パスワードの管理、皆さんどうしていますか?
藤沼です。身の回りのありとあらゆるものがIT化されている現代は、パスワードに囲まれた時代とも言えます。プライベートで使うSNSや各種WEBサービスのパスワード、業務で使うシステムのパスワード、行政サービス(マイナンバー等)を利用するためのパスワード、PCやスマートフォンといったデバイス自体のパスワードなどなど…。「安全性」のためには多少の「利便性」を犠牲にするのは仕方がないとは言え、多くの人がパスワード管理に辟易していることと思います。 今回は「安全性」と「利便性」の両立の実現を目指す、ここ数年で急速に注目を集めている認証技術「FIDO」について取り上げます。前半は不正アクセスやパスワード管理を巡る概況について書いていますので、FIDOについてのみ興味がある方は記事後半まで飛ばして頂ければと思います。
不正ログインに関するニュース・統計情報
ところでこの記事をお読みの方は、不正ログインの被害にあった、あるいはあいそうになった経験はありますか?私は被害にあったことはありませんが、知人で被害にあったことのある人が何人か居ます。では、不正ログインやアカウント情報の流出が一体どれくらい脅威となっているか見てみましょう。
情報セキュリティ10大脅威 2019
改めて言うほどのことでもありませんが、IPA(情報処理通信機構)が毎年発表している「情報セキュリティ10大脅威」では、年によって表題は変わりつつも過去からずっと「インターネットサービスへの不正ログイン」が選出され続けています。
2019年版では8位となっており、これは5位だった昨年から一見ランクが下がったようにも見えますが私はそう捉えていません。よくよく見ると、下方に注意書きがあり、昨年1位だった「インターネットバンキングやクレジットカード情報等の不正利用」が5つの項目に分割されたと書かれています。分割されたあとも10大脅威に選出されているものが複数あることから、それに追いやられる形で見た目上の順位が落ちただけであり、脅威そのものが収まった訳ではないと私は捉えています。
7億7300万件の流出情報、闇フォーラムで流通 平文パスワードも出回る
2019年1月に世界中で報道されたこのニュースは、セキュリティ業界を中心に大きな注目を浴びました。以下、ITmedia様の記事からの引用です。
さまざまなWebサイトやサービスから流出した電子メールアドレスとパスワードの組み合わせ情報が、大量にハッキングフォーラムに掲載されているのが見つかった。アカウント情報の流出を確認できる無料サービス「Have I Been Pwned(HIBP)」を運営するセキュリティ研究者のトロイ・ハント氏が1月17日に明らかにした。 HIBPは、自分のメールアドレスやパスワードが流出被害に遭っていないかどうかをユーザーが確認できるサービス。ハント氏は、今回発見された流出情報のうち、メールアドレス約7億7300万件と、パスワード約2122万件を同サービスで検索できるようにした。
2019年現在の世界人口が76億人であることを考えると、平均して10人に1人は1件のアカウント情報が流出している事になります。無論、アカウントの所有数は人によって様々ですのでかなり極端な表現ではありますが、いずれにせよ、アカウント情報の流出はもはや当たり前に起こりうると言っても過言ではない状況になりつつあります。
余談となりますが、上記の記事で書かれている「Have I Been Pwned(HIBP)」を使ってアカウント情報がHIBPに登録されているかどうか一度チェックしてみると良いでしょう。
もし "Oh no — pwned!" と表示されたら、そのアカウント情報は被害のリスクがある事になりますので、何かしらの対策を講じる(少なくとも見直す)べきです。
※当然ですがここでチェックできるのはHIBPに登録されている情報のみです。例え"no pwnage found"だとしても過信するのは間違っています。
あなたのパスワードを破るのに掛かる時間は?
