トピック
生体情報を活用したMFAにより、
安全で便利なパスワードレス認証を実現
- 提供:
- 株式会社インターナショナルシステムリサーチ(ISR)
2022年7月21日 09:00
サイバー攻撃の増加やリモートワークの定着により、企業は情報漏洩のリスクを回避するべく、より強固なセキュリティ対策を行う必要が出てきているなか、セキュリティ強化を目的としたMFA(多要素認証)の導入が進みつつあります。MFAと言っても、OTP(ワンタイムパスワード)やSMSで送られてくるコードを用いる方法など様々ですが、第三者に悪用される可能性の低い顔や指紋などの生体情報を用いたパスワードレスによるMFAがもっとも安全だとされています。
ISRでは、「全力でお客様の情報資産を守る」という経営理念のもと、セキュリティを最優先とする「Securityt First」の考え方に基づいたサービスの開発・運用・提供を行っています。この「Security First」はISRだけでなく日本のすべての企業にとって重要となる考え方であり、その実現のためには生体認証の導入が必要不可欠だと考えています。
今回は、人々の生活に馴染みつつある生体認証について、その普及に大きな役割を果たしているFIDO認証の話を中心に、今後の企業におけるセキュリティ強化にどのような影響を及ぼし得るのかをご紹介いたします。
生体情報によるパスワードレス認証を実現したFIDO認証
最近では多くのスマートフォンやパソコン、タブレットなどに生体認証機能が搭載されており、ユーザーはロック解除や電子決済の際に利用するなど生体認証に触れる機会が増えてきています。また、企業においてもMacのTouch IDなどの指紋認証センサーや、Windows Helloで生体認証(指紋認証や顔認証)が可能なパソコンが増えてきており、端末一台での生体認証の利用が広がっています。
このような生体情報を利用したパスワードレス認証の実現に大きく貢献しているのが「FIDO」という認証技術です。FIDOとは、簡単に言うと「パスワードを使わずに、安全に認証を行うことができる認証技術」です。これにより、ユーザーはパスワードを入力するのではなく、セキュリティキーや生体情報をMFAの要素として利用し手軽で安全に認証を行うことができます。
FIDO認証に使われている公開鍵暗号方式では、秘密鍵と暗号鍵というペアの鍵を生成してユーザー(認証器)とサーバーがそれぞれ保有することになります。認証の際には、ユーザー側での認証結果(成功/失敗)だけがネットワークを通じてサーバーへと伝えられるため、途中で第三者に窃取されたとしても認証情報が漏洩することはありません。
しかし、生体認証機能が搭載されていない社用端末を導入している企業もまだ多いでしょうから、FIDO準拠の生体認証によりクラウドサービスへアクセスするようにしたい場合には、セキュリティキーなどの外付け認証器を用意する必要があります。仮に生体認証機能搭載の社用端末を使用していたとしても、慢性的に皮膚が荒れてしまう方や、汗などで指紋を読み取られにくい方は生体認証を利用できない場合もあり、外付け認証器の用意が必要でしょう。
また、テレワークが定着し社外からアクセスする機会も増えた現代においては、内蔵の生体認証が使えないといった状況にすぐに対応することができない可能性も考えられます。端末一台のみでの生体認証は便利ではありますが、一般企業が求める高可用性を考えると、バックアップの意味も兼ねて端末2台による2台構成のMFAを検討する必要があると言えます。
FIDO認証の導入によりセキュリティ面で考えるとサイバー攻撃のリスクが低減される一方で、セキュリティキーを利用してMFAを行うとなると購入費用などのコスト面や管理面での手間が生じます。セキュリティや利便性に優れていながら一般的な企業への普及が大きく進まないのは、これらの点が課題となっているからだと考えられます。
スマートフォンを使った生体認証
FIDO認証普及の課題であるセキュリティキー管理の手間を解消する手段として、近年、生体認証機能の搭載が一般的となっているスマートフォンを利用する方法が挙げられます。
FIDO規格による生体認証の利用
2019年2月、FIDO仕様の一つであるFIDO2認定をAndroidが取得し、Android 7.0以降を搭載しているデバイスであれば内蔵の指紋センサーを利用したFIDO2認証が可能となることを発表しました。
