ISR、生体情報を用いたMFAの現状と今後を解説　スマホのFIDO準拠拡大でパスワードレス導入が一気に加速か？

　株式会社インターナショナルシステムリサーチ（以下、ISR）は20日、「生体情報を用いたMFAで安全性も利便性も確保！～FIDO認証のサポート範囲拡大により、企業へのパスワードレス導入は加速する？～」と題した記者説明会を開催した。今回の説明会では、企業へのパスワードレス認証普及のキーポイントとされるFIDO認証について、現在の状況と今後の展望について説明した。

　近年、多様化するサイバー攻撃に対して、セキュリティ強化のために、生体情報を用いるMFA（多要素認証）の重要性が高まっている。その中で、MacのTouch IDやWindows Helloなど、生体認証機能を内蔵した端末の増加にともない、端末1台による生体認証の利用が拡大しつつあるという。この状況について、ISR 代表取締役のメンデス・ラウル氏は、「当社が提供しているSSO（シングルサインオン）ソリューション『CloudGate UNO』のユーザー企業でも、端末1台での生体認証を導入するケースが出てきている。しかし、端末1台だけでの生体認証には、いくつかの課題もある」と指摘する。

インターナショナルシステムリサーチ 代表取締役のメンデス・ラウル氏

　ラウル氏が挙げた課題は、「社用端末の中に生体認証機能が搭載されていないものがある」、「指紋認証機能が搭載されていたとしても、慢性的な皮膚荒れや汗などにより指紋が読み取られにくい社員がいる」、「テレワークなどで社外からアクセスする場合、端末内蔵の生体認証機能が使えないなどの状況にすぐに対処できない」といった点である。これらの課題に対して、ラウル氏は、「パスワードレス認証に対応したFIDO規格のセキュリティキーなどを使った端末2台構成によるMFAとすることで、生体認証の可用性を高めることができる」との考えを述べた。

　一方で、「セキュリティキーなどの外付け認証器の導入は、購入費用などのコストや管理の手間といった負担が増大することにつながる。また、ユーザーの抵抗にあう可能性もあり、企業によってはパスワードレス認証の普及が進まない要因の一つとなってしまう」（ラウル氏）と、セキュリティキーの問題点についても言及。そして、「今後は、FIDOに準拠したスマートフォンがセキュリティキーに代わるパスワードレスのMFA端末になっていく」と訴えた。

FIDOに基づいたパスワードレス認証の仕組み

　この背景として、2019年2月にAndroidがFIDO仕様の一つであるFIDO2認定を取得。Android 7.0以降を搭載しているデバイスであれば内蔵の指紋センサーを利用したFIDO2認証が可能となることを発表した。また、今年5月には、Apple、Google、Microsoftの3社がパスワードレス認証の提供を目指し、FIDO規格に準拠したパスワードレス認証のサポートを拡大する計画を発表。Appleでは、FIDO規格を導入した「パスキー」を9月リリース予定のiOS16に搭載することを発表している。

　ラウル氏は、「Android、iOSでFIDO2規格への準拠が進むことで、課題となっていたセキュリティキーの購入・管理や専用アプリをインストールする必要がなくなり、スマートフォンの標準機能でFIDO2認証が可能となる。これにより、企業へのパスワードレス認証の普及が一気に加速すると思われる」との展望を語った。