生体認証などオンライン認証の標準化団体FIDO Allianceは2015年11月19日、WWW技術の標準化団体であるW3Cに、「FIDO(ファイド) 2.0」のWeb API仕様を提案したと発表した。
FIDO 2.0のWeb API仕様に対応したWebブラウザーは、指紋認証USBデバイス、虹彩認証対応スマートフォンといったFIDO準拠のデバイスやソフトウエアによるユーザー認証の結果を、標準化されたAPIで受け取ってWebサービスに通知できる。仕様をW3Cに提案することで、主要WebブラウザーにWeb API仕様の採用を促す考えだ。
FIDO Alliance Executive Directorのブレット・マクドウェル氏は「FIDO 2.0は、FIDO 1.0に新たな機能を加えたというより、FIDO認証をOSやWebブラウザーといったプラットフォームのサポートに最適化したもの」と語る(写真)。
FIDOの基本思想は、生体情報などの認証情報をサーバーに保存したり送信したりせず、ユーザーのデバイスに保存することで、秘密情報の漏洩を防ぐというもの。デバイス側で認証を完了させ、その認証結果を公開鍵暗号方式でサーバーに伝達し、ログインする。
2014年12月に仕様が公開されたFIDO 1.0は、米グーグル、米ペイパル、NTTドコモ、米バンク・オブ・アメリカ、米ドロップボックス、米ギットハブなどが採用している。
FIDO 1.0ではパスワードレス認証の仕様「UAF」と、パスワードに加えた2要素認証向けの仕様「U2F」の二つに分かれていたが、FIDO 2.0ではこれが統合される。
加えて、あるサービスに登録済みの認証デバイスによるFIDO認証を通じて、未登録の新たな端末からサービスにログインできる機能が使えるようになる。例えば指紋認証付きスマートフォンを認証用デバイスとしてサービスに登録し、スマホによる指紋認証を行うことで、未登録のPCやタブレットなどからサービスにログインできる。従来は、新たなデバイスからサービスにログインする場合、そのデバイスをサービスに登録し直す作業が必要だった。
既に米マイクロソフトは、Windows 10をFIDO 2.0に準拠させることを表明している。「FIDO 2.0は、Windows、Androidから米アップルのOSまで、すべてのプラットフォームへの採用を目指す。今度出荷される製品をすべてFIDO 2.0対応にすることで、ユーザーはパスワードから離れやすくなる」(マクドウェル氏)。
デバイスによる認証結果をサービスが信用できるか
とはいえ、FIDO 2.0の本格普及に当たっては課題もある。FIDO準拠の認証を採用するサービス側が、FIDO準拠デバイスによる本人認証の結果を「信用」し、受け入れることができるか、というものだ。
