FIDO Alliance (Fast Identity Online) が今週、パスキーに関する仮想イベント Authenticate Virtual Summit を開催します。焦点は、企業がパスワードから新しいパスキー標準と技術革新へとどのように移行し、公開鍵暗号化の最新の進歩を実現しているかに置かれます。
そして、それは当然のことです。NordPassの調査によると、人々は平均して約100個のパスワードを使い分けており、複数のアカウントで同じパスワードを使い回す傾向があり、これはブルートフォース攻撃の格好の標的となっています。
パスキーは、生体認証と非対称暗号を組み合わせることで、組織の脅威対象領域を削減し、デバイス間のログイン作業を飛躍的に容易にすることで、状況を一変させます。Bluetoothデバイスペアリングに似たFIDOは、広く採用されている一連のオープンスタンダードによってこれを実現します。
FIDO アライアンスは 10 年以上にわたり、パスワードへの依存を減らす取り組みを行ってきました。
FIDOアライアンスのエグゼクティブディレクターであるアンドリュー・シキアー氏は、この取り組みの背後にある主要な目標は、データ漏洩という根本的な問題への対処だと説明しました。データ漏洩の多くはパスワードの盗難に起因しています。実際、ベライゾンの2023年データ漏洩調査報告書によると、全漏洩の74%に人的要因と盗難された認証情報が含まれています。
シキアー氏によると、パスワードの問題に対処することは、データ漏洩の問題に対処することでもあるという。TechRepublicは、パスワードからパスキーへの移行、そしてFIDOアライアンスが策定した3番目の標準規格である新しいFIDO2が、デスクトップとモバイルデバイス間でスムーズで高セキュリティなユーザーエクスペリエンスを実現し、手動ログインを排除することをどのように実現しているかについて、シキアー氏に話を聞いた。
TR:パスキーへの移行は進化的なものだったのですね?それはプロセスでした。
Shikiar:これまで数年にわたって、いくつかの技術仕様を公開してきました。最初のものは生体認証の再認証のユースケースです。つまり、ネイティブアプリで一度サインインすれば、その後は顔認証または指紋認証のみを使用するというものです。他にも、セキュリティキーとパスワードを組み合わせた二要素認証のプロトコルなどが含まれています。
TR: FIDO2 の機能に関する「初心者向けガイド」とは何ですか?
Shikiar: FIDO2は、パスワードレス機能をオペレーティングシステムやプラットフォームに直接組み込むことを可能にし、進化の次のステップを象徴しています。これらの機能をプラットフォーム自体に組み込み、パスキー機能をオペレーティングシステムに組み込むことで、真のパスワードレスサインインを実現します。ユーザー名を入力してセキュリティキーに触れるだけでサインインできます。また、FIDO2にはプロトコルも含まれています。デバイスに特化したプロトコルはFIDOアライアンスによって開発され、WebサーバーまたはWebサイトに特化したプロトコルはWebAuthnです。WebAuthnについてはよく耳にすると思いますが、これはW3C(ワールド・ワイド・ウェブ・コンソーシアム)のWeb認証ワーキンググループと共同で開発されました。
TR: WebAuthn とは実際には何ですか?
