1-073

急がれるパスワード認証に代わる仕組み『FIDO Alliance』が考えるサイバーセキュリティ

  • このエントリーをはてなブックマークに追加

by [2015年2月17日]

1-048
メールアカウント、通販サイト、SNS などのサービスへログインする際に入力するパスワード。パスワード管理は困難であることに加え、情報漏洩や成り済ましといったセキュリティのリスクがあります。そこで、世の中を「パスワードから解放」することを目的にする標準化団体 FIDO Alliance(ファイド アライアンス)がアメリカで立ち上がり、その仕組みを日本でも広めようと、株式会社ディー・ディー・エスが「FIDO Alliance 日本上陸記者発表会」を開催しました。

▽FIDOって何?という方はまずコチラ:
パスワードを使い回す必要が無くなる~セキュリティ団体『FIDO Alliance』がいよいよ日本上陸

東京電機大学教授・日本スマートフォンセキュリティ協会 会長の安田 浩氏が率いたセッションでは、セキュリティ業界を代表する名立たるゲストスピーカーが、サイバーセキュリティの重要性、FIDO のメリット、そして FIDO をどのようにして展開していくのかについて語られました。

サイバーセキュリティに対する米国の動き

元米国大統領サイバーセキュリティ特別補佐官 ハワード・A・シュミット博士

元米国大統領サイバーセキュリティ特別補佐官
ハワード・A・シュミット博士

今週は、アメリカにとっても特別です。アメリカ大統領が再び、国際協力ということで情報共有を呼び掛けております。なぜ、情報共有が必要なのかというと、1980年代後半にインターネットが初めて発明されてから、ユーザーIDとパスワードは使われてきました。1998年にクリントン大統領は、ある委員会を開催して、そこでサイバースペースの安全を確保するためにどうすればいいのかを討議しました。委員会レポートからいくつかの勧告が出まして、その内の1つが民間業界に対して、セキュリティについて向上させて欲しいとのことで、特にユーザーIDとパスワードについての検討がいるという内容でした。

しかし1998年から2003年にはますますユーザーIDとパスワードに依存するという状況になります。そして2011年に、オバマ大統領から「NSTIC」(エヌ スティック)と呼ばれるサイバースペースにおけるアイデンティティ管理について検討してほしいという申し出がありました。これは、グローバルでID管理ができるエコシステムを構築することが目的でした。企業の社員、幹部などのエンドユーザーが使用したいデバイス(USBスティック、スマートカード、モバイルデバイス、ワンタイムパスワードなど)を選ぶ代わりに、それを統合するための標準化を行い、今までの様に複数のデバイスを活用してログインしなくても良い状況にしました。

FIDO アライアンスが世界へもたらした影響を見ていくと、実際にテクノロジーを開発したり、使い方を簡単にするインターオペラビリティ(相互運用性)、そしてデバイスを世界のどこでも使えることを可能にします。それが出来るようになるのも、FIDO アライアンスの協力で標準を設定し、全ての人に使えるようにするためです。私の願いと望みは、ユーザーIDとパスワードの使用をやめ、そして安全な方法でネットワークに入るための認証を行っていくことです。そうすることで、データの盗難で人々が危険にさらされたり、なりすまし被害に遭う可能性を減らすことに繋がると思います。

FIDO 設計のポイント

FIDO創始者、米Nok Nok Labs社長兼CEOフィリップ・M・ダンケルバーガー氏

FIDO創始者、米Nok Nok Labs社長兼CEO
フィリップ・M・ダンケルバーガー氏

FIDO とは簡単に、3つのことが言えます。

(1)FIDO は、仕様書を作っています。その仕様書をもとに企業がインターオペラビリティの標準を開発し、エコシステムをそのまわりに構築しています。

(2)その次がアライアンスです。FIDO は、170以上の世界中の大小様々な企業が加盟し、標準を作ろうとしています。生体認証やピンコードといった色々な認証方法があると思いますが、これらが FIDO のアライアンス内でカバーされていきます。企業がアライアンスを組むことで、標準が設定されていきます。

(3)FIDO は、認定された製品として推奨されていきます。

FIDO のメリットと設計のポイントについては、4つの分野があります。

(1)「簡単に使える」こと。小さな画面でユーザーID、パスワードを入力するのは非常に大変です。より自然なものを作っていくと言う意味で、顔認証、指でピンコードをスワイプする、音声認証などの方法があります。使い勝手が良いのが、デザインポイントの1つです。

(2)「セキュリティを高める」こと。プロトコルやコンピュータの標準をより安全にします。

(3)「コスト削減をする」こと。どのようにして、プロバイダー側のコストを削減して、エンドポイントを展開していくかを考えました。

(4)「ユーザーがプライバシーの権利を持つ」こと。どのようにして、ユーザーのオンライン情報の扉を開ける「鍵」をデバイスに残すかを考えました。我々は、ハッキングされる可能性があるクラウドやビッグデータにパスワードを保管することはないため、スケーラブルな攻撃を防ぐことができます。

世界初となる FIDO 対応のmicroSD

台湾GOTrust Technology Inc.CEO ダレン・リー氏

台湾GOTrust Technology Inc.CEO
ダレン・リー氏

FIDO は、近い将来に当たり前になると思います。しかし、どうのようにしてパスワードがない形で FIDO 展開していくかを考えていかなければいけません。FIDO は新しいテクノロジーのため、スマートフォンには、新しいセキュアチップや指紋のチップを搭載しないといけなくなります。しかし、ソニー、サムスン、HTC といった Android 端末を見ていくと 99% ものAndroid スマートフォンには、セキュアチップや指紋のセンサーがついておりません。これらを導入するには、時間がかかります。我々は、どのようにしてスマートフォンを FIDO に対応させていくかを考えました。そこで、それぞれの端末に装備されている microSD を FIDO に対応することに成功します。これによって、いま市場に出回っている Android 端末も含め、即座に FIDO に対応することができます。

GOTrustが提供する microSD

GOTrustが提供する microSD

日本も世界に続いてほしい

東京電機大学未来科学部教授/東京大学名誉教授/(社)日本スマートフォンセキュリティ協会 会長 安田浩教授

東京電機大学未来科学部教授/東京大学名誉教授/
(社)日本スマートフォンセキュリティ協会 会長 安田浩教授

いま日本のサイバーセキュリティがどの状態かは、なかなか一言で表せません。

我々は、エンジニアとしては安全なシステムを提供できると思いますが、問題は、そのシステムを使う人が正しい本人でネットワークにログインし、そして簡単でかつスムーズにサービスを使えるかが一番重要だと思います。そのためには、パスワードを覚えたり、入力(する手間が発生)したり、忘れてしまったなどの事態では困ります。いかに、簡単な形で自分たちがネットワークを使えることが大きな鍵となります。それには、FIDO の様なシステムでパスワード認証に代わる仕組みを作らないといけません。世界は、その様な方向に動いています。日本がその波に乗り遅れてしまった場合は、世界についていけなくなってしまいます。日本の皆さまには、FIDO のような使いやすく、安全なシステムを早く利用できるようにと、主張して頂きたいです。

▽関連記事:
パスワードだけでは危険な現代のオンライン認証~FIDOアライアンスの考えるセキュリティとは?
パスワードの要らない世界~FIDOが標準化を目指すオンライン認証プロトコル『UAF』『U2F』

PageTopへ