パスワードレスを実現するFIDO/WebAuthのさらなる普及へ、新提案を公開。デバイス間でのクレデンシャル同期、Bluetooth経由でのローミング認証器など

一般にWebサービスなどへのログインには、ユーザー名とパスワードの組み合わせが使われます。しかしこのパスワードの情報などが漏洩することで、企業や個人に大きな損失を与える事故が繰り返されてきました。

そこで、ユーザー名とパスワードの組み合わせの代わりにスマートフォンなどのデバイス内に保存したクレデンシャルを用いてユーザー認証を行い、パスワードの入力を不要にする技術が登場しています。

業界標準となっているのが、FIDOアライアンスによる「FIDO2」と、それをW3CのWeb標準として策定した「Web Authentication」（WebAuthn）です（以下、FIDO/WebAuthn）。

ユーザーはスマートフォンなどのデバイスに対して顔認証や指紋認証、PINなどの入力による本人確認を行うことでデバイス内に保存したクレデンシャルを有効にし、サーバに対する認証はクレデンシャルを用いた公開鍵暗号方式を用いて行います。

これによりパスワードの入力や保存は不要となり、また通信経路上に流れる情報やサーバ側で保存される情報はクレデンシャルに対応した公開鍵だけとなるため、それらが流出しても大きな問題となりません。より安全なインターネットの実現につながるわけです。

参考記事：パスワードに依存しない認証「WebAuthn」をChrome/Firefox/Edgeが実装開始、W3Cが標準化。Webはパスワードに依存しないより安全で便利なものへ

まだ不便さが残るFIDO/WebAuthnの課題とは

このFIDO/WebAuthnの技術は、すでにYahoo! JAPANなど主要なWebサイトなどが数年前から採用を始めていますが、本格的な普及には至っていません。

その理由はいくつか考えられますが、現時点でFIDO/WebAuthnの不便な点の1つとして、複数のデバイスでの利用が考慮されていない点が挙げられます。

例えば、複数のデバイスを利用する場合には、デバイスごとにログインしてクレデンシャルの登録をしなくてはいけませんし、デバイスを紛失したあとで新しいデバイスを入手した場合、これまで使っていたクレデンシャルをリカバリする方法も用意されていませんでした。

こうした不便さを解消することでFIDO/WebAuthnをさらに普及させるべく、FIDOアライアンスとW3CのWebAuthnワークグループが、WebAuthnの「Level 3」と呼ぶ追加仕様を提案する文書を公開しました。

マルチデバイス対応のFIDOクレデンシャルを導入することで、ユーザーが利用するすべてのデバイスでFIDO/WebAuthnを利用しやすくすることが目的です。

新たにマルチデバイスFIDOクレデンシャルの導入を提案

追加仕様は2つあります。1つ目はローミング認証器の機能をデバイスに持たせること。

1）ユーザーの携帯電話（FIDO認証器となる）と、ユーザーが認証を行おうとしているデバイスとの間で通信するためのプロトコルを定義し、携帯電話をローミング認証器として使用できるようにすること。

例えば、普段使っているiPhoneではFIDO/WebAuthnでいつもログインしているので、iPhoneにはクレデンシャルが入っているけれど、ときどき使うiPadにはクレデンシャルが入っていないので、ログイン名とパスワードを入力してログインしている、という場合を考えます。

この追加仕様ではiPadとiPhoneがBluetoothで通信を行い、iPadでのログイン処理をiPhoneをFIDO認証器として用いる、つまりiPhone側のクレデンシャルによってiPadでログイン名とパスワードを入力することなくログインする、ということを可能にします。

Bluetoothのような近接通信を用いることで、利用者がFIDO認証器を所持していることを保証するわけです。

2つ目はクレデンシャルをデバイス間で同期可能にすることです。

2）FIDO認証資格情報をユーザーのすべてのデバイスで広く利用できるようにし、デバイスの紛失に耐えられるようにし、異なるデバイス間でも同期できるようにすること。

これはiOSデバイス間での同期やAndroidデバイス間の同期など、まずはプラットフォームベンダが安全な同期機能を提供することを想定しているようです。

これが実現することで、デバイスを紛失して新しいデバイスに乗り換える場合、あるいは古いデバイスを処分して新しいデバイスに乗り換える場合にも、スムーズにデバイスの乗り換えが可能になります。

また、iOSとAndroidなど異なるプラットフォームのデバイスが混在するマルチデバイス環境でも、1）の追加仕様によって異なるプラットフォーム間でのローミングができるため、これを利用した認証後のデバイスに対するクレデンシャルの登録が行えれば、プラットフォーム間の乗り換えも比較的スムーズにできることが想定されます。

この追加仕様を発表したFIDOアライアンスは「マルチデバイスFIDOクレデンシャルの導入により、今日、パスワードに完全に依存している多くのユースケースや、攻撃が増加しているSMS OTPなどの従前から存在しているMFA（二段階認証など）において、フィッシング耐性のあるFIDO認証をより広い規模で展開する重要なステップになると考えています。」とコメントしています。

この追加仕様についての詳しい解説は、3月22日付けで公開された文書「How FIDO Addresses a Full Range of Use Cases」（PDF）で読むことができます。現在は英語ですが、日本語訳の公開も予定されているとのこと。また今月にはウェビナーも開催予定とのことです。

AppleやGoogleの対応に期待

Googleは2019年の時点でAndroid 7以降のFIDO/WebAuthnの対応を済ませており、Appleも2020年にFIDOアライアンスへの加盟を発表しています。そのため両社ともに、今回の追加仕様への対応もいずれ行うと見られます。

• Apple、パスワードを不要にするFIDO Allianceへの加盟が明らかに
• パスワードを不要にするFIDO2プロトコルに、Android 7以降の全デバイスが適合。FIDOアライアンスが「AndroidがFIDO2認定取得」と発表

いまだにWebサービスなどへのログインはログイン名とパスワードの入力が主流です。特に個人利用においてはまだFIDO/WebAuthnの普及はほとんど進んでいないと言っていいでしょう。

今回の追加仕様が、できるだけ早く安全なインターネットの実現につながることを期待したいところです。