パスワードが不要な世界を実現するクラウドの認証サービス「CloudGate UNO」

インターネットのサービスを利用する際、アカウントとパスワードによる認証を経てログインすることが一般的だ。しかし、簡単で破られやすいパスワードを設定したり、複数のアカウントで同じパスワードを使用したりしているケースが多い。これは、非常に危険な状態で、実際、セキュリティ被害のうちパスワードの脆弱性によるものが81%とかなりの割合を占める。ここでは、そういった“パスワード問題”を解決できる「標準仕様」と、それに対応した製品「CloudGate UNO」を紹介する。

安全で利便性が高くコストがかからない認証の仕組み

 米国のある調査では、2016年に発生したハッキングによるデータ侵害のうち、81%がパスワードの脆弱性を利用した攻撃だった。また、2016年に発生したフィッシング詐欺の成功率は約7%だが、これは14個のアカウントを攻撃し、1つのアカウントに対して詐欺が成功したことになる。さらに2017年には、フィッシング詐欺の成功率は45%に増加している。

 データ侵害やフィッシング詐欺などが増加している背景には、安全ではないパスワードの利用方法がある。例えば、パスワードに「誕生日」や「連続番号」のような、予想しやすい文字列を使用することで、容易にパスワードを破られてしまう。また、同じパスワードを複数のサイトで使いまわすことで、被害はさらに拡大する。

 現在、インターネットサービス利用者1人あたり、約27種類のアカウントを所有していると言われている。この27種類のアカウントに対し、1つひとつ複雑なパスワードを設定し、すべてを覚えておくことは困難である。そこで、覚えやすいパスワードを設定したり、同じパスワードを使いまわしたりすることになる。

 この問題を解決するために、多要素認証が導入されている。多要素認証は、利用者の本人認証時に、ID/パスワードの入力とともに、ICカードやOTP(ワンタイムパスワード)トークンなど利用者が持っているものの情報を求める仕組みで、別の認証要素を組み合わせることにより、なりすましのリスクを低減することはできる。しかし、コストがかかったり、入力が面倒だったりと利便性に課題がある。

 安全なアクセスの強化はもちろん、あまりコストをかけることなく、利便性を確保してユーザー体験も向上できる認証の仕組みを導入したい。この要件を満たすのが、パスワードレス認証だ。一般的なユーザー認証では、ID/パスワードでログインするが、パスワードレス認証では、パスワードを入力することなく、主に指紋などを利用して簡単にログインすることを可能にする。

認証は独自仕様からFIDO認証による標準仕様へ

 指紋認証やセキュリティトークンを使った認証は、特に新しい技術ではなく、これまでにもトークンベンダーやサービスプロバイダーなどが、独自のプロトコルで提供してきた。そのため、利用するプロトコルの数だけ、トークンやICカードを持ち歩かなければならなかった。これでは、利便性の向上は望めない。この課題を解決するために、2012年に誕生したのが、「FIDO(ファイド)アライアンス(Fast IDentity Online Alliance)」である。

 FIDOアライアンスは、トークンベンダーやサービスプロバイダーなど、すでに250社以上が参画(2018年12月現在)する非営利団体である。パスワードに代わるシンプルで堅牢な認証モデル「FIDO認証」の策定に取り組んでいる。FIDO認証は、オープンでスケーラブル、さらに相互運用性が確立されることも特長の1つ。すでに523製品(2018年10月時点)がFIDO認証を受けており、FIDO認証を推進するサービスプロバイダーに提供されている。

 FIDO認証とパスワード認証の違いは、シェアードシークレット(秘密の共有)をしないことである。パスワード認証は、パスワード(秘密)をサーバーで管理(共有)する仕組み。一方、FIDO認証は、トークンやスマートフォン内で本人確認をし、確認した結果だけをサーバーに送信する。パスワードなどの認証情報をサーバーに保持せず、また、ネットワーク上にも流れないため、認証情報の漏えいリスクが少ない。

 FIDO認証の最新の認証仕様であるFIDO2は、これに対応したデバイスを利用して、ウェブブラウザを通じたオンラインサービスへの簡単で、安全なログインを実現する仕様だ。

 FIDO2には、秘密鍵と公開鍵を用いた公開鍵暗号の仕組みによりユーザーを認証する業界標準の技術が用いられている。まず、登録の流れについては、ユーザーがFIDO2に対応したサーバにアクセスすると、FIDO2に対応したサーバから本人確認が要請される。それに対し、ユーザーは認証デバイスに指紋をかざしたり、PINコードを入力したりして、あらかじめ認証デバイスに登録された本人情報と合致しているか確認される。本人性の確認が取れたところで、公開鍵と秘密鍵がペアで作成され、公開鍵はサーバに、秘密鍵はそのまま認証デバイスに保管される。

