- Column
- 大和敏彦のデジタル未来予測
サービスのデジタル化を支える個人認証の現状とこれから【第74回】
シングル・サイン・オンでパスワードの使用を最小にする
パスワードの使用を最小化する動きも出てきている。一度のログインで複数サービスの使用を可能にする「SSO(Single Sign On)」の仕組みの利用である。IDやパスワードを管理する手間やパスワードの使い回しによる情報漏えいリスクの低減を図る。FacebookやGoogle、X(旧Twitter)、Yahoo! JAPAN、Appleなどのソーシャルメディアが、他のサービスを使用するSSOを提供している。
SSOの実現方法には、いくつかある。外部の認可サーバーを利用するフェデレーション方式や、エージェント型ソフトウェアの導入、システムがログインを代行する仕組み、「リバースプロキシ」と呼ぶ代理サーバーで処理する方法などがある。最も多用されているのがフェデレーション方式だ。
フェデレーション方式には、「SAML(Security Assertion Markup Language)やGoogleが使っている「OAuth(オーオース)」などがある。
SAMLは、ユーザーがサービスを使おうとする際に、ユーザーの認証情報を保存・管理している「IdP(Identity Provider)」が認証することでサービスが使えるようにする。
一方のOAuthは、権限認可のためのオープンスタンダードである。ユーザーがサービスなどにアクセスする際に、Webプラットフォーマーが提供するサーバーによって認可を受け、アプリケーションへのアクセスを可能にする「アクセストークン」を受け取る。例えば、ログインしているGoogleの資格情報を使って、他のサービスが利用できるようになる。
SSOによってサービス事業者も、IDやパスワードを管理するための負荷を低減できる。しかし、企業が提供する認可サーバーと連携するため、提供企業に依存することになる。認可サーバーの提供企業は、サービス事業者が持つアプリケーションへのアクセスを閲覧できるほか、アクセスの可否をコントロールすることも可能である。
認証強度を高める多要素認証の採用に向かっている
認証強度を高めるには図2のような仕組みがある。
バイオメトリクス(生体)認証 :指紋や顔、瞳孔、声紋などの生体情報を使って認証する方法である。個人に特有の情報を使うため認証の強度が高い。ただし、生体情報をサーバー側に登録する手間がかかるほか、生体情報は一度盗難や複製されてしまうと更新できず同一の認証基盤では使えなくなる。そうした理由から登録に抵抗を感じる人も多い。
二段階認証方式 :ログイン用のパスワードとは別のパスワードも使って二段階で認証する方法である。ソフトウェアアップデートや金銭のやり取りなど重要な操作をする際に利用する。金融機関などが採用している。
多要素認証(MFA:Multi Factor Authentication) : 複数の認証要素を使ってアクセスを確認する方法である。所持するカードやスマートフォンなどのハードウェア、パスワードなどの知識、および生体情報を3要素とし、これらのうち2つ以上を組み合わせて認証する。銀行のカード(所持)と暗証番号(知識)や、Webへのログイン(知識)とスマホへのパスワード送信(所持)などが相当する。
多要素認証で採用が広がっているのが「FIDO」認証である。「FIDOアライアンス」と呼ぶグローバルな団体が推進する方式で、FIDOアライアンスが承認した企業や団体が開発・提供・運用している。日本からも通信事業者や金融機関、システムベンダーが参加する。
最新版の「FIDO2」では、FIDO2サーバーがデバイスを認証し、そのデバイス上で生体認証などを実施し本人を認証する。すなわち、知識と所有による2要素認証方式だ。その際、公開鍵暗号方式を使うことで、デバイス側とサービス側とで秘密の情報を共有しない仕組みになっている。
具体的には、デバイス認証用の鍵のペアを作成し、あらかじめ認証サーバー側に公開鍵を登録しておく。生体認証などによってデバイスに格納した秘密鍵のロックを解除し、秘密鍵によって作成した暗号鍵をサーバーの公開鍵によって確認する。
FIDO2による認証では、FIDOアライアンスの標準に基づいた認証サーバーを使うため、大手企業による情報の独占は避けられる。デバイスが鍵になるため、デバイスを変えるたびに資格情報を再登録する必要があるが、この問題も「パスキー(Passkeys)」という仕組みにより資格情報を複数デバイスで同期することで解決している。ブラウザ経由でFIDO2認証を行なう「Web認証(WebAuthn)」という技術をサポートするなど、FIDO2認証を拡大するための基盤ができている。