生体認証などオンライン認証の標準化団体FIDO Allianceは2015年11月19日、WWW技術の標準化団体であるW3Cに、「FIDO(ファイド) 2.0」のWeb API仕様を提案したと発表した。

 FIDO 2.0のWeb API仕様に対応したWebブラウザーは、指紋認証USBデバイス、虹彩認証対応スマートフォンといったFIDO準拠のデバイスやソフトウエアによるユーザー認証の結果を、標準化されたAPIで受け取ってWebサービスに通知できる。仕様をW3Cに提案することで、主要WebブラウザーにWeb API仕様の採用を促す考えだ。

写真●FIDO Alliance Executive Directorのブレット・マクドウェル氏
[画像のクリックで拡大表示]

 FIDO Alliance Executive Directorのブレット・マクドウェル氏は「FIDO 2.0は、FIDO 1.0に新たな機能を加えたというより、FIDO認証をOSやWebブラウザーといったプラットフォームのサポートに最適化したもの」と語る(写真)。

 FIDOの基本思想は、生体情報などの認証情報をサーバーに保存したり送信したりせず、ユーザーのデバイスに保存することで、秘密情報の漏洩を防ぐというもの。デバイス側で認証を完了させ、その認証結果を公開鍵暗号方式でサーバーに伝達し、ログインする。

 2014年12月に仕様が公開されたFIDO 1.0は、米グーグル、米ペイパル、NTTドコモ、米バンク・オブ・アメリカ、米ドロップボックス、米ギットハブなどが採用している。

 FIDO 1.0ではパスワードレス認証の仕様「UAF」と、パスワードに加えた2要素認証向けの仕様「U2F」の二つに分かれていたが、FIDO 2.0ではこれが統合される。

 加えて、あるサービスに登録済みの認証デバイスによるFIDO認証を通じて、未登録の新たな端末からサービスにログインできる機能が使えるようになる。例えば指紋認証付きスマートフォンを認証用デバイスとしてサービスに登録し、スマホによる指紋認証を行うことで、未登録のPCやタブレットなどからサービスにログインできる。従来は、新たなデバイスからサービスにログインする場合、そのデバイスをサービスに登録し直す作業が必要だった。

 既に米マイクロソフトは、Windows 10をFIDO 2.0に準拠させることを表明している。「FIDO 2.0は、Windows、Androidから米アップルのOSまで、すべてのプラットフォームへの採用を目指す。今度出荷される製品をすべてFIDO 2.0対応にすることで、ユーザーはパスワードから離れやすくなる」(マクドウェル氏)。

デバイスによる認証結果をサービスが信用できるか

 とはいえ、FIDO 2.0の本格普及に当たっては課題もある。FIDO準拠の認証を採用するサービス側が、FIDO準拠デバイスによる本人認証の結果を「信用」し、受け入れることができるか、というものだ。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら