オンラインサービスが広く普及する中で、パスワードだけの認証では情報漏洩のリスクが高くなります。また、スマートフォンなどのSMS(ショートメッセージ)を使った二段階認証は、手間と時間が掛かってしまいます。そこで、企業のセキュリティ強化策として注目を集めているのがセキュリティキーの活用です。物理的な鍵のように利用するだけなので、認証をスムーズに行うことができます。

FIDO対応のセキュリティキーが主流に

認証には、IDとパスワードの認証など同じ認証手続きを2回行う二段階認証と、違う種類の認証を2つ組み合わせる二要素認証があります。最近は「ID」と「パスワード」の認証に加えて、「指紋」などの生体情報など、異なる認証要素を組み合わせた多要素認証(MFA)が主流です。

この2つ目の認証に、スマホのSMS(ショートメッセージ)などを活用する場合では、ログイン時にセキュリティコードがSMSなどでスマホに送信され、そのコードを認証画面に入力することで認証が完了になるので、かなり手間と時間が掛かってしまいます。そこで、セキュリティと利便性を両立する、次世代認証として「FIDO(ファイド)」という標準規格が誕生し、それに準拠した物理セキュリティキーを活用する方法が広まっています。

標準規格「FIDO」を策定する組織である「FIDO(Fast IDentity Online)アライアンス」には、GoogleやMicrosoft、Yahoo、LINEなどのIT業界をリードする企業が名を連ね、加盟企業は年々増加し続けています。
FIDOアライアンスはTPM(Trusted Platform Module=セキュリティチップ)やNFC(Near Field Communication=近距離通信)、生体認証技術などを活用して、パスワードに代わる新しい認証技術「FIDO」を標準規格化しています。
FIDOは本人確認とサーバ認証を分けており、ネットワークに認証情報を流さず、サーバにも保管しないので、パスワードが漏洩するリスクがありません。認証情報が格納されているのは、セキュリティキーやスマートフォンなどのデバイスの中です。

「持っている」ことが本人確認

「FIDO」に準拠した認証のひとつとして、セキュリティキーを活用する方法が企業などで活用されています。セキュリティキーで認証を行うと、PKI(公開鍵基盤)により秘密鍵で暗号化した署名をサーバに送信し、公開鍵で署名を検証することで認証される仕組みです。

セキュリティキーは、USBメモリ型の小型デバイスを用いた認証で、あらかじめ利用するサービスのアカウントと紐付け登録を行うことで、セキュリティキーを「持っている」ことで本人確認ができます。

パソコンのUSB端子(Type A/Type C)に挿して使うタイプのほか、スマートフォンやタブレット端末などのモバイル機器と、Bluetoothで接続し、セキュリティキーのボタンを押して認証するタイプもあります。 認証方式としては非常にセキュリティレベルが高い方式だとされています。

フィッシング詐欺の防止に効果

物理セキュリティキーを活用することのメリットのひとつに、フィッシング詐欺などの不正アクセスの防止があります。WebサイトなどでパスワードやSMSで送られてくるパスコードを入力する認証方法では、悪意のある偽サイトに認証情報が盗まれると重要な個人情報も外部に流出してしまいます。物理セキュリティキーは、パスワードやパスコードの入力の必要がないので、フィッシング詐欺被害のリスクを低減することができます。

さらに二段階認証ではスマホを必要とする場合が多いので、スマホを持てない環境では使えません。これに対し物理セキュリティキーはスマホが必要ないので、スマホを持てない環境や、スマートフォン保有者ではない人でも使えるメリットがあります。
一方で、物理セキュリティキーを持っていない場合はログインができないというデメリットがあります。ログインする場合は常に携帯しておく必要があります。

多要素認証の必須化が進み、活用の場が広がる

営業支援ソリューションを提供するSalesforceが不正アクセスなど顧客のデータ保護をめぐる脅威に対応するため多要素認証(MFA)を必須化するなど、多くのソリューションやサービスの認証において、セキュリティ―キーの採用が進んでいます。

Salesforceなどビジネス・ソリューションやサービスを活用している企業にとっては、不正アクセスなどのセキュリティ脅威から個人情報や顧客情報などのビジネスデータを保護するため、多要素認証への対応は欠かせません。
将来的にはパスワードではない方法での認証が主流になる可能性もあり、新時代のセキュリティ対策として、セキュリティキーの活躍の場は広がりそうです。


FIDOセキュリティキー
FIDOセキュリティキー


関連記事

パスワードレス認証のメリットとは

負荷分散やサイト表示を高速化するリバースプロキシとは?

認証トークンで多要素認証を低コストで導入

手軽に導入できる認証システム

Azure ADのデバイス認証でセキュリティ強化

法人向けWebサイトの認証セキュリティ強化対策

ハードウェアトークンの特徴や種類について解説

OATH規格の認証に最適なトークン

2022年4月施行の個人情報保護法のポイントとは?

教育情報セキュリティポリシーに関するガイドラインについて