コミュニティ
HPE Blog, Japan
1822158 メンバー
3738 オンライン
109640 解決策
新規ポスト
 
RSS フィードを購読する
|
IceWall_Mktg

パスワード認証の課題を解決する、FIDO2と生体認証

‎10-17-2022 04:19 PM

HPEの認証・アクセス管理ソリューション「HPE IceWall」を開発するIceWallビジネス推進部が、認証を知る上で必要な基礎知識やトレンドを深掘りするブログです。

GettyImages-887501128_1600_0_72_RGB.jpg

前回の投稿 では、ゼロトラストセキュリティにおける認証の重要性、認証強化が必要な背景についてご説明しました。インターネットを経由した認証では生体認証や二段階認証などを活用した認証強化が必須となっていますが、一般的にセキュリティの強化と利便性はトレードオフと言われています。
今回は認証技術の標準規格であるFIDOと、その最新仕様FIDO2についてご紹介します。利便性と安全性を両立できる仕組みとして注目され、顧客ユーザー向けサービスの認証に取り入れる企業も増えています。

 

従来のパスワード認証の課題

◆パスワード認証とは
従来から広く使われているパスワード認証は、利用者を識別する情報(ID)とそれを確認する情報(パスワード等)を組み合わせて行われます。

◆パスワード漏洩の脅威
IDやパスワードが外部に漏洩する事故は少なくありません。フィッシング等でユーザーが自ら漏洩してしまうケースや、通信経路の盗聴、サイバー攻撃などその手法は様々です。また容易に推測可能なパスワードは、ブルートフォース攻撃や辞書攻撃などで解析されてしまいます。漏洩したパスワードはリスト型攻撃のターゲットとなり、このパスワードを使いまわしていると、不正アクセスによる情報漏洩事故や、なりすましによる改竄など、様々なセキュリティ事故の脅威が高まります。第三者が本人になりすましてログインする「なりすまし」は、ネットワーク脆弱性対策や、ログ管理では検出できません。

icewall221017-01.jpg

◆パスワード漏洩による不正アクセスを防ぐためには?
前回の投稿でご紹介したゼロトラストフレームワークも「多要素認証がアクセスの脅威を低減させる」と訴求しています。IDやパスワード情報が漏洩しても、他の要素の整合が取れないと認証が成功しない仕組みにする多要素認証の導入で、セキュリティを強化することが可能です。
また、前回の投稿で触れたゼロトラストの中でも、認証強化が非常に重要であるとされています。パスワード認証のような漏洩の危険性が付きまとう認証方式を用いている限りは、ゼロトラストで幾ら周りを固めても外敵の脅威から企業を守り切ることはできません。そもそも情報漏洩のリスクがない認証方式は無いものでしょうか。

 

パスワード認証の課題を解決するFIDO認証
そこで誕生したのが、FIDOというパスワードに依存しない認証仕様です。FIDOの仕様を決めているのはFIDOアライアンスというグローバルな非営利の企業団体で、2012年の発足以来、約260社で構成されています。FIDOアライアンスは、パスワードへの依存を減らしつつ、利便性を安全性の両面を強化する認証を目指しています。FIDO認証の技術仕様はFIDOアライアンスのWebサイトで公開されています。
 FIDOアライアンスのメンバーについて (FIDOアライアンスのWebサイトへ)

◆FIDO認証の仕組み
FIDO認証の流れを見ていきます(強力な公開鍵暗号方式を使います)。

① ユーザーの手元のFIDO認証端末側で公開鍵・秘密鍵のペアが作成される。
② 公開鍵をサービス側に送信(①と②のステップは最初の登録時に一度行うだけです)。
③ ユーザーログイン時にサービス側から認証要求チャレンジが送信される。
④ ユーザーは手元のFIDO認証端末を操作。
⑤ 認証成功アサーションを秘密鍵で署名&暗号化。
⑥ サービス側は公開鍵で署名を検証。
⑦ サービスの提供。

icewall221017-02.jpg

◆FIDO認証モデルのメリット

  • 情報漏洩リスクの回避
    FIDOは秘密の情報を共有しない仕組みになっているため、利用者のセンシティブな情報を保持しません。セキュリティが強固で情報漏洩のリスクが回避できます。
  •  ユーザーのプライバシーの保護
    FIDO2認証で生体情報を扱う場合でもその情報は個人の端末のみで管理されます。
  • 利用者ユーザビリティの向上
    不正ログインの被害を防ぐだけでなく、利用者のパスワード管理の負担を減らし、より安全で利便性の高い認証が可能になります。

icewall221017-03.jpg

 

FIDO認証の普及状況
次世代の認証技術の標準仕様として注目されているFIDO認証と、その後継のFIDO2認証は、BtoC向けインターネットサービス市場を中心に導入が進んでいます。今後はセキュアで利便性の高い認証方式として、企業内の認証にも取り入れられていくと考えられます。

 

HPE IceWall MFA / FIDO2認証活用事例
BtoC向けインターネットサービス市場ではもはやデファクトのFIDO2認証ですが、ここでは社内の認証に活用している事例をご紹介します。
社員(作業員)が出先から社給iPad、iPhoneを使って会社が契約するクラウドサービスへ接続することがあり、利便性とセキュリティ、双方の向上を実現したいというご要件をお持ちでした。
スマホからのID・パスワードの入力操作はとても面倒、という意見も出ていました。
IceWall MFAを導入し、その認証にFIDO2を活用することで、ユーザーは社給iPad、iPhoneに搭載されているTouchID・FaceIDの生体認証機能を使って、パスワードレスで社内のアプリケーションとクラウドサービス双方の認証がシングルサインオン可能となりました。クラウドサービスはSAML連携、社内のWebアプリケーションはリバースプロキシでシングルサインオンを実装して認証を統合しています。
社内のセキュリティとユーザーの利便性、双方を向上させた事例です。

icewall221017-04.jpg

今回ご紹介したようにFIDO認証はゼロトラストの中での有効性は疑う余地はありません。ユーザー認証をより高度に、より安全に、より利便性高いものにします。ゼロトラストの導入によって利便性が低下することが起こりえますが、FIDO認証を利用すれば認証操作の利便性を高めることすら可能です。

次回はサービス間の認証を安全かつ迅速に連携する「フェデレーション(Federation)」についてご紹介します。

 

[関連リンク]

本シリーズ第1回:ゼロトラストに取り組む上で欠かせない「認証」を考える
本シリーズ第3回:ゼロトラストにおいても重要なクラウドフェデレーション
本シリーズ第4回:次世代のフェデレーション方式 OpenID Connect

HPE IceWall 製品公式サイト
HPE IceWall FIDO2オプション
YubiKey(FIDO2対応セキュリティキー)を活用した認証強化の実現(HPE IceWall技術レポート)
多要素認証基盤 HPE IceWall MFA

0 感謝
作者について

IceWall_Mktg

コラム:氷壁エキスパートノート |  HPEの認証・認可プラットフォーム「HPE IceWall」を開発するIceWallビジネス推進部が、認証にまつわる新常識を発信します。

最新のコメント
過去 30 日間で最も評価の高い著者
Author
Kudos
Kogumasaka Avatar
Kogumasaka
2
shingoyamanaka Avatar
shingoyamanaka
1
すべて表示
上記の意見は、Hewlett Packard Enterpriseではなく、著者の個人的な意見です。 このサイトを使用することで、利用規約と参加規約に同意したことになります