スマートフォンの普及は、これまでのユーザー認証を一変させる可能性を秘めている。多種多様なセンサーを備え、しかも個人にひも付いているので、ユーザー個々を識別するためのデバイスとして利用できるのだ。米Nok Nok Labs(NNL)は、こうした“パスワード以外の要素による認証”の仕組みの標準化を進めるFIDO(Fast IDentity Online)Allianceの主要メンバーとして、その規格に準拠した製品を提供している。日本市場本格参入に当たり来日した、同社社長兼CEO(最高経営責任者)のフィリップ・ダンケルバーガー氏(写真)にインタビューする機会を得た。
御社の説明を聞くと、基本的に生体認証を使うことでパスワードを不要にしようという考えのようだ。しかし、生体認証は現時点ではあくまで付加的なものであり、IDとパスワードによる認証がベースに核として存在する。本当にパスワードを「不要」にできるのか。
パスワードは50年前に発明されたアイデアだ。現時点でパスワードは明示的な認証以外にも使われている。トランザクションの処理の間に、パスワードに基づいた認証結果がやり取りされる。暗示的な認証と言える。これがとても不安定な形で実現されている。FIDO Allianceでは、より強固でコストのかからない解決策を提案している。こうしたあたりから浸透していけば、ゆくゆくはパスワードの仕組みを無くすこともできるだろう。
パスワードはもうみんな使いたくない状況だ。2007年に米マイクロソフトが調査した結果によると、大体ユーザーは1日に25のオンラインサービスを利用し、8~12個のパスワードを入力している。もはや覚え切れるものではない。それに、認証の核となる重要な情報がサーバー側に集中することも、攻撃対象となる危険性を高めている。その点でFIDO Allianceの方法であれば、デバイスに格納した秘密鍵を使って認証するので、そうした心配もなくなる。
しかし、逆にデバイスを変更する場合、例えばスマートフォンを乗り換えるときに問題にならないのか。
その場合は現在のところ、新しい鍵を生成することになる。ただFIDO Allianceでは、生成した秘密鍵を別のデバイスに移行させるためのAPIなども策定している段階だ。
それは2.0版になるのか。
恐らく1.1版になる。1.0/1.1版では基本的にデバイス向けの仕様を策定してきた。2.0版はOSにも対応し、より広い環境で利用できるようにする。例えばIoT(Internet of Things)で使われる新しいOSでも利用できるようにする。
米マイクロソフトはWindows 10に搭載した「Microsoft Passport」の仕組みが、FIDO Allianceの2.0版に採用されると言っている。これはNNLのビジネスと競合しないのか。
2.0版は現在策定中であり、それがどうなるかはまだ決まっていない。ある一定のベンダーに偏った仕様になるとは考えにくい。策定にも時間がかかるだろう。1.0版も私が完成するだろうと予想してから、10カ月以上遅れてようやく発行できたような状況だ。
我々はMicrosoft Passportを歓迎している。NNLにとっては認証の仕組みの1つだと考えられるからだ。さらにそれが、FIDO Allianceのプロトコルに対応しているのであれば、NNLの製品と統合しやすくなる。
