トップインタビュー

FIDO2で企業のパスワードレス化に期待--ISRのメンデスCEO

國谷武史 (編集部)

2019-04-16 06:00

 近年スマートフォンやウェブを中心に、従来の固定文字列のパスワードを使わない認証(パスワードレス認証)の利用が広がりつつある。パスワードレス認証は一般ユーザー向けサービスをメインに拡大しているが、インターナショナルシステムリサーチ(ISR)では企業向けサービスへの展開に取り組む。

 ユーザーの記憶に依存する文字列ベースのパスワードは、ユーザーによる使い回しやサイバー攻撃などを原因とした情報漏えいと第三者による悪用(なりすましログイン)など、さまざまな危険性を伴う。そこで、ユーザーの生体情報(指紋や静脈、虹彩、顔の表情など)あるいはユーザーが所有するデバイス(専用トークンやモバイル機器など)情報を認証に用いることにより、パスワードが抱えるリスクの低減と利便性の向上を目的に、パスワードレス認証が注目されるようになった。

インターナショナルシステムリサーチ 代表取締役CEOのメンデス・ラウル氏。FIDO2の認証では、クライアントとサーバ間でパスワード情報を使用せず、サーバ側で保持もしないことから、ハッキングなどによるサーバからのパスワード漏えいの心配がない
インターナショナルシステムリサーチ 代表取締役CEOのメンデス・ラウル氏。FIDO2の認証では、クライアントとサーバ間でパスワード情報を使用せず、サーバ側で保持もしないことから、ハッキングなどによるサーバからのパスワード漏えいの心配がない

 ISR 代表取締役で最高経営責任者(CEO)のメンデス・ラウル氏は、米AppleがiPhone 5sで指紋認証の「Touch ID」を搭載したことが、パスワードレス認証の一般化に弾みを付けたと指摘する。応用数学の博士号を持つ同氏は、米海軍大学院大学やリクルートスーパーコンピュータ研究所などでスーパーコンピュータの研究開発や認証技術に関する研究を手掛け、1993年に日本でISRを創業、クラウドサービス黎明期の2008年にクラウド認証の「CloudGate」を開発し、シングルサインオン(SSO)を中心とするサービスに取り組んでいる。

 「iPhoneをきっかけに、GoogleやMicrosoftらもパスワードレス認証を推進している。現在ではコンシューマー向けのオンラインサービスや金融などで身近になったが、企業ユーザー向けにはまだまだこれから」(メンデス氏)

 パスワードレス認証が本格化する契機になったのが、2012年発足の「FIDO(ファイド)アライアンス(Fast IDentity Online Alliance)」だ。ITや通信、金融など250以上の組織が参画し、NTTドコモやLINE、ヤフーなど37組織がボードメンバーを務める。ISRも2014年に加入した。そして2015年には、CloudGate UNO でFIDOアライアンスが策定した2段階認証のプロトコル「FIDO Universal 2nd Factor(U2F)」に対応した。

 2018年9月時点でISRのCloudGate UNOは、1500社・75万ユーザーが利用する。だが、U2Fでは第1段階認証でのパスワード入力が残ることから、「完全なるパスワードレスには至らず、ユーザーにとってはまだ不便であり、企業普及の課題だった」(メンデス氏)という。

 デバイスや生体情報を使うパスワードレス認証が徐々に広がる中で、FIDOアライアンスは2018年春に、パスワードを使わずにこれらの方法やPINコードで認証可能な新仕様「FIDO2」を発表した。これを受けてChrome、Edge、Firefoxの各ブラウザやMicrosoftの「Windows 10 October 2018 Update」、ヤフーのサービスなどが相次いでFIDO2をサポートし、2019年2月にはGoogleもAndroid(7.0以降)でのFIDO2対応を表明した。

 メンデス氏は、特にMicrosoftのFIDO2のサポートが企業ユーザーにおけるパスワードレス認証の起爆剤になると期待する。MicrosoftはWindows 10のほか、トークンデバイスなどを手掛けるYubicoと「Azure Active Directory(Azure AD)」サービスでのFIDO2のサポートも表明している。メンデス氏によれば、近いうちにCloudGate UNOでのFIDO2対応を図り、企業システムにおけるパスワードレス化につなげたいという。

FIDO2によるCloudGate UNOでのデモ。製品開発中だが、ユーザー登録後は指紋やPINコードによる認証だけで、クラウドアプリケーションを利用できるようになるという
FIDO2によるCloudGate UNOでのデモ。製品開発中だが、ユーザー登録後は指紋やPINコードによる認証だけで、クラウドアプリケーションを利用できるようになるという

 「データ侵害の81%はパスワード漏えいなどに起因するため、FIDO2によって、パスワードレス認証の普及に向けた道のりが開けた」とメンデス氏。CloudGate UNOでのFIDO2サポートにより、最初の1年で5万ユーザーのパスワードレス化を実現したいと語る。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    生成 AI の真価を引き出すアプリケーション戦略--ユースケースから導くアプローチ

  2. セキュリティ

    マンガで解説、「WAF」活用が脆弱性への応急処置に効果的である理由とは?

  3. セキュリティ

    5分で学ぶCIEMの基礎--なぜ今CIEM(クラウドインフラストラクチャ権限管理)が必要なのか?

  4. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  5. セキュリティ

    従来型のSIEMを使い続ける弊害とSOC運用を高度化するサイバーセキュリティ対策の進め方

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]