また、OSがFIDO規格に対応していない場合でも、専用のアプリケーションをインストールすることにより、スマートフォンに搭載の生体認証機能を利用したFIDO認証が可能となっています。
これにより、外付け認証器を用いることなく、手持ちのスマートフォンをセキュリティキーとして利用できるようになったため、FIDO認証の普及スピードを速めることにつながったと考えられます。
ISRが提供するCloudGate UNO専用アプリケーション
このような生体認証普及の動きを受けて、ISRは2016年10月にiPhone 5の指紋センサーで多要素認証を可能にした、CloudGate UNO専用アプリケーション「CloudGate Authenticator」の提供を開始しました。パソコンからCloudGate UNOへログインする際、スマートフォンへ通知が届き、指紋認証と承認を行うことで認証が完了します。
2021年10月には新規端末登録やパスワード変更などのアクティビティに関するセキュリティ通知機能を追加し、「Pocket CloudGate」という名称へと変更しました。認証とセキュリティ通知の2つの機能を搭載したことで、セキュリティ面でも利便性の面でも役立てることができ、現在1600社あるCloudGate UNOユーザー企業においてPocket CloudGateは広く利用されています。
・CloudGate UNOユーザー企業のPocket CloudGate活用事例はこちら
・CloudGate UNOユーザー企業のパスワードレス認証導入事例はこちら
スマートフォンがセキュリティキーの代わりになる
2022年5月、Apple、Google、Microsoftの3社はパスワードレス認証の提供を目指し、FIDO規格に準拠したパスワードレス認証のサポートを拡大する計画を発表しました。これが実現すれば、セキュリティキーの用意やスマートフォンアプリをインストールする必要なく、FIDO認証が可能となります。
Android 7.0以降のデバイスはすでにFIDO2認証機能が搭載されているため、スマートフォン上で生体認証を行うことでFIDOによるパスワードレス認証が可能です。
今秋iOS16がリリースされることで、iPhoneでもAndroidのようにアプリをインストールすることなくFIDOによるパスワードレスのMFAを実現できるようになります。セキュリティキーの購入や管理の必要がないため、これを機にパスワードレス認証の普及が一気に加速するのではないでしょうか。
CloudGate UNOが提供するパスワードレス認証
今後はFIDO認証機能が実装されたスマートフォンが、個人の身分証明として消費者向けのWebサイトで使われるでしょう。企業においても、セキュリティポリシー次第かもしれませんが、比較的社員数が少なく移行のしやすい企業からパスワードレス導入が始まると考えられます。
ISRは企業向けクラウド型認証サービスCloudGate UNOを提供するなかで、2014年にFIDO Allianceに参加し、2019年からはセキュリティキーやWindows、MacBookを用いて顔認証や指紋認証を利用したパスワードレス認証の提供を開始しました。2020年12月にはFIDO2に対応したTouch IDやFace IDといったスマートフォンやiPadを使った認証もいち早く企業へ提供し、2021年10月にはPocket CloudGateのセキュリティ通知機能の提供も行っています。さらに、先ほどご紹介した、Android 7.0以降のAndroid端末に搭載の生体認証機能を利用したパスワードレス認証も多要素認証の要素の一つとして利用することが可能となっています。
不正アクセスの被害から情報資産を守るためには、さまざまなリスクのあるパスワードを用いるのではなく、生体認証を利用した多要素認証を導入することが重要であると考えています。今回のスマートフォンがセキュリティキーとして利用できるようになることも含め、「Security First」の考えのもと、パスワードレス認証がユーザーの皆様にとって当たり前のものになる世界を目指して、今後も普及活動に力を入れてまいります。
FIDO認証の利用には認証器と認証サーバーが準拠している必要があります。
※Windows 10(バージョン1903以降)のWindows Hello
Android 7.0以降のGoogle Play開発者サービス
macOS BigSur / iOS 14以降のSafariでTouch IDおよびFace IDがプラットフォーム認証器としてFIDO認証に利用可能