近年スマートフォンやウェブを中心に、従来の固定文字列のパスワードを使わない認証(パスワードレス認証)の利用が広がりつつある。パスワードレス認証は一般ユーザー向けサービスをメインに拡大しているが、インターナショナルシステムリサーチ(ISR)では企業向けサービスへの展開に取り組む。
ユーザーの記憶に依存する文字列ベースのパスワードは、ユーザーによる使い回しやサイバー攻撃などを原因とした情報漏えいと第三者による悪用(なりすましログイン)など、さまざまな危険性を伴う。そこで、ユーザーの生体情報(指紋や静脈、虹彩、顔の表情など)あるいはユーザーが所有するデバイス(専用トークンやモバイル機器など)情報を認証に用いることにより、パスワードが抱えるリスクの低減と利便性の向上を目的に、パスワードレス認証が注目されるようになった。
インターナショナルシステムリサーチ 代表取締役CEOのメンデス・ラウル氏。FIDO2の認証では、クライアントとサーバ間でパスワード情報を使用せず、サーバ側で保持もしないことから、ハッキングなどによるサーバからのパスワード漏えいの心配がない
ISR 代表取締役で最高経営責任者(CEO)のメンデス・ラウル氏は、米AppleがiPhone 5sで指紋認証の「Touch ID」を搭載したことが、パスワードレス認証の一般化に弾みを付けたと指摘する。応用数学の博士号を持つ同氏は、米海軍大学院大学やリクルートスーパーコンピュータ研究所などでスーパーコンピュータの研究開発や認証技術に関する研究を手掛け、1993年に日本でISRを創業、クラウドサービス黎明期の2008年にクラウド認証の「CloudGate」を開発し、シングルサインオン(SSO)を中心とするサービスに取り組んでいる。
「iPhoneをきっかけに、GoogleやMicrosoftらもパスワードレス認証を推進している。現在ではコンシューマー向けのオンラインサービスや金融などで身近になったが、企業ユーザー向けにはまだまだこれから」(メンデス氏)
パスワードレス認証が本格化する契機になったのが、2012年発足の「FIDO(ファイド)アライアンス(Fast IDentity Online Alliance)」だ。ITや通信、金融など250以上の組織が参画し、NTTドコモやLINE、ヤフーなど37組織がボードメンバーを務める。ISRも2014年に加入した。そして2015年には、CloudGate UNO でFIDOアライアンスが策定した2段階認証のプロトコル「FIDO Universal 2nd Factor(U2F)」に対応した。
2018年9月時点でISRのCloudGate UNOは、1500社・75万ユーザーが利用する。だが、U2Fでは第1段階認証でのパスワード入力が残ることから、「完全なるパスワードレスには至らず、ユーザーにとってはまだ不便であり、企業普及の課題だった」(メンデス氏)という。
デバイスや生体情報を使うパスワードレス認証が徐々に広がる中で、FIDOアライアンスは2018年春に、パスワードを使わずにこれらの方法やPINコードで認証可能な新仕様「FIDO2」を発表した。これを受けてChrome、Edge、Firefoxの各ブラウザやMicrosoftの「Windows 10 October 2018 Update」、ヤフーのサービスなどが相次いでFIDO2をサポートし、2019年2月にはGoogleもAndroid(7.0以降)でのFIDO2対応を表明した。
メンデス氏は、特にMicrosoftのFIDO2のサポートが企業ユーザーにおけるパスワードレス認証の起爆剤になると期待する。MicrosoftはWindows 10のほか、トークンデバイスなどを手掛けるYubicoと「Azure Active Directory(Azure AD)」サービスでのFIDO2のサポートも表明している。メンデス氏によれば、近いうちにCloudGate UNOでのFIDO2対応を図り、企業システムにおけるパスワードレス化につなげたいという。
FIDO2によるCloudGate UNOでのデモ。製品開発中だが、ユーザー登録後は指紋やPINコードによる認証だけで、クラウドアプリケーションを利用できるようになるという
「データ侵害の81%はパスワード漏えいなどに起因するため、FIDO2によって、パスワードレス認証の普及に向けた道のりが開けた」とメンデス氏。CloudGate UNOでのFIDO2サポートにより、最初の1年で5万ユーザーのパスワードレス化を実現したいと語る。
