貴社のサービス/プラットフォーム/製品をご説明いただき、FIDO認証をどのようにご活用されているかご説明ください。
日本経済新聞社と日経グループは「質の高い報道とサービスで 読者・顧客の判断を助け 世界で最も公正で信頼されるメディアになる」をミッションに掲げ、言論報道機関としての基盤である日本経済新聞を含む各種メディア・サービスを展開しております。その中核サービスである日経電子版を始めとした、日経グループのデジタルサービスを支える統合ID基盤が「日経ID」です。
このように幅広いサービスを展開する日経IDでは多くのユーザーを抱えており、かねてからセキュリティとユーザービリティの両立が課題でした。これまで OpenID Connect によるログイン体験の向上を図りつつ、二要素認証やCAPTHCA(*1)の導入などで不正アクセスのリスクを軽減するなどの施策を実施してきましたが、ユーザーのパスワード漏洩や使い回しなどパスワード認証によるセキュリティリスクや、近年の攻撃の高度化への対策は難しい状況でした。
(*1)ユーザーが人間であることを確認するためのセキュリティ認証方式
そのような中、FIDO認証が進化しパスキーとしてサービスへの導入の敷居が下がってきたことから、日経IDとしても期待を持って検討を進め導入に至りました。現在はWebサービスだけでなくモバイルアプリにも対応するなど機能面での拡充や、社内外のブログ記事や登壇、日経IDラウンジヘルプセンターでの案内などユーザーの認知度向上などを通じてパスキー普及を目指している段階です。
FIDO認証導入前に解決を目指していた課題は何でしょうか?
1番の目的はセキュリティとユーザー体験の両立です。日経IDのユーザーはデジタルサービスを使い慣れていないお客様も多く、単純にセキュリティを向上させれば良いと言うわけでもありません。例えばCAPCHAの導入によってパスワード総当たり攻撃が防げたとしても、チューリングテスト(*2)が通せずサービスが利用できないなどユーザーがサービスをご利用する際の障害になり、問い合わせの増加などサポートの負荷にもなっていました。
(*2) 「人間的」かどうかを判定するためのテスト
しかしFIDO認証(パスキー)に関しては、OSやプラットフォームとの統合による高いセキュリティとユーザー体験の両立を標準規格として実現しています。そのため、パスワード認証によるリスク低減のために導入したUXの低下を伴うセキュリティ施策をパスキーに置き換えることが可能になりました。
他のソリューションではなく、FIDO認証を選択した理由をご教示ください。 また、FIDO認証を実装する上で、メリットとして挙げられた点をご教示ください。
FIDO認証(パスキー)の比較検討対象としては以下2点が候補に上がりました
- TOTPやメール認証などの2要素認証の必須化
- 他のID基盤によるソーシャルログイン
これらと比較検討した結果、FIDO認証(パスキー)は以下の利点があると感じています
- 既存のパスワード認証に加えて、追加の認証という形で徐々に移行できる
- 生体認証などよりUXの高い認証方法が利用できる
- パスワードの持つリスクを根本的に解決できる
実際に実装するに当たっては特に「追加の認証」という点が大きかったと感じています。つまり、既存のIDモデルを壊さずに疎結合・高凝集に実装できるという点です。WebAuthn の仕様は、バックエンド・フロントエンド共にシンプルなインターフェースのライブラリ・APIが各プラットフォームで用意されています。そのためセキュアな実装が容易に可能でした。また既存の認証手段を残すことも可能であるため、サポート工数もそこまで増えないという利点も大きかったです。
FIDO認証の実装についてご説明ください。
FIDO認証のバックエンドライブラリOSS である WebAuthn4J を利用した自社独自実装になります。WebAuthn4J の選定についてはデータモデルのわかりやすさに加え、FIDOアライアンスが提供する FIDO2 Test Tools をパスしていることを評価しました。またフロントエンドについては WebAuthn API を直接操作する実装を自社独自開発しました。さらに、これらの総合的なテストとしてFIDO認証をエミュレートするテストライブラリを作成し24時間自動テストが稼働している形になります。
FIDO認証(パスキー)の展開は以下のステップで段階的に進めました:
- 社内ベータテストによるフィードバックや利用状況のモニタリング
- 外部セキュリティ企業によるホワイトボックス・ブラックボックス検査
- 全ユーザーに公開
FIDO認証の導入効果について、データで共有可能なものがあればご教示ください。
今年の2月にリリースしたばかりのため詳細な数字はまだご提示できませんが、すでに数千人のユーザーにパスキーをご利用いただいております。また、パスキーの利用方法に関する問い合わせなど、サポート窓口への負荷もほとんど発生していないと聞いており、円滑にご利用いただけていると認識しています。
リソース
FIDO認証(パスキー)の実装のところでお話ししたFIDO認証をエミュレートするテストライブラリは日経のOSSとして公開しており、下記のURLから取得できます。 https://github.com/Nikkei/nid-webauthn-emulator
FIDO認証(パスキー)による認証を完了した後の認可についてはOpenID Connect基盤である Authlete を利用しており、こちらの導入事例の中で FIDO認証(パスキー)導入に関する熱意を語っています。(この発表が行われた2023年当時はまだパスキーの検討段階) https://www.authlete.com/ja/resources/videos/20231212/02/
導入検討段階における技術ブログ記事: https://hack.nikkei.com/blog/advent20241221/
