大量のパスワードを覚えるのはもう限界。パスワードのない、安全かつ便利な社会を作ろう――。指紋認証などを利用した業界共通の本人確認方式普及を目指す標準化団体「FIDO Alliance(ファイドアライアンス)」が2月16日、「FIDO Alliance 日本上陸記者発表会」を開催した。
ゲストで登場した水道橋博士さん、吉木りささん。二人とも、ショッピングサイトやSNSなどで使う多数のパスワードが「覚えきれない」「忘れてしまう」と語り、「bye byeパスワード宣言書」に力強くサインした
FIDOは「パスワードからの解放」を目指す標準化団体
同発表会は、FIDO Allianceの日本担当マーケティングチームを務めるディー・ディー・エス(DDS)が主催したもの。DDSは、指紋認証や生体認証のプラットフォームソフトウェアなどを販売するベンチャー企業だ。発表会ではまず、DDS代表取締役社長の三吉野健滋氏が、FIDO Allianceについての説明を行った。
最近では“パスワード疲れ”という言葉もよく聞かれる。ECサイトやSNSなど、個人がオンラインサービスで利用するID/パスワードは増え続けており、パスワードを正しく管理するのは「ほぼ限界に来ている」(三吉野氏)。その結果、パスワードの使い回しが横行しており、サービス事業者側のセキュリティリスクも高まっている。
そこで、ID/パスワードに代わる、新たな業界標準のオンライン本人認証仕様として誕生したのが「FIDO(Fast IDentity Online)」である。
2012年7月に米国で設立されたFIDO Allianceは、このFIDO仕様の策定、業界内のアライアンス、対応製品/サービスの認証を行う、非営利の業界団体だ。ペイパル(PayPal)など6社でスタートしたFIDO Allianceは、現在、金融機関やECサイト/サービスプロバイダー、スマートフォンやPCのメーカー、認証技術関連の企業など、160社以上が加盟する規模となっている。先週には、FIDOのボードメンバーであるマイクロソフトが、次期OSのWindows 10においてFIDO認証をサポートする計画を発表している。
FIDO Allianceにはデバイスメーカー、認証技術関連メーカー、金融機関、各種オンラインサービス事業者が加盟し、共通認証方式の普及を推進している
FIDOでは、デバイス、サービス(サーバー)、そしてデバイス-サーバー間の通信という3つの部分で標準化を図っている。デバイス上の指紋センサーなどで本人確認を行い、本人であればサービスとの間で公開鍵認証を実行する(生体データは端末内のセキュアチップに安全に保存され、送信されない)。つまり、FIDO準拠の“FIDO Ready”なデバイス/サーバー間であれば、お互いに相手先を選ぶことなく安全な本人認証が行える仕組みだ。
特定のデバイス/サービス間ではなく、FIDO準拠のデバイス/サービスであればどれでも本人認証ができる仕組み。デバイスでの本人認証手段も、指紋認証だけでなく顔認証、音声認証、セキュリティチップ認証など特に制限がない
昨年発売のサムスン「Galaxy S5」では、内蔵する指紋センサーを使ってPayPalのオンライン決済ができるようになっていたが(関連記事)、これはFIDO仕様に基づくサービスだという。同様に、中国アリババのオンライン決済でもFIDOベースのサービスが始まっており、前述のWindows 10サポートなどもあり、これからさらに普及が見込まれる。
「FIDOでは今、大きな流れが世界中で始まろうとしている。日本でも、ようやく今日、統合の始まりが起ころうとしている。ビジネスというよりも、万人にとってプラスになる社会的な活動になると期待している。われわれもFIDOの一員として、パスワードのない社会、安全かつ便利な社会を作っていきたい」(三吉野氏)
共通の仕組みでデバイス/サービスのエコシステムを拡大へ
続くトークセッションでは、日本スマートフォンセキュリティ協会 会長を務める安田浩氏(東京電機大学未来科学部 教授)がモデレーターとなり、元米国大統領サイバーセキュリティ特別補佐官のハワード・A.シュミット氏、FIDO創設メンバーの1人である米Nok Nok Labs 社長兼CEOのフィリップ・M.ダンケルバーガー氏、スマートフォン向けのFIDO対応チップを開発する台湾GoTrust Technology CEOのダレン・リー氏が登壇した。
(左から)GoTrustのリー氏、Nok Nok Labsのダンケルバーガー氏、日本スマートフォンセキュリティ協会の安田氏、シュミット氏、DDSの三吉野氏
シュミット氏は、米国政府では1990年代後半から民間企業に「ID/パスワードの利用について見直しが必要」と提言しており、また2011年以降は認証デバイスの標準化についても取り組みを進めてきたが、現実にはこれまであまり発展がなかったと説明。「FIDOにより、発展のチャンスが到来している」と語った。
またダンケルバーガー氏は、FIDOの仕様設計では「簡単に使えること」「セキュリティをより高めること」「認証コストを削減すること」「プライバシー(生体データ)を保護すること」の4つがポイントになったと述べた。認証コストの削減については、サービス事業者が専用の認証デバイスを配布するのではなく、どんなデバイスでも共通の認証ができるエコシステムを形成することでそれが実現しているという。
まとめとして安田氏は、「FIDOのような簡単な仕組みが生まれ、世界はすでにこの方向に進んでいる。日本(のデバイスやサービス)がこれに乗り遅れたら、世界(の市場)に行けなくなる」と語った。
GoTrustのFIDO microSDカード。セキュリティチップや指紋センサーを搭載していないAndroidデバイスにこれを挿入することで、FIDO認証に対応できる
Nok Nok Labsが提供するFIDO対応クライアント/サーバーの開発スイート。なお、DDSの指紋認証や生体認証の製品群も今後、FIDO準拠を進めていくという
また、ゲストタレントとして登場した水道橋博士さん、吉木りささんは、それぞれブログやSNS、ECサイトなどを活用する一般ネットユーザーとしての立場から、パスワード管理にまつわる苦労話を語った。
「パスワードが覚えきれないので、メモしてPCに貼っていたら、そのメモが行方不明になってしまって」(水道橋博士さん)
「久しぶりに開くサイトだと『パスワードなんだっけ?』と。再発行してもらうために電話したり、メールしたりで大変」(吉木りささん)