もう少しだけ余談を。いま使っているパスワードがどれくらいの時間で突破される可能性があるかを測ってくれるHow Secure Is My Passwordというサイトがあります。
解析と一口に言っても色んな状況・手法がありますので表示される時間が常に正確とは言い難いですが、一つの指標としては有用だと思います。なお、本サイトはブラウザ上で評価を行い、入力した内容はサーバには送信されないとしていますが、類似するものに置き換えて評価をするのがベターでしょう。
パスワードの運用・管理に関しては他にも書くべきことが色々とありますが、この記事では割愛し、そろそろ本題に移ります。
新時代の認証技術FIDO(ファイド)
FIDO(Fast IDentity Online)アライアンスはパスワードに代わる新たなオンライン認証技術の確立と普及を目指して2012年に設立された非営利団体であり、ボードメンバーにはGoogle, Microsoft, VISA, MasterCard, American Express, Samsung, Intel, ARM, Qualcommなどが名を連ねています。ソフトウェア事業者、WEBサービス事業者、決済・金融事業者、ハードウェアメーカー、部品メーカーなど様々なステークホルダーが関わっていることからも、FIDOの重要性と影響をうかがい知ることができるでしょう。
なお、日本からはNTTドコモ、LINE、ヤフーがボードメンバーとして加入しており、その他にDNP(大日本印刷)や楽天、富士通、MUFGなどがメンバーとして参画しています。
FIDO認証は主に生体情報をベースとした認証技術であり、端末(ハードウェア)の指紋認証・顔認証・虹彩認証などと組み合わせた形で実現されます。(より詳細なシステム構成は後述。)
最も身近にFIDO認証を感じられるものとしては、Windows10で利用できるWindows Helloが挙げられるかと思います。Windows HelloではPCへのログオンの他に、Outlook, Office OneDrive, SkypeなどのOffice 365サービスへのログインが生体情報によるパスワードレスな認証が可能です。
NTTドコモにおけるFIDO認証の取り組み
また、NTTドコモのスマートフォンで利用できるdアカウントの生体認証もFIDOに準拠しており、My docomo(カスタマーコントロール)やd払い(決済サービス)などの認証時に利用することができます。
NTTドコモは2015年にFIDOアライアンスに参画した当初からボードメンバーを務めた上に、同年にFIDO準拠の生体認証を用いたdアカウント認証を提供するなど日本企業としては積極的にFIDOの普及に貢献している企業です。
NTTドコモにおけるFIDO認証の取り組みが紹介されている資料として、YouTubeとSlideShareがありましたので掲載しておきます。FIDO認証における日本の事業会社の取り組みを紹介している例はまだまだ少ないので、興味がある方はこちらをご覧いただくのが良いかと思います。
Creating a World Without Passwords - Introduction to FIDO Alliance and FIDO Authentication
上記の資料内でも説明がありますが、NTTドコモの生体情報を利用したFIDO認証の大まかな仕組みは以下の様になっています。
プロセスをステップ・バイ・ステップで書くと以下のようになります。
-
ユーザの生体情報を予め端末本体の安全な領域に格納しておく。
-
ユーザ操作をトリガにクライアントがサーバに対して認証要求を出す。
-
サーバから"チャレンジ"と呼ばれるランダムな文字列がクライアントに送られる。
-
クライアント側でユーザに対して(端末上での)生体認証を要求する。
-
生体情報の照合結果がOKだと確認が取れた場合、チャレンジを秘密鍵で署名する。
-
署名したチャレンジをサーバに対して送信する。
-
署名されたチャレンジをサーバ側で公開鍵を用いて検証する。
-
検証結果OKの場合、認証OKとみなす。
ポイントは主に「生体情報はそのものは端末にしか保存されない」「"チャレンジ"の内容は毎回異なる」の2点かと私は捉えています。こうすることで「安全性」と「利便性」の両立が実現されています。こうした背景には認証に用いる部品の小型化・精度向上であったり、チップ内の安全な領域の確保、そしてサーバ/クライアントそれぞれのアプリケーションの開発などの一連の取り組みがある訳で、ボードメンバーに様々なステークホルダーが関わっていることも納得できるでしょう。
なおAppleもTouchID, FaceIDという生体認証技術を既に世に広めていますが、独自の認証技術であり、(思想はほぼ同等であるものの)規格としてはFIDOに準拠していません。上述の動画内でも紹介されていますが、NTTドコモはTouchID上に追加のアプリケーションを載せることで、FIDOに準拠した生体認証のdアカウント認証を実現しています。
LINE、ヤフー、その他日本企業の取り組み
NTTドコモが2015年に生体認証によるオンライン認証に対応してから暫くの間は目立った動きがない印象でしたが、この1, 2年で他の日系企業も続々と取り組みを表明してきました。
2018年にはソフトバンクやヤフージャパンが一部サービスにおいて、FIDOに準拠した生体認証を導入しました。また、LINEも2019年春以降にFIDOの導入予定だと発表しています。
最後に
今回は具体的な事例の紹介は省きましたが、業務システムにおけるFIDOの導入も徐々に広がりつつあります。こうした大きな流れから鑑みると、認証のためにパスワードを用いるシステムはそう遠くないうちに過去のものとされてしまうかもしれません。表現を変えると、業務システムやWEBサービスの要件定義・設計を行う立場にいる者は、FIDOの導入を視野に入れたプロジェクト推進を行わないと「パスワードがいらない世界」の実現を妨げるとも言えるかも知れません。「パスワードがいらない世界」が待ち遠しいですね。