2014年6月24日

FIDO Alliance代表
Michael Barrett

米国を拠点に、オンライン認証の強化を狙いとした新標準を確立する動きが拡大している。この動きの立役者はFIDO Allianceと呼ばれる団体で、生体認証技術等が従来のパスワードやユーザー名による認証に取って替わるとのビジョンを掲げる。新たな認証方式やこれに対応するデバイス向けの標準の策定に取り組み、その加盟企業は米欧の主要なセキュリティベンダーや通信会社、デバイスメーカー等を核に、アジアも含めて右肩上がりとなっている。

国境を越えてサイバー攻撃や情報漏洩のケースが相次ぎ、オンラインでのよりセキュアな認証方法の必要性が強く認識される中で、生体認証等の技術を利用したオープンな新認証方法を開発し、新しいオンライン認証の標準を確立しようとする動きが注目されている。これを牽引するのはFIDO(First IDentity Onlineの略称)Allianceと呼ばれる団体である。2012年にEコマース大手PayPalや米指紋認証ベンダーValidity Sensors(現在はSynapticsに買収)、中国と米国に拠点を置くパソコン大手Lenovo等などの6企業で発足した。そして2年弱で加盟企業はGoogle、Microsoft、RSAに加え、主要カードネットワーク各社、Bank of America等の主要金融機関、SamSung等のデバイスメーカーなど、120を超えて増え続けている。FIDOはパスワードとユーザー名を利用した従来の認証では十分にサイバー攻撃を防げないと現状を認識しており、強固なセキュリティと利用者の使いやすさという両面を備えた認証標準を確立する必要があるとしている。FIDOが策定する認証標準は、顔や音声、指紋等による生体認証技術だけでなく、既存の標準であるTPM(Trusted Platform Moduleの略称で、セキュリティ関連の処理機能を実装したセキュリティチップ)やNFC(Near Field Communicationの略で近距離無線通信)にも対応する。また、デバイスやブラウザプラグインにも対応していることから、さまざまなウェブサイトやクラウドアプリもFIDO標準に対応したデバイスにより、セキュアなオンライン認証が可能になるとしている。これまで認証の強化の取り組みは、サービス提供者のコスト負担が大きいだけでなく、利用者側にも認証を完了させるための面倒な操作を伴うとして敬遠されることも多かったが、FIDO Allianceはこれを根底から変えると意気込む。FIDO Allianceの構想/設立メンバーの一人で(当時はPayPalの最高情報セキュリティ責任者)、現在は同代表者を務めるMichael Barrett氏に、新しい認証標準の普及の見通しや課題、今後のセキュリティ対策のトレンド等について意見を聞く。

Michael Barrett氏へのインタビュー

Q.FIDO Allianceの加盟企業の特徴や傾向は。

加盟企業は2013年の一般公開(設立は2012年)から1年で、各業界のリーディング企業を中心に20倍以上に増えました。大企業もサイバー攻撃等で利用者の信頼を失う事例が相次いでおり、ビジネス拡大には新しい強固なセキュリティ対策が必要だという業界を超えた認識があるからだと思います。しかし、FIDO自体の構想は2009年にまで遡ります。当時PayPalで最高情報セキュリティ責任者を務めていた私の元に、指紋認証プロバイダValidity Sensorsの最高技術責任者が、PayPalで指紋認証を導入しないかとやってきたのです。私はパスワードとユーザー名に替わる認証方法が必要だと常々感じていました。しかし、実現するにはPayPal単体ではなく、業界全体あるいは業界を超えて、ソフトウエアとハードウエアを網羅した技術標準を確立しないと意味が無いと思っていたのです。そのため、影響力のある企業に声をかけ、賛同者を得た上でFIDO Allianceの設立に至ったのです。加盟企業の既存の影響力をうまく利用すれば、オープンで相互運用性のある新しい認証標準の確立/普及が可能だと考えてのことですが、現在はその方向に向かっていると実感しています。

Q.FIDO Allianceが策定する新しい認証のプロトコルはどのような内容か。

FIDO Allianceでは公開鍵暗号方式に基づいて、2つの標準プロトコルを策定しています。1つはFIDO標準に対応したモバイルなどのデバイス経由で、パスワードを使わず認証を行うのもので、UAFタイプと呼ばれるものです(Universal Authentication Framework)。利用者はデバイスに生体情報等を登録し、オンラインサービスにそのデバイスを登録すれば、デバイスでの認証だけでサービスにログインできる仕組みを提供します。もう1つはパソコン等を利用し2要素認証を行うパターンを想定したU2Fタイプのものです(Universal Second Framework:U2F)。これは新しい認証方法への移行期の対応とも言えますが、パスワード、ユーザー名ありきの既存の認証方法に、2つ目の認証を追加する仕組みを提供します。いずれも今年のはじめにバージョン1.0を公開済みで、この2つのプロトコルに対応したデバイスを提供する企業には、標準が十分に遵守されていることを確認/認定するテストプログラムを提供しています。標準の策定者が実装までを見届けることで、新しい認証利用に関与するプレイヤーの関係を円滑に構築できると見ています。

