GMOトラスト・ログイン ブログ シングルサインオン(SSO)や
認証に関する話題

FIDO2を支える「FIDO2認証サーバー」について理解する

2019/05/29

1.jpg

事実上の業界標準となっている秘密鍵と公開鍵を利用した認証技術である「FIDO(ファイド)」については、既にご存知の方も多いかと思います。以下では、FIDOによる認証を支える「FIDO2認証サーバー」についてご説明いたします。

 

FIDO関連用語について改めて理解する

2.jpg

業界団体としてのFIDOについては既に「当サイトの用語集 [FIDO | ファイド] 」で詳しくご説明させて頂いておりますが、以下ではFIDO関連用語を手短に振り返りたいと思います。

  • FIDO
    • パスワードに依拠しない認証を行うために開発された、秘密鍵と公開鍵を利用した認証技術。なお、FIDOとは “Fast IDentity Online” の略。
  • FIDO Alliance
    • FIDO認証技術を共同で開発、普及を行っている団体。日本からもNTTドコモ、ソフトバンクといった通信企業、三菱東京UFJ銀行、JCBといった金融機関、日立、富士通、ソフト技研といったシステムベンダーが参加している。
  • FIDO UAF
    • UAFは “Universal Authentication Framework” の略で、主にスマートフォンを利用しての認証を想定された規格となる。具体的には、指紋認証、顔認証、虹彩認証といった生体認証が利用できる。認証の要素数は問わないので、単要素認証でも利用できる。
  • FIDO U2F
    • U2Fは “Universal 2nd (Second) Factor” の略で、生体認証を含む2要素認証を行うための規格となる。UAFが単要素で問題ないことに対して、U2Fは2要素認証が必須となり、より高いセキュリティを実現できる。
  • FIDO2
    • 各ベンダーがリリースする専用の認証製品を導入しなくても、ブラウザなどの標準的なソフトウェアからFIDO UAF/U2F認証が利用できるようにするための仕様。なお、ブラウザやウェブサービスに組み込むAPIを定義するのがWebAuthnで、これはFIDO2の一部となる。
  • FIDO2認証サーバー
    • FIDO2認証を実際に行う認証のためのサーバー。FIDO2相互接続性試験を実施し、FIDO Allianceから認証を得ることで「FIDO2認証サーバー」として利用することができる。FIDO2認証サーバーを開発した企業は、サーバーを公開することで、FIDO2認証を利用したい企業に認証サーバーをサービスとして提供する。

本ブログのテーマである「FIDO2認証サーバー」は、生体認証をブラウザなどの標準的なソフトウェアで行ううえでの認証を司るサーバーです。認証サーバーを公開して、多くの企業が利用できるようにすることは、単にFIDO2認証サーバーを提供するビジネスとなるだけではなく、信頼できる認証基盤を維持運営するという極めて公益性が高い活動だと言えます。

 

4大ブラウザはFIDO2認証に対応済

3.jpg

Google Chrome, Microsoft Edge, Firefox、そしてApple Safariという「4大ブラウザ」は既にFIDO2認証対応を済ませています。2019年4月現在、この4大ブラウザの市場シェアは9割前後と圧倒的で、スマートフォンやパソコンでこれら4つのブラウザのどれかを利用していない人はまずいないといってよいでしょう。これらのブラウザとスマートフォンまたは専用デバイスなどを組み合わせることで、FIDO2認証を行うことができます。

なお、2019年2月にはAndroidがFIDO2認証を取得し、Android 7.0以降のほぼ全ての端末でFIDO2が利用できるようになりました。また2019年3月に、FIDO2の中核要素の1つであるWebAuthnはインターネットの標準技術を策定する World Wide Webコンソーシアム (W3C) で「ウェブ標準」として承認されています。このように、ブラウザ経由のID・パスワードレス認証が加速する状況は整ってきたといえます。

 

日本で稼働するFIDO2認証サーバーは数少ない

4.jpg

ブラウザはFIDO2対応を済ませ、中核技術のWebAuthnがW3Cから標準と認められたため、今後はFIDO2認証の導入・普及が見込まれています。そこで重要となるのが「どのFIDO2認証サーバーを利用するか」という点です。

FIDO2認証サーバーは、FIDO Allianceが提供するのではなく、FIDO Allianceが承認した企業や団体により開発・運用・提供されます。一般的に、FIDO2認証を企業内・組織内で利用したい場合は、既に運用されているFIDO2認証サーバーをサービスとして利用することが想定されています。これにより、FIDO2認証を行いたい組織が毎度、FIDO2認証サーバーを新たに開発・設置する手間が省けます。

日本でFIDO2認証を行いたい組織は、認証サーバーが日本にあることが望ましいとされます。これは、国境をまたぐクラウドサービス利用における法律の適用に関する問題と同じで、FIDO2認証サーバーが日本以外の国にある場合は、他国の法律が適用され予期せぬ障害が発生する可能性があります。また、導入時やトラブル対応時のサポートといった観点でも、日本のベンダーが提供するFIDO2認証サーバーを利用したいという組織は多くあります。

日本企業が提供するFIDO2認証サーバーはまだ多くありません。2018年12月にLINEが認証を取得しているほか、2019年4月にはソフト技研が認証を取得している程度です。こうした先駆的な企業が提供するFIDO2認証サーバーを利用して、日本国内のFIDO2導入が進んでさらなるセキュリティの強化がなされることが期待されています。

 

多要素認証・パスワードレス認証時代の幕開け

5.jpg

当社では、ID・パスワードの統合管理を行うクラウドサービス向けのシングルサインオン製品として「トラスト・ログイン」を開発、提供しています。クラウドのマシンパワーを悪用して、より高度かつ組織的に不正アクセスを試みる事件・事故が増加していることから、ID・パスワードの統合管理だけでなく、生体認証を含む多要素認証を推進しています。

トラスト・ログインを利用されるお客様が、FIDO2認証サーバーを介した認証を行うことで、より一層強固なセキュリティが実現できるよう、当社も製品開発に努めてまいります。

カテゴリー
記事一覧