ログイン認証連携やパーソナルデータ連携といった「ID(アイデンティティ)連携」において、本人認証のセキュリティは、連携エコシステムの信頼を支える根幹ともいえるものだ。
だが、IDとパスワードによる認証は「複数のパスワードを覚え、使い分けるのは困難」「キーロガーなどで容易に漏洩してしまう」といった難点があり、実際にパスワードの漏洩によるID窃盗となりすましの被害が後を絶たない。
この「パスワード地獄」から脱却するいくつかの試みが、ここに来て立て続けに実施されている(表)。
なかでも、パスワードレスの実現へ期待を集めているのが、生体認証などパスワード以外の要素によるオンライン認証の標準仕様「FIDO(Fast IDentity Online、ファイド)」だ。仕様策定団体であるFIDO Allianceのボードメンバーには、米マイクロソフト、米グーグルといったIT企業のほか、銀行、クレジットカード会社、認証機器メーカーなどが名を連ねる。
既に最初の仕様である「FIDO 1.0」は2014年12月に公開済み。日本では、NTTドコモがFIDO Allianceにボードメンバーとして加入したほか、指紋認証機器開発のディー・ディー・エスが2015年10月、Bluetoothでスマートフォンなどに接続できる指紋認証端末「magatama」を公開した(写真1)。FIDO 1.0準拠のスマートフォン用認証アプリと組み合わせて利用する。
さらにマイクロソフトは、Windows 10に実装したユーザー認証基盤「Microsoft Passport」と生体認証機能「Windows Hello」の枠組みを、「FIDO 2.0」としてFIDO Allianceに提案している。Windowsを皮切りにOSへの標準搭載が進めば、FIDOの適用範囲は一気に広がる可能性がある。
IoT時代の認証技術とは?
OpenSummit Tokyo 2015では、UI(ユーザーインタフェース)研究者で慶応義塾大学 環境情報学部 教授の増井俊之氏が、「IoT時代の認証技術」というテーマでパスワードに代わる認証手段について講演した(写真2)。
増井氏は、あらゆるモノがインターネットにつながるIoT(Internet of Things)の世界では、認証の重要性はますます高まると主張する。「IoT時代には計算機資源の共有が進み、誰でも、いつでも、どこでも計算機資源を使えるようになる。このため、あらゆる機器、あらゆる場面で本人を認証できる『どこでも認証』が必要になる」(増井氏)。
では、『どこでも認証』にふさわしい認証手段とは何か。
