読者です 読者をやめる 読者になる 読者になる

NJS Developers

日本情報システム株式会社の開発ブログ

FIDOがパスワードの要らない世界を実現する!

Google2段階認証

みなさんこんにちは。日本情報システム株式会社 ICTソリューション部の進藤です。
今回は、FIDO、U2F、UAFについてご紹介します。

FIDO(ファイド)とは

FIDOは“Fast IDentity Online”の略で、2012年7月に設立された非営利団体です(FIDO Alliance)。また、この団体が考案した認証規格もFIDOと呼びます。
FIDO Allianceは、パスワードによるログイン認証を廃止するための規格を策定しており、MicrosoftGooglePayPalLenovoなどの大企業が参入しています。
MicroSoftWindows次期バージョンの「Windows 10」において、FIDOの認証方式をサポートすると発表しています。

画像

以前の記事から書かせていただいておりますが、パスワードだけの認証は、さまざまな脅威にさらされる危険性があります。オンラインサービスを提供する企業・団体は、顧客のパスワードが流出する問題を解決するために、2段階認証を取り入れています。しかし、携帯電話やセキュリティトークンから生成されるワンタイムコードを利用するため、それらのデバイスを紛失したり所持していなかったりする場合の利便性が低いと言えます。
スマホのロック解除に利用するマトリクスや指紋認証といった高度な技術がありますが、オンラインサービスの認証もこれらのローカルデバイスによる認証技術を活用できないかと検討され、考案されたのが 【U2F(ユーツーエフ)】と【UAF(ユーエーエフ)】といった規格です。

U2F(ユーツーエフ)とは

U2Fとは、「Universal 2nd Factor」の略であり、現在の2要素認証の技術を進化させた認証です。

U2Fとは「Universal Second Factor」の略であり、現在の2要素認証の技術を進化させた認証のことです。2要素目のキーとして用いているデバイスから公開鍵と秘密鍵のペアとそれらを関連付けるKeyHandleを生成し、その公開鍵とKeyHandleを事前にブラウザ経由で認証サービスに送信し、登録する方式をとっています。 認証の際には、認証サービスがKeyHandleをブラウザ経由でU2F端末に送信し、U2F端末はそのKeyHandleに関連付けられた秘密鍵シグネチャを作成し、それを認証サービスに送信します。認証サービスは事前に登録された公開鍵を利用してそのシグネチャの正当性を確認します。認証サービスから送信されるKeyHandleに関連する秘密キーを見つけられない場合は、U2F端末が反応しない仕組みで、今までのセキュア性に加えさらに中間者攻撃にも強いとされています。

※引用元
FIDO U2F対応CloudGate UNOで「Strong Authentication」というセキュアな世界の実現を目指します。 | 株式会社インターナショナルシステムリサーチ
http://www.isr.co.jp/news/2015416

私自身、最初は「とりあえず複雑な認証なんだろう。」「解説ですら難しい。」という印象でした。
U2Fは、以前、所持情報についてご紹介したICカードなどに用いられてる公開鍵暗号方式に基づいて策定されたそうなので、先に公開鍵暗号方式について調べてみるとわかりやすいかもしれません。
U2Fに対応したセキュリティーキーのモノ自体も安いですし、前回のGoogleアカウント認証でご紹介したように、登録作業もすごく簡単なのでユーザー側の負担は最小限に抑えられていると思います。

UAF(ユーエーエフ)とは

「UAF」とは、Universal Authentication Framework の略であり、FIDO対応のデバイスを用いてパスワードを使わずに行う認証のことです。
これは、デバイスに自分を認証させる情報を登録し、そのデバイスをオンラインサーバで登録するという仕組みです。
この仕組みの最大のポイントは認証を個人の認証とデバイスの認証に分解したということです。
基本的にパスワードを使わないという時点で、知識情報以外の要素で認証するはずで、

  • デバイスと自分を認証させる・・・生体情報認証
  • デバイスとオンラインサーバ・・・所持情報認証

のような認証になるのではないでしょうか。
以前、生体認証についてご紹介しましたが、個人の生体情報が流出してしまうと、その認証での安全性の回復は極めて困難になりますが、このUAFでは、インターネットを経由するのはデバイス情報のみになる為、そのデバイスを紛失する以外に個人の生体情報が流出する可能性は無くなります。
FIDOは、将来的に全ての認証をこのUAFでカバーしたいと考えているそうです。

まとめ

いかがでしたか。
だんだんと難しい言葉が増えてきていますが、わかりやすく説明できていますでしょうか。
次回もセキュリティの話題をご提供します。

PAGE TOP