ゼロから始める多要素認証(1) 現在、認証基盤に何が求められているのか？ YubiKeyが切り拓く近未来の認証環境

クラウド時代が加速していくにつれ、あらゆるサービスがWeb化している現在。その利便性の向上とは裏腹に、セキュアな環境を保つための技術はどちらかというと後追いになっているのが現実だ。こうした状況の中、本稿ではさまざまなセキュリティ対策の中から、「認証基盤」、特に多要素認証における「2要素認証」をテーマに3回に分けて紹介していく。では、今後の認証基盤には何が求められているのか、昨今の状況を踏まえながら考えていこう。

ユーザーへの負担増が激しい認証基盤

あらゆるサービスがクラウド経由で受けられるようになり、ユーザーもPCだけでなく、スマートフォン、タブレットなど、あらゆるデバイスでサービスを使いこなせる時代が来ている。しかし、便利になった反面、難しくなっているのが個人を識別するための「認証」だ。従来のID・パスワードによる認証環境では、サービス増加と共にその数が増え続け、今や複数の数値やアルファベットの羅列を使い分けなくてはならないのが現実なのだ。

ソフト技研代表取締役藤田法夫氏

「それに加えて、従来のID・パスワードの認証方式では決してセキュアな環境とはいえません。ニュースを見れば、なりすましや不正アクセスの被害が簡単に見つけられるように、ID・パスワードだけでは、リスクが高いのは周知の事実といえるでしょう」と警鐘をならすのは、ソフト技研で代表取締役を務める藤田法夫氏だ。

ソフト技研は1983年に設立し、企業のソフトウェア開発をコンサルから構築、運用までトータルで提供する。さらに、ID・パスワードによる認証を簡単かつセキュアに行う認証サービス「YubiOn」を提供するなど、社会の認証基盤を支えている歴史ある企業だ。

藤田氏が話すように、こうした現状を打破するために新しい認証基盤の完成が急がれているのだ。

新しい認証基盤の例として、ワンタイムパスワード（OTP）や生体認証がある。ID・パスワードに加え複数の認証を重ねてよりセキュアな認証基盤にすることを「多要素認証」という。すでに金融系のサービス、たとえば銀行のオンラインサービスなどでは、従来のID・パスワード認証に加えてOTPが取り入れられているので、ユーザーとしてこれを利用している人も多いだろう。

しかし、こうした認証方式はセキュリティ面で一定の効果はあげているものの、ユーザービリティは損なわれている。この原因として、ユーザーと企業の思惑がかい離していることがあげられるのではないだろうか。

「多要素認証は新しい認証基盤として注目を集めている技術ですが、企業のセキュアさは向上する反面、ユーザーへの負担が大きくなっているのが現状です。特に日本では、セキュリティは大手企業が主導するものという認識が強く、中小企業は静観している状況だと思います。よりユーザーに優しい認証を求めるなら、ユーザーとの距離が近い中小企業も一緒に考えていくべきではないでしょうか」（藤田氏）

では、現時点でセキュアかつユーザーにも優しい認証基盤となりうる考え方にはどのようなものがあるのか。

ユーザー視点に立った認証基盤

「新しい多要素認証を推進する機関として『FIDO』があります。2014年末にID・パスワードに代わる認証基盤の指標として『FIDO 1.0』が公開されましたが、日本のほとんどの企業はまだこれに対応できていません」（藤田氏）

FIDO 1.0では生体認証を使った「UAF」と、パスワード認証に加えてもうひとつの認証キーを使う、いわゆる2要素認証の「U2F」の考え方がある。2要素認証にはOTPのほか、Facebookなどが採用している電話番号を認証キーとして使う方法もあるので、世界的に見てもFIDO1.0はようやく注目され、一部の企業で採用され始めた状態だといえる。

「当社ではFIDO発足当初からアライアンスとして登録していましたが、その当時は50社程度でした。しかし、2015年末の時点で250社以上が登録し、現在も増加を続けている状態です」（藤田氏）

