WebAuthn:私のための、私による認証

2019年8月28日   |     |  製品とテクノロジー

2019年3月4日に、W3CおよびFIDOは、WebAuthnの承認を発表しました。その少し後に、OneLoginはOneLogin製品内でのWebAuthn (Web Authentication API)のサポートを発表しました。重大事ではないように思われるかもしれませんが、実はこれは認証方法を変化させます。

簡単な例を見てみましょう。モバイルデバイスを使用して毎日の業務をこなそうとするとき、モバイルのキーボードでは不便な認証方法が多数提示されます。複数のパスワードの入力やOTPプッシュ通知への応答は、スマートデバイスではユーザーフレンドリーではありません。同様に、多くの新しいデスクトップは、顔認識や指紋リーダーで認証を行う生体認証センサを備えています。

なぜ、それらの機能を使用してWebリソースへの認証を実施しないのでしょうか。これに対する今までの答えは、認証のための標準化された方法がないから、でした。この機能を使用するため、開発者は、プラットフォーム特有の専用APIを使用するしか方法がありませんでした。その結果は最適とは言えない統合であり、プラットフォームやブラウザ間でユーザーエクスペリエンスが異なることもよくありました。

過去数年の間、当社には、セキュリティ侵害、なりすまし犯罪、アカウントのっとりなどの無数の報告が殺到していました。複数のWebサイトで同じパスワードや同じパターンを使用することがどんなに危険であるかを、繰り返し学ぶこととなりました。業界は、これらの問題を解決するのは、多要素認証 (MFA)または2要素認証(2FA)だとしています。このケースでは、その回答は正しいと言えます。MFAまたは2FAを使用してユーザーIDを保護することは、前述の脅威に対抗するために非常に効果的です。アカウントでMFAを有効することにより、ユーザー自身とユーザーの会社の脅威を99.9%削減できます。

ただし残念なことに、MFAはエンドユーザーに難しいまたは不便なものとして捉えられています。ユーザーIDとパスワードを入力する代わりに、ユーザーは自身を証明するために別の要素を提供する必要があります。もちろん、さまざまなセキュリティレベル、可用性、そして組織コストの多くの認証要素が存在します。これらには、パスワード、セキュリティ質問、知識ベースの質問、ハードウェアトークン、OTP、モバイルPUSH、Yubico YubikeysやGoogleのTitan Keyのようなドングルが含まれます。

MFAは困難である必要はありません。特にユーザーが認証のタイプを選択できれば、より便利です。認証のタイプは多数あるため、ユーザーが選択する認証タイプは最終的によくユーザーの好みによります。場合により、ユーザーは使用する認証要素の選択を希望します。職場でも、オンラインショッピングでも、または政府サービスへのアクセスであっても、MFAの形式を選択できるようにすることは、大きなメリットをもたらします。

私たちの多くは、新しいピカピカのApple iPhoneやGoogle Androidのスマートフォンを所有しています。これらのスマートフォンは、近距離無線通信(NFC)やBluetooth、そしてAppleのTouchIDやFaceIDなどの生体認証センサのような高度な機能を備えています。Androidデバイスも類似した機能を備えています。よって私達は、Webサイトにログインする際にスマートフォンの機能を使用することに慣れてしまっています。

では、WebAuthnに戻ります。場合により、FIDO (Fast Identity Online)、FIDO2、またはU2Fと呼ばれます。これらの用語は、3月にWorld Wide Web Consortium (W3C)によって批准された努力を示すものです。WebAuthnとは、ID、プライバシー、そしてより安全で便利なインターネットのために献身する、非常に賢い人々による何年もの努力の結晶です。WebAuthnは、従業員、顧客、パートナー、請負業者、または一般市民のアクセスリクエストに使用できる認証のさまざまな種類を定義する、明確な基準のセットです。WebAuthnは、皆さんがすでに使用しているかもしれないWebサイトやサービスの多くで使用できる、認証符号を提供します。可用性に加え、これらのアイテムのメリットは、デバイスの暗号化機能を使用して、認証マテリアルが実際のユーザーのデバイスに保存されるようにし、それがIDプロバイダに保存されたり転送されたりしないようにすることです。

例を挙げます。OneLoginのお客様のエンドユーザーに対し、スマートフォンで2番目の要素として生体認証を使用することを許可したいとします。WebAuthnの登場前は、OneLoginは専用のAPIを実装し、iOSとAndroid、またはMacとPCの生体認証機能をMFA製品に統合する必要がありました。これはOneLoginにとって効率的とは言えません。また、新しい認証符号が作成されるたびに、それを統合する必要があります。このシナリオは持続可能とは言えません。

WebAuthnを使用すると、Facebook、Google、Amazon、OneLoginといったIDプロバイダーは、使用する認証をユーザーが定義できる認証戦略を実装することができます。訪問したサイトがMFAに使用する認証を決定する代わりに、ユーザーがどの認証を使用するか決定できます。2番目の要素として、Macの指紋リーダーを使用したいと仮定します。パスワードの代わりに、スマートフォンの指紋リーダーを使用したいかもしれません。いずれの場合でも、ユーザーは、ユーザー自身、会社、訪問するサイトにとってどの認証方法が適切かを選択できます。

WebAuthnは新機能であり、多くのユーザーにとって新しい経験となるはずです。よって、早くそのメリットと制限を理解すれば、より安全で堅牢で、スケーラブルなWeb認証経験をより早く実現することができます。

OneLoginでは、WebAuthnはIDプロバイダーやユーザーにとっての大きな潜在的可能性を持つと信じています。当社では、この標準が導入されてから迅速にお客様にそのサポートを提供でき、とても嬉しく思っております。体験してみてください。OneLoginインスタンスで試してみてください