2019年9月4日水曜日

【CEOの視点】パスワードがなくなる未来

クラウドサービスが便利なのはいつでも、どこからでも自身の管理するデータにアクセスできることにあります。
ユーザーはアクセスのためにIDとパスワードを入力し、クラウドサービスにログインします。
逆に言えば、IDとパスワードが知られてしまえば乗っ取りも簡単に行えるリスクもあります。
昨今ではGmailやTwitter、LINE等のアカウント乗っ取り被害が増えており、IDとパスワードによる運用のリスクは日に日に増しているように感じます。

新たな認証方法FIDO/FIDO2

こうしたリスクに対して、パスワードに代わる新たな認証方法としてFIDO/FIDO2が標準化されており、いろいろなサービスで対応されていますが、実態として普及しているとは言い難い状況です。
FIDOには、デバイスのみで生体認証等で認証を行うUAFと、いわゆるドングルを挿して認証を行うU2Fという規格がありますが、生体認証と相性が良いUAFはスマホでの対応がメインで、PCに関してはなぜかU2Fに各社の思惑が集中しているように感じます。
Google社がTitanセキュリティーキーというドングルを日本でも販売というニュースもありましたが、基本的にドングルでのU2Fを前提とした場合、購入コスト、管理コストがかかり、運用が面倒になりがちです。
FIDOの普及という意味では、Appleというデバイスの巨人がFIDOアライアンスに参加していないというのも業界の足並みの悪さを感じます。
Windowsでは、生体認証でログインをするWindows Hello がFIDO2認定されたことでブラウザベースでの普及の可能性はありますが、やはりドングルベースのU2Fの課題がFIDO普及の壁になるのではないかと思っています。

スマホアプリでのパスワードレス認証

一方で、FIDOとは異なるサービス側の取り組みとしてはワンタイムパスワードの仕組みを進化させたパスワードレスログインの手法も出てきています。
こちらの方法は簡単に言えば、「スマホが利用できる人は本人である」という考え方で、サービスにログインしようと試みた時に、スマホアプリに通知がくるのでそれを承諾すればパスワード入力せずにログインできるというものです。
FIDO U2Fにおけるドングルの課題をスマホアプリとして解決したと言うと言い過ぎでしょうか。
指紋認証やFace IDが存在するスマホでは生体認証がされますので、パスワードレスでの運用も心配ありません。
弱点はスマホアプリをインストールしなくてはならないことでしょうか。
こちらに関してはサービス側独自での対応となっており、標準化されていないというのが普及のネックになりそうです。

パスワードの今後

いずれにしても数々のインターネットサービスが次々に生まれている現在では、パスワードでの運用は限界に到達しつつあります。
最終的には生体認証をベースにしたものになるとは思いますが、それがFIDO/FIDO2で決着するのか、はたまた別の規格が生まれてくるのか、今後も注目していきたいところです。

   Gluegent Gate