ウェブサービスの基幹を支える、IDとパスワードによる個人認証。しかし、いまのセキュリティには限界があり、大規模な個人情報の流出がたびたびニュースになっています。
もちろん、対策方法はいくつかあります。サービスごとに異なるパスワードを用意する/ワンタイムパスワード/パスワード管理アプリを利用...などなど。しかし、いずれもユーザーに余分な手間を強いている点において、優れた方法であるとは決して言えないでしょう。セキュリティが破られるよりマシ、ということでしかありません。
でも、その手間もそろそろ解消しそうです。パスワードに頼らない個人認証技術の標準化を進めるFIDO Allianceの規格に沿った製品をNok Nok Labsが開発、日本のパートナーに向けて提供していきます。
現在、ほとんどのウェブサービスにおいて、個人認証のための情報(ID/パスワード/メールアドレスなど)は、サービス提供側が持っています。この場合、サービスがハッキングされれば、認証情報はまとめて攻撃者の手に渡ります。
一方、FIDOのプロトコルでは、認証は暗号化された鍵でのみやりとりされます。たとえサービス側や通信経路がアタックされても暗号鍵しか見られず、個人の認証情報が流出することはないわけです。ユーザーが持つ暗号鍵は各自のスマートフォンで個別に生成され、認証には指紋や虹彩といった生体情報などが用いられます。
FIDOに加盟・協力している企業リスト。IntelやQualcommなどのチップメーカーをはじめ、デバイス~サービスまでひと通りの企業が並ぶ。
現在、FIDOにはドコモやMicrosoft、VISAやPayPal、Netflixなどが加盟しており、ドコモはすでに発売済みの端末を対応させています(対応するウェブサービスはこれからですが)。AppleはまだFIDOに加盟していないようですが、Nok Nok LabsはデバイスとしてiPhoneもサポート可能としています。
オンライン認証の手間やリスクが減れば、いままでウェブに面倒さや不安を感じていたユーザーにもサービスを浸透するかもしれません。ビジネスの場として、ウェブがより魅力的になるのは間違いないでしょう。
(金本太郎)