そこにはマイクロソフトをはじめ日本の大手ベンダーも加わっている。この状況を見ても時代の流れがようやく、多要素認証へと確実に動きだしていることが分かる。

「さらに、『FIDO 2.0』では、顔、指紋、虹彩認証といった認証方式を、より幅広いサービスで採用できるよう働きかけています。Windows 10から採用されている『Windows Hello』などは、すでにFIDO対応を表明しており、この動きを後押ししていくはずです」と藤田氏は分析する。

Windows Helloでは、指紋認証デバイスが登録されているノートPCなどでは“指紋”を、PCにカメラが搭載されているものに関しては“顔認証”をサポートするなど、積極的に生体認証を取り入れられるようになっている。さらに、以前から始まっているマイクロソフトが提供するサービスを一元的にログオンしやすくする、「Microsoft Passport」を運用してきた経緯があるので、これらのサービスに対しても同じ生体認証でログインできることにもなる。これはFIDO 2.0とシングルサインオンを同時に進めることに貢献しているといえる。

「ですが、これにはWindows Hello に対応したWebカメラや指紋認証センサーなどが必要となります。本当の意味でFIDO 2.0を実現していくには、高価な認証センサーの代わりになる低コストかつ幅広い認証方式に対応したデバイスの普及も必要でしょう」（藤田氏）

たとえば、ソフト技研が取り扱っている「YubiKey」などは固定パスワード、OTPのほか、FIDOにも対応する認証デバイスとして低価格で入手しやすく、かつスマートに扱えるデバイスの代表ともいえる。YubiKeyは、アメリカやスウェーデンを拠点とするYubico社が開発したUSB型の認証デバイスで、日本ではソフト技研が販売を行っている。


YubiKeyラインナップ。左から「YubiKey 4」「YubiKey 4 NANO」「YubiKey NEO」「FIDO U2F Security Key」

「もちろん、YubiKeyもそうですが、自分を個別に識別できるデバイスであれば他にも取り入れることができるはずです。たとえば、スマートフォンでも地図ソフトと関連付けることで、自分だけの立ち振る舞いを記録できます。地図ソフトに自分の移動経路を追わせて記録するだけの情報でも、第三者がこれをまったく同じように真似することが不可能だからです」と藤田氏は語る。

同じ考え方としては、自分の立ち振る舞いを記録させられるデバイスとしてリストバンドなどのウェアラブル端末も、認証基盤としてなりうる可能性を秘めている。これらのデバイスを認証基盤として利用していくということは、すなわちパスワードが不要になるということだけでなく、認証と意識することさえ必要のないところにきているのではないだろうか。

「将来的にはそうなっていくはずです。しかし、現状では簡単にはいきませんから、Windows Helloを例にしたように、新たな認証デバイスを用いた認証基盤に頼らざるを得ません。ただし、ユーザーが負担を感じさせないようなスマートさが求められるといえるでしょう」と藤田氏は分析する。

マイクロソフトがすでに取り組んでいるように、FIDO 2.0が目指すパスワードのいらない、従来よりもセキュアな認証基盤の構築は進んでいる。先に述べたように、FIDOアライアンスに参加する企業も増加している現在、こうした動きは確実に加速していくだろう。

「より簡単でスマートに。人にやさしい認証基盤であれば、すべての人に理解してもらえるはずです。それには企業主導による一方的な押し付けが見え隠れするやり方よりも、ユーザー目線に立った分かりやすいやり方が必要です。そのポイントとなるのが認証デバイスで、適切なものを選ぶ必要があると思います。『これなら今まで以上に簡単』といえるソリューションが出てくれば、新しい時代のセキュリティとして受け入れてもらえるはずです」と藤田氏は最後に語ってくれた。

新しい認証基盤がどのように結実していくかはいまだ未知数だが、その取り組みは始まっていることは確かだ。ユーザーとしてはもちろん、サービスを提供するすべての企業は、今一度ユーザー側に立った取り組みについて考えてみるべき時期に入っているといえる。次回は、そんな現状に見合った最適な認証デバイス「YubiKey」を例に、新しい認証方式についてより具体的に考えてみたいと思う。