トップ > ITキーワード > 【3分ITキーワード】FIDO (Fast IDentity Online)

【3分ITキーワード】FIDO (Fast IDentity Online)

ITキーワード

f:id:PentaSecurity:20171018133248p:plain

FIDO

(Fast IDentity Online) 

 

FIDO(Fast IDentity Online)は、オンライン環境でのIDやパスワード方式の代わりに、指紋認証虹彩認識のような生体認識技術を活用し、より便利かつ安全な個人認証を遂行する技術です。

一言で言うと、「パスワードの代わりに、生体認識技術を活用して、より安全で便利に使える認証システム」です。

 

従来のID・パスワード認証体系は、パスワード管理の難しさと共に入力に負担がある短所を持っており、生体認証体系は生体情報伝送の危険とサーバに保存された生体情報のハッキングの危険性を持っています。このような限界を解決するため、便宜性やセキュリティ性を備えた、新しい認証方式が必要になりました。FIDO Allianceは2012年7月に設立され、SAMSUNGやグーグル、MSなど200余りの世界的企業とともに、2014年12月オンライン環境で生体認識技術を活用した認証方式である「国際認証技術標準FIDO 1.0」を発表しました。

 

FIDOは、パスワード管理が必要なく、バイオセンサーを通じた簡単な認証でパスワードなしで速い使用が可能です。 また、生体情報をサーバに伝送したり保存しないため、サーバハッキングによる生体情報の奪取を根本的に遮断できるという長所を持っており、このような生体情報は使用者の端末内のハードウェア的に安全な領域である「ARM Trustzone」に保存され、流出の危険性が少ないと言えます。

 

FIDOはUAF(Universal Authentication Framework)とU2F(Universal 2nd Factor)という二つのプロトコルが存在します。UAFは、使用者のデバイスで提供する認証方法(指紋認証虹彩認識など)をオンラインサービスと連動して使用者を認証する技術であり、代表的に指紋認証機能を搭載した「SAMSUNG Galaxy」とモバイル決済サービスである「SAMSUNG PAY」などがあります。U2Fは、既存のパスワードを使用するオンラインサービス上に、使用者ログインの時に二番目の認証要素を追加して強力な認証を行う技術であり、代表的な例としてグーグルのUSBセキュリティキーがあります。

 

FIDOの構成要素は、大きく「FIDOクライアント」と「FIDOサーバ」、そしてこの二つの個体間を往復する「FIDOプロトコル」で構成されています。クライアントとサーバは、お互いにプロトコルを送・受信し、登録、認証、照会サービスを提供し、またプロトコルは使用者デバイスとサーバ間に三つのメッセージを伝達します。最初は登録メッセージであり、使用者デバイスにある認証トークンを照会して検証し登録する機能を遂行します。二番目は認証メッセージであり、ChallengeとResponseの形として使用者を認証します。最後は安全取引の確認メッセージであり、特定取引についてサーバがクライアントに電子署名と取引の内容で確認する機能を実行することになります。それでは、こちらについて詳しく調べてみましょう。

 

f:id:PentaSecurity:20170816164730p:plain

 

FIDO認証過程は大きく登録(Registration)と認証(Authentication)に分かれます。登録過程は、使用者の認証トークンと公開鍵を登録することでクライアントがサーバにログインするとき、サーバはクライアントにログインの際に使用する認証トークンリスト(図1-2.指紋、音声、PINなど)を送り、使用者が希望する認証トークンを選択した後本人認証に随行し鍵ペアを生成します。クライアントは生成された鍵ペアに公開鍵を署名(個人用鍵で暗号化)してサーバに伝送し、サーバは使用者ーが選択した認証トークンと公開鍵を登録します。次に、認証過程でサーバはクライアントに認証に必要なChallenge値である乱数(図2.サイコロ)や利用可能な認証トークンを送って認証を要請し、クライアントではデバイスで登録された認証トークンによって使用者ーを認証した後、サーバに登録された公開鍵に対する個人用鍵を復号化してサーバで送ってきた要請のメッセージに対する応答で電子署名(個人用鍵で暗号化)を生成してサーバへ転送することになります。 この時、サーバはクライアントが送った電子署名を登録された公開鍵で検証(復号化)することにより、使用者を認証することになります。

 

FIDOは、使用者が認証する認証トークンの部分とクライアントとサーバが使用する認証プロトコルを分離してセキュリティ性と利便性が高く、スマートモバイル環境で適合した認証技術という点で最近の次世代認証方式として脚光を浴びています。また、2016年下半期には「FIDO 2.0」が発表され、ノートパソコンやPC、ウェブブラウザ環境でもFIDOを活用してスマートフォンを利用し、ノートパソコンのロックを解除したり、生体認証装置がビルトイン(built-in)されたノートパソコンなどに活用される予定です。IoT時代のデバイス認証のための次世代認証手段として、FIDOが今後どのように活用されるか、ぜひ期待してくださいね!

 

 

出典
国電子通信研究院(ETRI) パスワードのない認証技術FIDO 
絵1.FIDO技術適用例示 https://fidoalliance.org/specifications/overview/
図2.FIDO認証過程 http://goo.gl/IAR8KR

 

f:id:PentaSecurity:20170707092557p:plain

関連記事
  • CTI(サイバー脅威インテリジェンス)を活用したセキュリティ対策とは? CTI(サイバー脅威インテリジェンス)を活用したセキュリティ対策とは? はてなブックマーク - CTI(サイバー脅威インテリジェンス)を活用したセキュリティ対策とは?
    日に日に高度化かつ巧妙化するサイバー攻撃に対応するため、よりセキュアな製品開発・サービス提供を実現することを目的として、CTI(Cyber Threat Intelligence:サイバー脅威インテリジェンス)を積極的に活用する動きが広がっています。本記事では、CTIの概観、CTIを企業が活用するメリット・事例について紹介していき…
  • 【3分ITキーワード】 EDRとは何か?アンチウイルスソフトとの違いを中心に解説 【3分ITキーワード】 EDRとは何か?アンチウイルスソフトとの違いを中心に解説 はてなブックマーク - 【3分ITキーワード】 EDRとは何か?アンチウイルスソフトとの違いを中心に解説
    EDRとは、PC、サーバー、スマートフォン、タブレットなどの個人デバイス(エンドポイント)で不審な挙動を検知・対応するセキュリティ・ソリューションを意味します。 EDR(Endpoint Detection and Response 、エンドポイントでの検出と対応)とは、エンドポイントをモニタリングし、不審な挙動を検知、分析、報告すること…
  • 【3分ITキーワード】 フレームワークとライブラリの違いは? 【3分ITキーワード】 フレームワークとライブラリの違いは? はてなブックマーク - 【3分ITキーワード】 フレームワークとライブラリの違いは?
    フレームワーク : Webアプリケーションを開発する際、枠組みとして機能する開発ツール ライブラリ : Webアプリケーション開発する際、簡単に活用できるコードの集まり フレームワークとライブラリを自動車に例えると、自動車の仕組みがフレームワークであり、ヘッドライト、ナビゲーション、タイヤ等の部分的な要素がライ…
  • ニューノーマル時代を支えるIT技術 ニューノーマル時代を支えるIT技術 はてなブックマーク - ニューノーマル時代を支えるIT技術
    ニューノーマルとは元々、世界金融危機と大景気後退の後、以前のような経済状況には戻らなくなり、別物の経済が当たり前になったことを意味する言葉として使われてきました。しかし、新型コロナウイルス感染症によって生活の在り方が急変した2020年現在、ニューノーマルは非対面型サービスへの取り組みなど新たな生活様式…

PentaSecurity


コメントを書く