IDとパスワードにより個人認証を行うWebサービスが増加の一途を辿る現在、ユーザーによるアカウント管理が煩雑になり、フィッシングやなりすましによるアカウントハッキングの危険性が急増。こうした認証基盤にほころびが見え始めていることを背景に、新しいオンライン認証技術の導入が各方面で検討されている。近年のうちに迫られるであろう、認証基盤の刷新に対し、ユーザーや企業としてどのように備えたら良いか? 「YubiKey」の国内正規代理店であるソフト技研の代表取締役 藤田法夫氏に話を伺った。
煩雑になるパスワード管理をシンプル化
冒頭藤田氏は「現在のパスワード方式は認証の限界を超えているといわれ、新しい形の認証基盤が求められています。それに変わる手段としてワンタイムパスワードやFIDOが注目を集めているわけです」と語る。
従来の認証基盤には課題が多い。先にも述べたとおり、犯罪に使われるのはもっとも回避したいところだが、Webサービスが増えるに従い、パスワードやIDを何個も作らなくてはならない現状にも問題がある。そのうちひとつを忘れただけでも、面倒な再発行手続きをしなければならない状況では、これまでの認証基盤に対して不満が噴出するのも致し方ないだろう。
そんな中、FIDO(Fast IDentity Online)が推進しようとしているのは「UAF」、「U2F」という認証プロトコルだ。UAFは指紋認証などの生体認証による個人認証と、それを読み取ったデバイス認証をオンラインサーバで同時におこなうことで、流出の危険性をなくし安全な認証をおこなうという考え方だ。
U2Fは、認証キーを使うプロトコルになるが、通常のパスワード認証に加えてもうひとつの認証方式を追加した2段階認証となるのが特長だ。例えば、U2F以外の2段階認証としてGoogleやFacebookがIDとパスワードのほかに、電話番号を登録することで高いセキュリティを持たせようというのもそのひとつだ。そのほか、従来のIDとパスワード認証に加え、ワンタイムパスワードなどを追加する方法もこちらに分類できる。
認証基盤のメリット、デメリットを見極める
時刻同期によるワンタイムパスワードは、早くから金融機関などが導入していたので、実際に使っているというユーザーも多いだろう。ただし、これまでIDとパスワードがあれば、ログインはもちろん、送金などの機能が扱えたが、ワンタイムパスワード導入後は、IDとパスワードによる認証に加え、ワンタイムパスワードを発行して入力するというひと手間が追加されることになる。確かにセキュリティは高くなるが、送金やその他の手続きごとに入力が発生するので、複数の機能を利用する場合には、その数だけ手間がかさむというデメリットがある。
「いずれの方法も手間がかかったり、時刻同期型のワンタイムパスワードの場合、発行用に別のデバイスが必要になったりするなど、手間もコストもかかるやり方です。そのため、あまり歓迎されているわけではないのが実情でしょう」と藤田氏はいう。
FIDOでは、2段階認証にそうした複雑さや手間を掛けず、USBキーをタップするだけで認証できるようなU2F方式を提案している。例えば、2つ目の要素としてUSBキーが生成した秘密キーを、サーバで事前登録したキーに照合して認証するといった具合だ。この場合、悪意あるサーバにアクセスしても認証キーを得ることはできないため、フィッシングやなりすましといった悪意への対策にも有効といえる。
今後はこうしたFIDO対応の機能はもちろん、時刻同期型ワンタイムパスワード方式の課題解決を含め、あらゆる方法を加味しながら新しい認証基盤を選択しなければならない。それは、長期的に使われることが見込まれるうえで、それぞれにメリット、デメリットがあるため、認証基盤選びとしては悩ましい時期にさしかかっているといえるだろう。
USBトークンの進化が促進する新しい認証基盤
そこで解決策となりえるのが、シンプルなデバイスでありながら多機能さを併せ持つYubiKeyのようなUSBキータイプのトークンだ。「例えば、YubiKeyのワンタイムパスワードは、従来の時刻同期型だけではなく、トークンと認証サーバでワンタイムパスワードが生成される回数で同期を図るカウンタ同期型を持ち合わせています。数値の入力も不要で低コストかつ簡単なワンタイムパスワード認証が可能になります。また、物理的にも頑強で取り扱いも楽です。主要な認証プロトコルに対応できるため、様々な認証基盤と連携できるハイブリッドさも利便性の高さにつながります」と藤田氏。
多様化することが見込まれる今後の認証基盤に対応する幅広い機能とUSBトークンという簡単明瞭な形状がYubiKeyの特長なのだ。例えば時刻同期型ワンタイムパスワードがYubiKeyに変われば、USBポートへ差し込み、手続きが発生したらデバイスにタッチするだけで認証が完了することになる。ことあるごとに数値を見ながら入力していたことを考えれば、ユーザーへの負担が大幅に減ることがすぐに想像できる。
「今後主流となる認証基盤に必要なのは、認証キーとなるデバイスがユニバーサルであることだと考えています。それには使う人を選ばないYubiKeyのような製品が適しています」と藤田氏は語る。USBポートへ接続するだけ、あるいは接続してタッチするだけで様々な認証基盤に応用できるYubiKey。次回はその特長を見ていこうと思う。
(マイナビニュース広告企画:提供 ソフト技研)
[PR]提供: