米国の調査企業「SplashData」では、毎年年末にその年の「最悪なパスワード100」を公表していますが、2017年版のワースト5は「123456」「password」「12345678」「qwerty」「12345」で、今年も例年と変わらず数字の羅列や簡単な単語を使用している人が多い結果となっています。
ネットに流出した、500万件に及ぶデータから「SplashData」が分析した結果によると、ネットユーザーの約10%が「最悪なパスワード100」の上位25位までのパスワードを使用した経験があり、約3%のユーザーが「123456」を過去に使用していたと公表しています。
ちなみに、久々に新作が公開された「starwars」が16位にランクインしている、今年のワースト100から、25位までをご紹介しておきます。
1位:123456、2位:password、3位:12345678、4位:qwerty、5位:12345、6位:123456789、7位:letmein、8位:1234567、9位:football、10位:iloveyou
11位:admin、12位:welcome、13位:monkey、14位:login、15位:abc123、16位:starwars、17位:123123、18位:dragon、19位:passw0rd、20位:master
21位:hello、22位:freedom、23位:whatever、24位:qazwsx、25位:trustno1
この誰もが頭を悩ますパスワード管理に、朗報をもたらしたのが「iPhone」10周年記年モデルとして昨年11月にAppleから発売された「iPhone X」です。
「iPhone X」に新たに搭載された、個人認証システム「Face ID」の顔認証機能では、ロック画面の解除、iTunes StoreやApp Storeでの購入・決済、Apple Payの支払い等は、パスワードを使用せず「Face ID」で行うことが可能になっています。
「Face ID」に自分の顔を登録すると「iPhone X」のフロントカメラを見つめるだけで、ユーザーの顔が自動的に認証され、ロックが解除できるようになります。
「Face ID」の仕組みでは、「iPhone X」の前面に搭載されたTrue Depthカメラで3万以上のドットをユーザーの顔面に投射して、立体的にマッピングを行います。
このように個々の利用者の顔を識別することで、他人を誤って認証する確率は、100万回に1回程度であると、Appleの資料には記載されています。
このTrue Depthカメラの優れている点は、ユーザーの視線や50種類以上の筋肉の動きを解析、表情までをスキャンすることで、目を閉じたり、視線を画面に向けていない場合は「Face ID」により認証は行われません。本人が眠っている時、悪意を持った第三者が本人の顔の上に「iPhone X」をかざして「Face ID」を起動させても、ロックは解除されないのです。
先ほどの「最悪なパスワード100」の事例を見るまでもなく、ID・パスワードによる認証方式には限界があります。そこで考えられたのが「Face ID」などの生体認証を活用した新たな仕組みである「FIDO(ファイド)」です。
「FIDO(Fast IDentity Online)」は、多要素認証を活用したパスワードに代わる新たな認証技術のひとつで、その名称のとおり素早いオンライン認証を目指しています。
規格の策定と普及推進は、「FIDO Alliance」と呼ばれる業界団体が進めています。Google、マイクロソフト、クアルコム、サムスン、Lenovo 、PayPalなどの企業によって構成され、日本からはNTTドコモが参加しています。
「FIDO Alliance」からは、FIDO 1.0仕様を構成する技術として「UAF」「U2F」の2つの仕様が公開されていますが、いずれも将来の相互運用を考慮したオープンな仕様であり、世界的な標準システムとしての可能性が注目されています。
「UAF」はFIDO対応デバイスを利用して、パスワードを使用せずに認証を行う仕組みで、その名称は「Universal Authentication Framework(汎用的な認証基盤)」の略称として、標準的仕様1.0版が2014年12月に公開されています。
一方、「U2F」は「Universal 2nd Factor(汎用的な第2要素)」の略称で、いわゆる二段階認証を行っています。ID・パスワード等の第一段階の認証に加えて、セキュリティコードやセキュリティキーなどを使用した認証を行うことで、より安全にログインするためのシステムを構築しています。USBキー、Bluetooth、NFCをサポートした仕様が2015年5月に公開されています。
