FIDO2とは、標準化団体「FIDO Alliance」によって制定された最新の認証規格だ。広く知られている認証技術のパスワードよりもさらに強固なセキュリティを築くことができるため、高度化するフィッシング詐欺などに対抗する手段として注目を集めている。FIDO Allianceは現在、FIDO2を含む3種類の規格を認証しており、それぞれの特徴は以下のとおりだ。

FIDO UAFおよびFIDO U2F

FIDO UAFは、指紋や声紋といった生体情報を使用して本人と認証する規格を指す。生体情報は偽装が困難なため、悪意のある第三者によるなりすましを防止してくれる点がメリットだ。その半面、FIDO UAFの規格を満たす生体認証を実行できる専用端末が必要なため、導入に一定のコストがかかる点がデメリットとなる。

対して、FIDO U2Fは、従来どおりパスワードでログインした後、USBやNFCを介してセキュリティキーを入力できる専用端末を使用して二段階認証を行う規格を指す。この規格ではセキュリティ性を担保できるものの、万一、専用端末を紛失した場合に復旧が困難である点など、利便性の低さがデメリットとなる。

FIDO2

そして、上記二つの規格を統合し、高レベルのセキュリティと利便性を両立した規格がFIDO2である。あらかじめFIDO2対応端末上で保存される秘密鍵と、ログインの際に使用するページの公開鍵のペアを生成し、ユーザーがログインする際にはこの秘密鍵と公開鍵の情報が一致している場合のみ認証がされる仕組みだ。

端末の認証に用いられるWeb Authenticationと呼ばれる技術は、一般的なパソコンやスマートフォンを使用した生体認証に対応しており、FIDO UAFやFIDO U2Fのように専用端末を導入するコストがかからない。また紛失などのトラブルも起こらないため、取り回しの点でもメリットが大きいことが特長だ。

FIDO2を導入するメリットは認証が必要な人数が多いほど、より大きな効果を発揮するだろう。特に、組織内で多様な種類の端末を利用している場合や、利用者のITに関する知識や経験が少ない場合ほど、管理者の負担を減らす意味で大きな効果を発揮することだろう。実際にFIDO2を導入した組織からは、そのような効果の報告が上がっている。

教育機関での導入事例

例えば関西のとある大学では、学生・教職員を含む約8万ユーザーが認証を必要とする学内ソリューションを利用している。同校は、私用端末の持ち込み利用を制限していないため、幅広い端末でシンプルかつ迅速に認証を行えるシステムの導入が求められていた。

そこで、同校では2023年より認証システムにFIDO2を追加し、端末の種類を問わずスムーズな認証を行える環境を構築。これにより、強固なセキュリティを実現しただけでなく、ITの専門知識のない学生でもパスワードレスで操作を完了でき、時間や場所を問わず学習や業務を進められる環境を整えている。

EC企業での導入事例

FIDO2によってセキュリティとユーザー体験の両方を向上させた事例も存在する。toC向けサービスを手掛けるとあるEC企業では、顧客のアカウントへの不正アクセスを防止することなどを目的にFIDO2の導入を決めた。同社では専用のICカードを配布したFIDO U2Fによる認証の導入も検討していたが、ICカードの配布方法や紛失時の対応に現実性がないことから、物理的な端末の制約がないFIDO2を導入し、認証システムの刷新に成功した。

なお、同社では以前から、SMSによるワンタイムパスワードを使用した認証システムを活用していたが、サインイン成功率は約68%と低調であった。一方、FIDO2によるサインイン成功率は約83%と大きく向上している。同様にユーザーがログインに費やす平均時間も約17秒から約4秒と大幅に短縮することができた。迅速なアクセスも実現することで、ユーザーエクスペリエンスの向上にもつながっている。

認証作業は企業や利用者の個人情報を守るためには不可欠ではある。しかし毎回の認証作業は、一度の負担は小さくても、積み重なれば大きな負担となり得る。だからこそ、この技術をいち早く顧客へ提案することは、ビジネスの加速に大きく貢献するはずだ。