Shikiar:これはFIDO2の中核コンポーネントで、基本的にWeb開発者であれば誰でも呼び出すことができるAPIです。デバイスのロック解除を使用してパスワードレスのサインインを可能にします。つまり、デバイスのロック解除に使用しているものは、WebAuthnを介してWebサイトへのログインにも使用できます。そのためにはデバイスを所有している必要があり、多くの場合は生体認証が用いられますが、PINも使用できます。そしてもちろん、FIDO2は非対称公開鍵暗号を採用しており、デバイス上で本人確認を行うことで有効になります。公開鍵(サーバー側の秘密鍵)には価値がありません。秘密鍵はデバイス上に安全に保管され、秘密鍵と公開鍵は「通信」します。そして、秘密鍵と公開鍵が通信するプロセスによって、フィッシングやリモート攻撃が防止されます。
TR:最近の進化について説明し、ユーザーが自分のデバイスの秘密鍵を検証済みのすべてのデバイスに適用できるようにした理由を教えてください。また、なぜこれが行われたのでしょうか。
Shikiar:そこで、高度なセキュリティ体制であるデバイス上の秘密鍵に関する古い FIDO 標準を調べたところ、この秘密鍵はデバイス上に残さなければならないため、実際にはユーザーによる採用を妨げていることがわかりました。
よく利用するサイトの秘密鍵をMacBookに保存している場合、他のデバイスでも再登録が必要になります。なぜなら、秘密鍵はMacBookにしか保存されていないからです。これはユーザーエクスペリエンスに悪影響を与え、ウェブサイト側はデバイスごとに異なるパスワードを保持せざるを得なくなります。そこで、FIDO2の実装により、デバイス間で秘密鍵を同期できるようになりました。
TR:これにより、デバイスにバインドされた秘密鍵の必要性が完全になくなるのでしょうか?
Shikiar: YubiKeyのようなデバイスに紐づいたパスキーは引き続き利用可能です。これは、高い信頼性とセキュリティが求められる特定のエンタープライズユースケースでは明らかに重要です。しかし、使いやすさとアクセスのしやすさを重視しつつ、フィッシング不可能なメカニズムも提供するほとんどのユースケースでは、新しいプロトコルは効果的かつ安全です。
TR:一方、パスワードおよびID管理企業は、ユーザーによるパスキーの導入を促進しています。IDおよびアクセス管理サービスとパスワードマネージャーはどのような役割を果たしているのでしょうか?
Shikiar:現在、1Password、Okta、Dashlane などの企業がパスキー管理に移行しつつあります。
参照: Oktaは一体何をしているのでしょうか? こちらをご覧ください。(TechRepublic)
TR:しかし、パスキーがオペレーティング システムに組み込まれ、デバイス間のアクセスが可能になっているのであれば、なぜサードパーティのパスワード マネージャーが必要なのでしょうか?
シキアー:パスキーを保存する以上の機能があるからです。個人的には、iPhoneとPC、iCloud、Chromeを使っているので、パスワードマネージャーを使っています。つまり、すべてのアカウントの唯一の信頼できる情報源として、デバイス間でパスワードマネージャーを連携させているのです。OSシステム自体に頼るよりも、OSシステム間でパスワードとパスキーをより簡単に同期できます。これは単なるパスワード管理の域を超え、むしろデジタル認証情報管理に近いものです。これらの企業は、人々がオンライン生活を安全に管理する方法に付加価値を与えています。
TR:最終的な目標は、ログインが目に見えず、摩擦がなくなることだと思いますが?
Shikiar:最近ユーザーガイドラインを公開し、広範囲にわたるテストを行った結果、ユーザーにとって最も共感を呼び、ログインを促すメッセージは利便性、つまりより簡単なサインイン体験であることが分かりました。パスワードのリセットにはうんざりしている人が多いので、もうパスワードを覚える必要がないと言われたら、ぜひそうしてもらいたいです!ですから、一般的に利便性は消費者に受け入れられる要素だと考えています。
TR: Google がパスキーの採用を発表したとき、それがパスキーにとって画期的な瞬間でした。
Shikiar:そうですね。GoogleアカウントとWorkspaceでパスキーが有効になったことは、FIDOの導入と認証にとって非常に大きな転換点でした。すでにアーリーアダプターは導入しており、パスキー対応サイトの数は私たちが把握できる数を超えています。しかし、Googleがこれを実現したことは大きな意義を持ちます。GoogleはFIDOアライアンスのステークホルダーであることは間違いありませんが、この技術が十分に成熟しており、大規模に展開して数十億人のユーザーに提供できるようになったことは、Googleがこの技術を信じ、消費者に提供し、そして実際に必要としていることを示す、これ以上に力強いメッセージはないでしょう。
