Publickey新野淳一IT羅針盤

生体認証をWebサイトでも実現する新標準「FIDO2」と「WebAuthn」が普及の兆し

いまPCのWebブラウザでECサイトの買い物や決済を行おうとすると、ユーザーIDとパスワードの入力が必須になります。しかし標準技術として新たに登場した「FIDO2」と「WebAuthn」の普及により、Webでも指紋認証や顔認証などが実用化される見通しが立ってきたのです。

最近のスマートフォンは、ホームボタンを指で触れる指紋認証やカメラに顔を映す顔認証など、便利かつ簡単な方法でロックを外して利用できるようになりました。しかも、そのままその認証を利用して、スマートフォンに内蔵された決済機能でお金の支払いをすることも可能になってきたのです。

一方、PCで行う認証はユーザーIDとパスワードを入力する方法がまだ主流です。WebブラウザでECサイトを開いて、気に入った商品を買おうとしたときには、まずユーザーIDとパスワードを入力しなければなりません。
最近は一部のノートPCなどで指紋認証を使ってWindowsなどのOSにログインすることができるようになってきましたが、WebブラウザからECサイトを開いて買い物をするような場面で、指紋認証や顔認証が使える場面はほとんどありません。

パスワードを使わない認証技術を標準化するFIDO Alliance

こうした状況を変えようとしているのが、2012年にPaypalやLenovoなど6社が中心になって、より安全な認証技術の標準を策定するために設立された団体「FIDO Alliance」(ファイドアライアンス)です。
現在はVISAやマスターカード、アメリカンエクスプレスなどの国際的な金融機関、三菱UFJ銀行やNTTドコモ、KDDIといった国内企業をはじめ、多くの企業がFIDO Allianceに参加しています。

FIDO Allianceのwebサイト
FIDO AllianceのWebサイト

ピンチアウトで拡大

FIDOは指紋認証や顔認証などの生体認証だけでなく、PINコード認証、二要素認証など、パスワードを使わない方法でユーザーを認証し、アプリケーションにそれを安全に伝える方法を標準化しています。これによって、ユーザーはユーザーIDやパスワードをいちいち覚える必要がなくなり、指紋認証などの便利な方法でアプリケーションを使えるようになるのです。

FIDO2技術の概要
FIDO2技術の概要

ピンチアウトで拡大

FIDOが提唱している仕組みは、認証を行ったデバイスが公開鍵をサーバーに送信する方法を取り入れているため、例えば指紋の情報をはじめとするセンシティブな情報がデバイスから外部に漏れることはありません。クライアントからサーバーにユーザーIDやパスワードなどを送信することがない点で、より安全に認証を達成できるようになっています。

FIDO2にWebブラウザも対応を開始

そして、このFIDO Allianceが策定した標準技術である「FIDO2」を、Webの分野でも採用していく動きが2018年4月に明らかとなりました。
Web技術の標準仕様を策定しているW3C(World Wide Web Consortium)が、WebブラウザでFIDO2に対応する標準仕様「WebAuthn」を策定し、これが「勧告候補」に到達したことを発表したのです。
同時に、Google、Mozilla、マイクロソフトはWebAuthnのサポートを表明し、実装を開始したことも併せて発表しました。

W3Cでは最終的に標準仕様として完成した状態を「勧告」とし、その手前の状態を「勧告候補」としています。しかし「勧告」となるのは、その技術が十分に現実社会で実績を積んで普及したあとのことなので、「勧告候補」となった時点で、すでに実質的にはその標準仕様が実用的な段階へ達していると見てかまいません。
早速、5月11日にリリースされたFirefox 60でWebAuthnのサポートが開始されました。今後のそれほど遠くない時期にChromeやEdgeなど、ほかのブラウザでもWebAuthnのサポートが行われていくことでしょう。

PCのWebブラウザでも指紋認証などが一般的に

ただし、WebAuthnに対応したブラウザが登場すれば、すぐにWebブラウザで指紋認証や顔認証が使えるようになるというわけではありません。Webブラウザ側がWebAuthnを用いて生体認証やPINコードなどでユーザー認証を行ったあと、その情報を受け取るWebサーバー側もWebAuthnに対応する必要があるのです。
またPC側にも、指紋認証用のデバイスや顔認証用のカメラなど生体認証や二要素認証に使えるデバイスの装備が求められます。

しかし、すでにFIDO Allianceに加入しているGoogleやFacebook、Paypalをはじめとする多くの企業は、自社サービスのFIDO2/WebAuthnへの対応を済ませていますし、多くの金融機関のWebサイトやECサイトも準備を進めているとされています。

そして、ノートPCでもカメラや指紋認証デバイスを搭載している機種が増えてきました。ここにFIDO2/WebAuthnに対応したWebブラウザが普及してくれば、意外と早い時期にPCからでもユーザーIDやパスワードを使わず、指紋認証などでECサイトへのログインや支払い、あるいは会社のPCとサーバーへのログインといったことができるようになるのではないでしょうか。

※このコラムは不定期連載です。
※会社名および商標名は、それぞれの会社の商標あるいは登録商標です。

新野淳一

新野淳一Junichi Niino

ブログメディア「Publickey」( http://www.publickey1.jp/ )運営者。IT系の雑誌編集者、オンラインメディア発行人を経て独立。新しいオンラインメディアの可能性を追求。

Tweet