また、「UAF」と「U2F」を統合した「FIDO 2.0」と呼ばれる仕様が、2015年11月にWeb技術の標準化団体「W3C」にWeb API仕様として提案され、マイクロソフトは、Windows を「FIDO 2.0」に準拠させることを表明しています。
「FIDO」を利用するメリットとして、ユーザーが「パスワードを憶えなくてよい」という点がありますが、もう一つの大きな特徴として、認証情報そのものは「ネットワーク上で流通しない」仕組みで運用するため、情報の流出リスクが極めて低いことが挙げられます。
既存の指紋認証システムを利用する場合、ユーザーはサービス提供事業者ごとに、自分の指紋を登録する必要があります。そして、サービス提供者である企業側も、ユーザー個人を認証するための指紋を、事業者の責任で厳重に管理しなければなりません。
しかし「FIDO」の場合は、ユーザーの指紋はスマホの安全な領域に格納されています。スマホ内のアプリケーションは、サービス提供事業者からの要求に対して「スマホの個体情報」+「指紋の生体情報」=「本人」ですと、メッセージを送信するのみで、パスワード等の認証情報をネット上でやり取りすることはありません。
したがって、スマホが盗難に遭ったた場合でも「スマホ」+「指紋」が揃うことで本人認証される仕組みのため、悪用される心配はないのです。
「FIDO」には、承認を「オープン化」することができる大きな利点があります。
これまでも、銀行などのシステムで指紋認証は利用されてきました。しかし、ユーザーは口座を持つ銀行ごとに「指紋認証を使用する」、そして「私の指紋はこれです」と登録する必要がありました。しかし「FIDO」を使用したシステムでは、各銀行に「指紋認証を使用する」と伝えるだけで登録が完了します。
「FIDO」を活用したシステムが一般化すると、我々の生活シーンが激変すると思われますが、今後「IoT」が普及することによって、テレビ・冷蔵庫・エアコン・照明器具などの家電製品「モノ」がインターネットで繋がるようになります。
冷蔵庫がネットに繋がれば、冷蔵庫内の食品を使い切った場合、自動的にネットで食品を発注するサービスが可能になり、ネット上のスケジュール管理ソフトに帰宅時間を入力しておけば、帰宅時にエアコンがきいた適温の部屋に帰ることができるのです。
そして、このようなサービスの前提となるのが、ユーザーをネットワーク上で本人と認証する「個人認証システム」なのです。
自動車に「FIDO」のシステムを搭載すると、指紋認証したスマホが「車のキー」になり、車の所有者と「個人認証」できればエンジンを始動させる仕組みが構築できます。逆に、ここで車のユーザーとして認証されなければ、車を運転することはできませんので、自動車の盗難防止に役立つと思われます。
また、電気自動車であれば、GPSシステムと連携させることで、充電スタンドの位置まで車を誘導した上で、充電する際の決済手段として活用することも可能です。
このように「FIDO」と「IoT」が連携することで、家の鍵、ホテルの鍵、金庫の鍵など、物理的な「鍵」をスマホに置き換えることができます。
さらに、既存のクレジットカードが「FIDO」のシステムと連携すると、店舗で買い物をする際に、レジにスマホをかざして指紋認証をするだけで、安全な決済が数秒で完了するシステムが実現します。
また、行政機関や病院など窓口での手続きについても、簡略化できる可能性があると思われます。これまでは、市役所の窓口で手続きを行う際に、さまざまな申請書類に住所・氏名等の個人情報を記入していました。それらが、「FIDO」による「個人認証」を活用することで、より厳格な本人確認が可能になるとともに、住所・氏名などを何回も記入する必要がなくなります。
将来的には、「FIDO」のコアシステムであるスマホ内での指紋認証機能と、通信機能だけに特化した、ブレスレット・ネックレスのようなウェアラブルデバイスを実用化することで、高齢者も使いこなすことが容易な、ユーザーフレンドリーなサービス提供が可能になると考えられます。
今年、2018年は「IoT」が暮らしに身近なものとなり、それに伴って、生体認証を活用した「FIDO」が躍進する年になるのでしょうか。 しばらくは、「FIDO」を巡る動向から目が離せないと思っています。
ユーザーファースト視点で考えるシステムの本質
執筆者:NPO法人 地域情報化推進機構 副理事長
ITエバンジェリスト/公共システムアドバイザー
野村 靖仁(のむら やすひと)氏