 続いて、認証の流れについては、ユーザーが認証を開始すると、サーバから本人確認が要請される。本人性の確認が取れたら、その結果のみを秘密鍵で署名し、デジタル署名としてサーバに送信する。この情報は登録時にペアで作成された公開鍵でのみ検証できる。問題なければこれにて認証が完了される仕組みだ。

 FIDO2認証で特筆すべき点は、FIDOアライアンスと、Webで利用される技術の標準化を進めるグローバルな非営利団体「W3C」が協力して開発したウェブ認証仕様だということである。そのため、異なるブランドのOS、ブラウザ、認証デバイス、サーバーなどがそれぞれ標準規格に合わせた開発を進めることが可能となった。将来的にユーザーはどの組み合わせでも自由にパスワードレス認証を使用できるようになると予想される。現在、FIDO2に対応しているブラウザは、Chrome、Firefox、Edgeの3つ。今後、Safariの対応も予定している。

パスワードレスでセキュアにクラウドサービスと連携

 インターナショナルシステムリサーチ(ISR)の「CloudGate」は、2008年12月29日のリリースから10周年を迎え、1,500社以上、75万ユーザーが採用(2018年9月末時点)しているクラウド型アイデンティティ管理ソリューションである。ISRでは、2014年よりFIDOアライアンスに加入し、2016年に「CloudGate UNO」でFIDO U2Fプロトコルに対応している。

 CloudGate UNOの機能は、大きく2つある。1つは、アプリケーションやサービスをシングルサインオン(SSO)で運用できる機能。SSOとは、1つのID/パスワードで、対応する複数のアプリケーションやサービスの認証を可能にする仕組みだ。SAML(Security Assertion Markup Language)2.0により、セキュアな認証を可能にする。

 もう1つは、利用条件をクリアしなければ、アプリケーションやサービスを利用できないようにするアクセスコントロール機能。例えば、社外からの利用を禁止したり、決められた端末だけしか利用できなくしたりするなどの機能が挙げられる。IPアドレス制限や端末台数制限、機器IDと証明書サービスによる制限なども利用できる。

 CloudGate UNOは、FIDO2に対応し、パスワードレス認証の実現を目指している。FIDO2対応認証デバイスに、事前に指紋などの本人情報を登録しておくことで、CloudGate UNOのログイン画面でトークンが認識され、認証が可能になる。

 CloudGate UNOにログインできれば、CloudGate UNOに対応したアプリケーションやサービスを、アクセス権限のある限り、セキュアに利用できる。CloudGate UNOのSSOに対応しているアプリケーションやサービスは、FIDO2に対応していなくても、間接的にFIDO2の恩恵を受けることが可能だ。

【CloudGate UNO FIDO2認証のイメージ画像】
【CloudGate UNO FIDO2認証のイメージ画像】

日本のインターネット利用者をパスワードから“解放”

 SSOサーバーにおいては、認証と認可という2つの軸がある。また、ユーザーの管理や連携なども重要になる。ISRは、他社にさきがけて新しい認証の仕組みを提供していく計画だ。一方、認可では、アプリケーションやサービスへのアクセス制限の拡張を進めていく。これにより、利便性と安全性を強化するほか、端末認証や本人確認も強化することが可能となる。まさに、“パスワードのいらない世界”を目指す取り組みだ。

 パスワードについての問題は、インターネットが登場する以前から存在するもの。パスワードの安全性に関する疑問はあるものの、現在に至るまで認証の主流はパスワード認証のまま変わっていない。公開鍵暗号方式なども登場したが、利便性が課題だった。しかし、FIDOアライアンスの誕生により、ようやく標準仕様が決まり、パスワードレスを実現できる環境が整ってきた。ISRでは、今後も日本の企業をパスワードから解放する取り組みを推進していく。

 CloudGate UNOとクラウドアプリケーションとの連携を体験・評価できる「CloudGate UNO 体験プログラム」を実施している。体験プログラムを希望する企業は、ISRの製品紹介ウェブサイトから申し込みが可能となっているので、ぜひ“パスワードのいらない世界”を体験してほしい。

【提供期間:2019年4月1日(月)〜2019年5月17日(金) ※順次提供予定】

提供:株式会社インターナショナルシステムリサーチ
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2019年6月30日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]