パスワード世界の終焉！　MS、Google、Samsung、などが大連合するFIDOとは‏？

もう、これ以上長いパスワードなんて覚えられない！

セキュリティとプライバシーの問題は、個人にとっても企業にとっても、もはや抜き差しならない大問題になってしまっている。

あなたは、いくつぐらいのアカウントとパスワードを使っているだろう？　よく、指導されるようにランダムな英数文字記号を組み合わせている人は？　パスワードの使い回しはしていないだろうか？

おそらく日常生活で使うサービスのために、何百というランダムな文字列を記憶できる人はいないだろう。異常といえる程の記憶力を持っている人でないと、そんなことは不可能だ。ITに詳しくない一般の人……というところで考えると、大半の人がパスワードを使い回しているだろうし、中には端末に付箋で貼っているような人も少なくはないだろう。

しかし、セキュリティの問題は、個人にとっても企業にとっても、もはや最重要課題。個人にとっては、穴があると財産を失ったり、個人情報が世界に向けて拡散されてしまう危険がある。企業にとって大規模な情報漏洩は、先の7Payの例を挙げるでもなく、会社の信用、経営の根幹を揺るがす事態となりつつある。

ならば、どうすればいいのだろうか？　僕らはもっと、長くて複雑で使い回しをしていないパスワードを使わなければならないのだろうか？

多くのIT企業が参画するアライアンス『FIDO』

おそらく、そうはならないだろう。

我々がインターネットを使いはじめておよそ20年あまり。スマホによるモバイルインターネットで金銭をはじめとした重要情報を扱いはじめて10年も経っていない。これまで我々は杜撰で迂闊だったが、その対策は急速に講じられつつある。

FIDOアライアンスは、2012年にカリフォルニアで設立されたグローバルな非営利団体。認証に関する課題解決のため『FIDO認証モデル』を作り、これに基づき技術仕様を策定している。

グローバルなボードメンバーはGoogle、Facebook、Amazon、Microsoft、Amazon、Intel、Qualcomm、Yahoo!、LINE、Samsung、docomo、アメリカンエクスプレス、バンク・オブ・アメリカ、Lenovo、マスターカード、VISA、PayPal……など、ITに関わるほどんどの企業。これに加え賛同し参加しているメンバーは全部で250社を超えるという。日本ではDNP、富士通、日立、JCB、KDDI、三菱UFJ銀行、NEC、NTTソフトバンクなどがスポンサーメンバーとして参加している。

ネット上に秘密情報が流通しないFIDO認証

FIDO認証モデルは、本人認証を検証機（スマホ顔認証などや、パソコン外付けの指紋認証デバイスなど）で利用者を検証し、秘密鍵で署名する。

もう少しフラットに言うと、ユーザー側では指紋認証、顔認証、静脈認証などで認証し、その認証情報を秘密鍵/公開鍵方式で認証する。これにより、ログインする。指紋認証などの情報は端末から出ないので、セキュリティが担保される……というわけだ。

FIDOの特徴は
・FIDO認証プロトコルはend-endであり、第3者の介在はない
・サーバー側で秘密情報が生成されたり保存されることはない
（FIDO認証の鍵ペアのうち、秘密鍵はFIDO認証器の外に出ない）
・生体情報はFIDO認証器に保存され、外に出ない
・異なるサービス・アカウントに対してFIDO認証の鍵ペアは独立
ということにある。

この方式が普及すれば、スマホの指紋認証で、さまざまなウェブサービスや、金融サービスに安全にログインできるようになる。アカウントやパスワードを覚える必要がなくなるのだ。

FIDO認証は、パスワードレス認証を目的とした『FIDO UAF』、2段階認証を使った『FIDO U2F』、ウェブ認証、デバイス間連携仕様を扱うCTAPを含む『FIDO2』など、いくつかの仕様に分けて規格が策定されてる。

アップルは例によって独自路線

しかし、お気付きのように、上記企業のリストの中に、Appleの名はない。

日本では、スマホの約半分を占め、タブレット、パソコンなども取り扱っているアップルが入るか入らないかで、普及するかどうかは大きく左右されるように思う。少なくとも筆者のようにiPhoneはじめアップル製品を数多く使っている人への影響は大きい。

独自に理想を追い求めるアップルだけに、足並みが揃わないのはいつものこと（笑）だが、ことセキュリティに関しては、協力しあって欲しいとも思う。

現状アップルはFIDOアライアンスに参加はしていないが、Safariのベータ版でFIDO2をサポートすると発表したとの情報はあった。これが更新されれば、SafariでもFIDO2のサービスが機能するということで、まったく非協力的というわけでもなさそうだ。

FIDOアライアンスの発表会でアップルに関して質問したら、FIDOとしては加入していない企業のことに特に詳しくコメントすることはできないとのこと。またアップルにもFIDOに関して質問してみたが、今のところ解答はない。

セキュリティを売りにするアップルは同一線上には立てない

というわけで、以下は筆者の推測になるが、アップルはFace ID、Touch IDにT2チップまで組み合わせて非常に強固な認証システムを作っているので、それと他社のシステムを同列に語りたくはないだろう。

事実T2チップはSSD内の情報さえも暗号化しており、SSD単体で取り出してもT2なしには内容を読み出せないなど、非常に頑強なセキュリティシステムを構築している。これは、ハードウエアから、OS、アプリケーション、サービスまでを垂直統合して提供しているアップルだからことできることだ。

アップルは、現在この強固なセキュリティ、プライバシー保護を持って、『GAFAの他3社とは違う』というアピールを行っている。だから、戦略的に考えてもおいそれとは同一規格には乗れない。

ただ、FIDOが普及して、アップル製品だけはイージーにログインできない……というのもウマくない。また、我々ユーザーにとっても、アップルのシステムはどこまでもアップルに依存しており、他のデバイスやサービスと協調利用できる環境の構築が難しいという側面もある。

FIDOの場合、パソコンでは外付けの指紋認証デバイスも使える。ドングルのような鍵状のものでもOK（つまりそのドングルを持ち出しさえすれば誰でも使える）と運用重視で緩めの規格となっている部分もある。また、多くの企業が参入するアライアンスなので、単なるウェブサービスのログインと、金融商品、医療などの重要な個人情報を扱うところでは、おのずと必要とされるセキュリティレベルの温度感に違いも生まれてくるだろう。

将来的に、各社ウェブサービスは、FIDO方式と、アップル方式に2分化されていくのか？　FIDOがゆるくアップル方式を含有して行く方式になるのか？　そのあたりは分からないが、確実なセキュリティを確保しつつ、使い勝手も確保されていくと嬉しい。

いずれにせよ、筆者は、もうこれ以上たくさんのパスワードを覚られそうにない（笑）

（出典：『flick! digital （フリック!デジタル） 2019年7月号 Vol.93』）

（村上タクタ）