アンドリュー・シキア、エグゼクティブディレクター 兼 チーフマーケティングオフィサー、FIDO アライアンス
FIDOアライアンスは、本日、FIDOとパスワードレス認証の普及に向けた今後のステップについてアウトラインを示す文書を発表しました。 これは、コンシューマー向けにFIDO認証をより一層展開していくに際して、アカウントリカバリーと呼ばれる課題に対処するため、FIDO認証資格情報を複数デバイスに対応させるというものです。(マルチデバイス対応FIDO認証資格情報)
FIDOアライアンスは、認証のあり方を変えることに成功しました。FIDO認証は現在、あらゆる主要なデバイスやブラウザに組み込まれており、多くの主要ブランドがFIDOログインをユーザーに提供するようになったのです。
しかし、依然として残っている課題は、ユーザーが新しいデバイスでサービス毎にFIDO認証の登録をする必要があることです。その最初の登録でパスワードが必要になる場合もあります。 このとき、携帯電話やラップトップPCを変更すると、そのときに登録したFIDO認証資格情報はどうなるでしょうか?また、(携帯電話をなくしたときなどの)アカウントリカバリー(再設定)はどのようにすれば良いでしょうか? 現在のFIDO認証モデルのままでは、このリカバリーが困難です。 これは、コンシューマーがより多くのサービスでFIDO認証を使うにあたって、複数デバイスを使ったり定期的に新しいデバイスに変更するときに問題になります。 エンタープライズでは、パスワードレス認証をサポートする内部管理ツールなどを導入することで従業員のアカウントと認証資格情報をリカバリーするなどしてこの問題を解決することができるので、大きな問題ではありません。
つまり、現時点でも既にFIDO認証を広く導入することは可能ですが、パスワードのように完全にユビキタスで利用できるようにするための機能が欠けています。それは、新しいデバイスであっても、アカウントごとに再登録することなく、ユーザーのもつすべてのデバイスでFIDOの認証資格情報を利用できるようにする機能です。
マルチデバイス対応FIDO認証資格情報(マルチデバイスFIDOクレデンシャル)の導入について
本日発表した新しい文書(*)は、この制限を解消するため、FIDO認証の発展に向けた次のステップを概説しています。 この文書では、マルチデバイス対応FIDO認証資格情報(マルチデバイスFIDOクレデンシャル。業界では非公式に「パスキー」とも呼ばれる)を導入し、ユーザーのもつすべてのデバイスでFIDO認証資格情報を容易に利用できるようにするものです。 これにより、サービス提供者は、暗号学的に安全なパスワードレス認証をコンシューマーに本格的に導入する際の主要な障壁であったアカウントリカバリーの問題を解決できます。
この文書では、FIDOアライアンスとW3C WebAuthn(Web認証)作業部会がこれを実現する方法を概説しており、これには2つの重要なアップデートが含まれています。
- ユーザーの携帯電話(FIDO認証器となる)と、ユーザーが認証を行おうとしているデバイスとの間で通信するためのプロトコルを定義し、携帯電話をローミング認証器として使用できるようにすること。
- FIDO認証資格情報をユーザーのすべてのデバイスで広く利用できるようにし、デバイスの紛失に耐えられるようにし、異なるデバイス間でも同期できるようにすること。
これらの新機能を導入することで、ウェブサイトやアプリが、パスワードやワンタイムパスコード(OTP)を必要としない、エンドツーエンドの真のパスワードレスオプションを提供できるようになることを期待しています。 サインインのユーザー体験は、生体認証やデバイスに設定したPINやパスコードの確認という、ユーザーがデバイスのロックを解除するために毎日何度も行っているのと同じ、一貫したシンプルな動作になります。 このような体験が、すべてのデバイス、オペレーティングシステム、ブラウザで可能になることがビジョンです。
FIDOアライアンスは、マルチデバイスFIDOクレデンシャルの導入により、今日、パスワードに完全に依存している多くのユースケースや、攻撃が増加しているSMS OTPなどの従前から存在しているMFA(二段階認証など)において、フィッシング耐性のあるFIDO認証をより広い規模で展開する重要なステップになると考えています。
この新たな取り組みについて、業界関係者の皆様からのご意見をお待ちしています。詳細は4月に開催されるウェビナーでお伝えする予定です。
