仕組みです。

fido_uaf

(https://fidoalliance.org/specifications/overview/ より)

「パスワード補完型(U2F:Universal Second Framework)」は、パスワードなどの既存の認証方法に、2つ目の認証を追加し、2要素認証を行うものです。新しい認証方法への移行期の対応です。

fido_u2f

(https://fidoalliance.org/specifications/overview/ より)

FIDOの3つの特徴

FIDOには次の3つの特徴があります。

① 認証の部品化

プラグイン的に認証手段を追加します。そのため開発ベンダーのコスト軽減や認証強化、さらに認証手段の選択が容易となり利用者の利便性が向上するという利点があります。

② 信頼性

認証情報をサーバー側に置かず、検証はユーザーのクライアント側で実施し、識別のみを認証サーバーで行います。そのため攻撃者に盗まれたり漏洩されたりする危険性が小さいという利点があります。

クライアント側には、「FIDOオーセンティケーター」と呼ばれるユーザーを認証するためのプログラムあるいはモジュールが用意され、ユーザー認証に使う情報は、FIDOオーセンティケーター内でのみ使われます。

③ プライバシーの保護

生体情報はサーバーに保管されません。サービス間のリンク、アカウント間でのリンク付けはありません。

FIDOの仕組み

利用者は、音声や指紋、顔など本人確認に利用する生体情報を登録します。この時に秘密鍵と公開鍵のペアが生成され、秘密鍵は利用者のデバイスに、公開鍵はサービスプロバイダのサーバに送られます。利用者が登録した生体情報を通じ、秘密鍵を保有していることをデバイスが認識すると、この情報がサーバに送られ、そこで保管されている公開鍵がマッチすれば認証が完了します。

具体的には、まず、利用したいWebサイトに自分の端末を登録することから始まります。PCやスマートフォンなどにインストールした「FIDOオーセンティケーター」を起動し、対象とするWebサイトが許可しているユーザー認証方式(例えば指紋など)を選択します。次に端末の読み取り装置に、指紋を選択した場合には指紋を当て、正規のユーザーであることをFIDOオーセンティケーターに認証させます。すると、「FIDOオーセンティケーター」は新しい公開鍵と秘密鍵を生成し、公開鍵をWebサイトに送信し登録させます。FIDOは生体認証情報やオンラインサービスの認証情報を端末内の安全な場所に格納し、サーバーに送られることはありません。

fido_003_R

(https://fidoalliance.org/specifications/overview/ より)

オンラインサービスの認証時には端末内で生体認証を行ってユーザーを認証し、サービスの認証情報をFIDO認証モジュールが暗号化、そしてサービス側に送信することになります。サービス側では、それを公開鍵で復号化して認証します。

fido_login_R

(https://fidoalliance.org/specifications/overview/ より)

(記事はhttp://itpro.nikkeibp.co.jp/atcl/column/14/346926/021300167/を参照)

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です