FIDO Allianceは「パスキー」の普及を促すためにセキュリティの新しい仕様を発表した。これによりユーザーが享受できるメリットと、知っておいた方がよい注意点とは。
認証関連の業界団体FIDO Allianceは2024年10月、パスワードを使わない認証方法「パスキー」(Passkey)の安全性を高めるための2つの新しい仕様を発表した。FIDO AllianceにはGoogleやMicrosoft、Appleなどが参加し、パスキーの普及に取り組んでいる。新しい仕様は以下の2つだ。
これらの仕様により、何がどう良くなるのか。注意点は何か。
パスキーは、パスワードに代わるデジタル認証情報だ。パスワードを使用せずに、顔や指紋といった生体認証を使ってシステムへのアクセスを管理できる。近年、ソーシャルエンジニアリング(人の心理を巧みに操って意図通りの行動をさせる詐欺手法)によってパスワードが流出する事案が後を絶たない。その背景には、人間の言葉遣いを模倣できる生成AI(人工知能)の普及がある。生成AIによってフィッシングメールの精度が高まり、標的がだまされやすくなっている。パスキーを使用すれば、パスワードが流出する恐れがなくなる。
今回、FIDO Allianceが発表したCredential Exchange FormatとCredential Exchange Protocolは、プロバイダー間でパスキーのクレデンシャル(資格情報)を交換する際にデータの標準形式を定義し、セキュリティを確保する。ユーザーはパスキーのクレデンシャルをプロバイダー間で安全に移動できるようになるという。FIDO Alliance委員長のニック・スティール氏は「新しい仕様によってパスキー移動時のセキュリティを高め、ユーザー企業にとってより使いやすくしたい」と話す。
スティール氏によれば、新しい仕様はセキュリティプロトコル「TLS」(Transport Layer Security)と同じ仕組みを採用してデータを暗号化する。暗号化には、インポート先のプロバイダーだけが暗号化を解除できる「ディフィー・ヘルマン鍵共有法」(DH法)を使用するという。加えて、アカウントを所有する企業の承認がある場合に限ってプロバイダーが資格情報を移動できるようにする機能も備えている。新しい仕様の草案の公開は、2025年第1四半期(1月〜3月)になる見込みだ。正式版の公開時期は未定だという。
米TechTarget傘下の調査会社ESG(Enterprise Strategy Group)シニアアナリストのトッド・ティーマン氏は、「FIDO Allianceの新しい仕様はパスキーの普及を後押しするだろう。しかしセキュリティの課題をもたらす可能性もある」と指摘する。
メリットとしてティーマン氏が捉えるのは、ユーザー企業がプロバイダー間でパスキーを移行できるようになることだ。しかしそのためには、プロバイダー側で講じなければならないセキュリティ対策は複雑になるという。一般にはセキュリティが複雑化すればするほど、脆弱(ぜいじゃく)性が生じやすくなり、攻撃のリスクが高まるとみられる。
近年、IDプロバイダーやパスワードマネジャーの提供会社を標的にした攻撃が盛んだ。IDおよびアクセス管理(IAM)ツールベンダーOktaは2023年に攻撃を受け、ユーザー企業のデータが漏えいした。被害企業の中には、パスワード管理ツールを手掛ける1Passwordや、アクセス管理ツールベンダーのBeyondTrustなどがある。2022年、パスワード管理ツールを手掛けるLastPassはシステムに不正アクセスがあり、顧客データが侵害されたことを公表している。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
Omnicomが Interpublic Groupを買収 世界最大級の広告会社が誕生へ
OmnicomがInterpublic Group(IPG)を買収する。これにより、世界最大の広告会社が誕生し...
インテントデータ×キーエンス出身者のノウハウで実現 ABMを先に進める最先端の営業手法とは?
ユーソナーとGrand Centralは提携し、営業売り上げ拡大のためのBPOパッケージを提供開始...
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2024年12月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...