Q.具体的な認証の仕組みは。

例えば、金融機関の利用者がFIDO Alliance標準に対応したデバイスでモバイルバンキングを利用するケースで説明しましょう。まず利用者は、音声や指紋、顔など金融機関が本人確認に利用する生体情報を登録します。この時に秘密鍵と公開鍵のペアが生成され、秘密鍵は利用者のデバイスに、公開鍵はサービスプロバイダ(この場合は金融機関)のサーバに送られます。そして利用者がモバイルバンキングを利用する際には、利用者が登録した生体情報を通じ、秘密鍵を保有していることをデバイスが認識すると、この情報が金融機関のサーバに送られ、そこで保管されている公開鍵がマッチすれば認証が完了します。この認証方法を利用することで、複数のパスワードやユーザ名を記憶して入力する手間無しに、数秒でログインを完了できるのです。ちなみに、個人の生体情報は登録/認証プロセスの間、利用者のデバイスから外には出ることはありません。

Q.認証技術の違いでセキュリティの強度に違いはあるのか。

認証を顔でするのか、音声や指紋、あるいは心拍でするのか等は、生体認証を導入する際に一番初めに検討することだと思いますが、セキュリティの強度は認証技術の違いではなく、金融機関等のサービスプロバイダの判断次第だといえます。FIDO Allianceのプロトコルはどのタイプの認証にも対応しており、生体情報を利用した認証のプロセスでは、利用者のデバイスから送られてくるシグナルに基づいて認証の強度が毎回スコアリングされることになります。しかし、最終的には金融機関などのサービスプロバイダがどの取引にどの程度のセキュリティを必要とするかを判断することになります。例えばモバイルバンキングサービスの中でも、ATMの場所検索と資金移動では必要とされるセキュリティ強度が異なり、より強いセキュリティが必要な取引には2要素認証、それ以外の取引は1要素認証等の判断が必要になります。

Q.セキュリティに関する既存の標準との関係は。

確かにオンライン認証には既に普及している標準がありますが、FIDO Allianceの策定する標準は既存の標準と補完し合う関係にあります。例えば認証のオープン標準であるOAuthでは、利用者は自分のユーザー名やパスワード等を公開することなしに第3者にサーバリソースへのアクセスを容認できます。この場合、OAuth認証は、強い認証に焦点を置いたFIDOの標準と合わせて利用することで、利用者本人の明確なアクセス承認があった場合にのみ、認証プロセスが完了することができます。つまり2つの標準を合わせることでセキュリティが強化できるのです。また、共通のID情報を複数のウェブサイトで利用するための認証標準OpenIDも、オンライン認証に関する代表的な国際標準ですが、FIDO AllianceはシングルサインオンやID連携(Federation ID)に直接関与するものではありません。そのため、OpenIDとは競合することなく、合わせて利用することにより、お互いを補完し合い、セキュリティを強化できると見ています。

Q.FIDO Allianceの活動が金融サービス業界に与える影響は。

FIDO Allianceでは、セキュリティベンダー、金融サービス、デバイスメーカー、通信などから主要なプレーヤーが加盟企業として名を連ねています。そして加盟企業は急速に増えており、今年に入ってからは、米大手銀のBank of Americaや主要カードネットワークのVisa、そしてデバイスメーカー Samsung Electronicsが新しく加盟しました。特にSamsungはPayPalと協力し、世界初のFIDO標準対応の指紋認証が可能なデバイスを市場展開することを決めており、今後はこのように加盟企業間での連携がさらに進むことが予想されます。

Q.FIDO標準普及に向けた今後の見通しは。

FIDO Allianceでは、セキュリティを強化すると利用者に不便がかかるという今までの認識を払拭し、強いセキュリティと使いやすさのバランスを持った新しい認証標準を定着させることを目指しています。国際的に影響力のある企業が一丸となって、新しい認証標準を確立し普及させる必要性を認識しているので、こうした環境はFIDO Allianceの取り組みには追い風です。また、すでに指紋認証機能を搭載したiPhoneに対して消費者が好意的に反応してはいますが、消費者がログインに生体情報を利用するという行動変容にうまく反応するかどうかも重要だと考えています。これが円滑に行けば、FIDO標準対応のデバイスは2014年末までに、市場に数億万台ほど出荷される予定ですので、今後は雪だるま式でFIDO対応のデバイスが増える可能性があります。その結果、かなり早いペースでパスワードとユーザー名ベースの認証に代わって、FIDO標準がオンライン認証の主流になっていく可能性は高いでしょう。

インタビューを終えて

Barrett氏は、指紋認証技術を搭載したiPhoneが市場に好感を持って受け入れられている状況や、カンファレンスなどで、特に金融業界とヘルスケア業界がFIDOの認証方式に強い興味を示す傾向から、新しい認証方式の普及に手応えを感じているようでした。しかし普及の鍵を握るのはやはりエンドユーザです。FIDO対応デバイスでの認証は、利用する生体認証技術が異なっても、果たして利用者に「使いやすい」とスムースに受け入れられるのか、FIDOデバイスが多く市場に展開される今年から来年にかけて、利用者の反応を慎重に見極めることも必要になりそうです。

注釈

  • 本文中に記載されている会社名、製品名は各社の登録商標または商標であり、敬称名は略させていただきました。