パスワードレス認証は、これまでのようなスマートフォンでパスワードを入力する煩わしさから解放される利便性と併せて、パスワード漏えいや不正利用、等のセキュリティリスクを低減できるメリットがあります。2012年に発足したFIDO Alliance（Fast IDentity Online Alliance）では、パスワードレス認証の標準化を目指して、各種技術仕様の策定が進められています。2015年6月現在、Google、Microsoft、ARM、Intel、QUALCOMM、VISA、MasterCard、NTTドコモなどが加盟しており、FIDO 1.0の仕様が公開されています^参考3。

FIDOが提供する認証方式は、以下のような特徴を持っています。

以下では、UAFの登録と認証の流れを解説します。

サービスサーバーからの「ユーザー登録の開始」の要求を受けたFIDO Serverは、自ら生成した乱数などの情報を、FIDO Clientに送信します。受信したFIDO ClientはAuthenticatorにユーザー登録を要求すると、（指紋などの）生体情報の登録画面を表示し、ユーザーに生体情報を登録させます。登録が完了すると、Authenticatorは公開鍵暗号の鍵ペアを生成してユーザーに紐づけます。また、ユーザー公開鍵やサーバーから取得した乱数などから、Authenticatorの秘密鍵で署名生成し、FIDO Client経由でFIDO Serverに送信します。FIDO Serverは、受信した署名を検証（Authenticatorの正当性確認）し、ユーザーの公開鍵を登録して、結果をサービスサーバーに返却します。

サービスサーバーからの「ユーザー認証の開始」の要求を受けたFIDO Serverは、自ら生成した乱数などの情報を、FIDO Clientに送信します。受信したFIDO ClientはAuthenticatorにユーザー登録を要求すると、（指紋認証などの）認証画面を表示し、ユーザーを認証します。認証に成功したら、Authenticatorはサーバーから取得した乱数、等をユーザー秘密鍵で署名し、FIDO Serverに送信します。FIDO Serverは、受信した署名を検証（ユーザーを認証）し、認証結果をサービスサーバーに返却します。

FIDOの導入に際して、初期段階で検討すべき主な課題は以下の2点です。

1つめの課題は、PCの場合には、TPM（マザーボードに搭載するセキュリティチップ）やUSBドングル（挿さないとPCが動かないハードウエア型の鍵デバイス）、Android端末の場合には、TEE^参考4などの利用ができるかもしれませんが、運用面やライセンスの問題もあわせて検討しなければなりません。2つめの課題については、当面の間、特定の端末しかFIDOに対応していないため、その限定的なサービス提供について可否を検討する必要があります。また2015年7月現在、iPhoneはFIDOに対応していないため、Touch IDのAPIを利用した実装が前提となります。

一方、以下の最新の動向からは、近い将来に多くのスマートフォンやPCが生体認証装置を搭載するという予想もできます。

NTTデータでは、FIDOに関わる技術ノウハウと開発実績を持っており、お客様のさまざまなITサービスのセキュリティ向上と利便性向上に貢献することができます。