更に近づくパスワードレスの世界

プロジェクトオーガナイザの吉田聖書よしだみふみです。

ゴールデンウィーク中の5月5日に、FIDOアライアンスという団体から一つのニュースが発表されました。それは、Apple、Google、Microsoftの3社がFIDOアライアンスとW3Cが策定した「パスワードレスサインイン標準」のサポートを拡大するというものです。その3社もそれぞれニュースをリリースしています。

FIDOアライアンスからのお知らせはこちら。

Apple, Google and Microsoft Commit to Expanded Support for FIDO Standard to Accelerate Availability of Passwordless Sign-Ins(2022/5/5 FIDO Alliance)

そもそもFIDO(ファイド)っていうのは「Fast IDentity Online」の略で、私も知らなかったんですけれども、手軽で安全なオンライン認証基盤の仕様を指しています。FIDO認証は公開鍵暗号方式による認証という点が特徴で、公開鍵暗号方式というのはカギペアが非対称なんですよね。

公開鍵暗号方式と比較される方式が共通鍵暗号方式といって、鍵を共通に持つのが特徴ですが、これだとサーバから鍵が盗まれた場合に本人に成りすましてサービスにアクセスできてしまうという弱点があります。IDパスワード認証方式は、共通鍵暗号方式ではありませんが類似点がありまして、それは秘密の情報をクライアントとサーバで共有するということです。これはIDとパスワードに加えて「秘密の質問」を使ったとしても同じことです。

一方、FIDOが採用している公開鍵暗号方式は、クラアントが秘密鍵、サーバが公開鍵を持ちますので、サーバから鍵が盗まれたところで何の問題もないという点が共通鍵暗号方式よりも優れている点と言ってよいでしょう。この時、秘密鍵はサービスの利用者が持つデバイス(つまりパソコンやスマートフォンなど)に保存され、公開鍵はサービスの提供者が保管するということです。


※ この記事は、先日公開した以下の音声コンテンツを基に編集したものです。


そもそもなぜこのような仕組みが考えられたのでしょうか。以前からこのブログでも取り上げてきましたが、世の中のWebサービスのほとんどがIDとパスワードによる認証です。以前に比べるとWebサービスの数も増えてきて、管理すべきアカウントの数も増えてきました。しかもパスワードの使いまわしは万が一盗まれた時に危険だということで、パスワードを使い分けることが推奨されているため、もはや記憶に頼ることは事実上不可能です。(だからこそWebブラウザにパスワード保存機能が搭載されているのです。)

いずれにせよ、この仕組みはもう時代遅れですし運用も限界です。そこでパソコンやスマートフォンのOSやWebブラウザを開発している、Apple、Google、Microsoftの3社が足並みを揃えて、もうパスワード認証やめようぜという動きに発展したということでしょう。もう既に実装はされていて利用も可能ですが、少し手順が必要なんですね。それに対して今回の発表は、ざっくり言えば、意識しないでもパスワードレスの認証ができるようにするということです。

これ、メールの暗号化でもそうですけれども、セキュリティレベルを高めるために面倒臭さが増えるというのは止むを得ない面はあるにせよ、あるべき姿ではないと私は常日頃感じています。利用者が意識しないでも充分な安全が確保されるということがあるべき姿であって、今回の取り組みによってその世界がまた一歩近づいたと言えます。ちなみに、今回発表された3社によるシームレスな認証方式の実現は来年の2023年中に利用可能になることを目指しているということです。楽しみですね。



関連記事

プロマネの右腕

クロスイデアでは、新サービス・新ビジネスの 立上げや計画を中心に
プロジェクトマネジメントの支援を行っています。

新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html

YouTubeにて動画配信中!

プロジェクトマネジメントのノウハウを
YouTubeで配信しています。
ブログと併せてご活用ください。

Comments are closed.