認証関連の業界団体FIDO Allianceは2024年10月、パスワードを使わない認証方法「パスキー」(Passkey)の安全性を高めるための2つの新しい仕様を発表した。FIDO AllianceにはGoogleやMicrosoft、Appleなどが参加し、パスキーの普及に取り組んでいる。新しい仕様は以下の2つだ。
・「Credential Exchange Format」(CXF)
・「Credential Exchange Protocol」(CXP)
これらの仕様により、何がどう良くなるのか。注意点は何か。
|
|
|
|
●CXF、CXPのメリットとリスクとは
パスキーは、パスワードに代わるデジタル認証情報だ。パスワードを使用せずに、顔や指紋といった生体認証を使ってシステムへのアクセスを管理できる。近年、ソーシャルエンジニアリング(人の心理を巧みに操って意図通りの行動をさせる詐欺手法)によってパスワードが流出する事案が後を絶たない。その背景には、人間の言葉遣いを模倣できる生成AI(人工知能)の普及がある。生成AIによってフィッシングメールの精度が高まり、標的がだまされやすくなっている。パスキーを使用すれば、パスワードが流出する恐れがなくなる。
今回、FIDO Allianceが発表したCredential Exchange FormatとCredential Exchange Protocolは、プロバイダー間でパスキーのクレデンシャル(資格情報)を交換する際にデータの標準形式を定義し、セキュリティを確保する。ユーザーはパスキーのクレデンシャルをプロバイダー間で安全に移動できるようになるという。FIDO Alliance委員長のニック・スティール氏は「新しい仕様によってパスキー移動時のセキュリティを高め、ユーザー企業にとってより使いやすくしたい」と話す。
スティール氏によれば、新しい仕様はセキュリティプロトコル「TLS」(Transport Layer Security)と同じ仕組みを採用してデータを暗号化する。暗号化には、インポート先のプロバイダーだけが暗号化を解除できる「ディフィー・ヘルマン鍵共有法」(DH法)を使用するという。加えて、アカウントを所有する企業の承認がある場合に限ってプロバイダーが資格情報を移動できるようにする機能も備えている。新しい仕様の草案の公開は、2025年第1四半期(1月〜3月)になる見込みだ。正式版の公開時期は未定だという。
●新しい仕様を専門家はどう評価するのか
|
|
|
|
米TechTarget傘下の調査会社ESG(Enterprise Strategy Group)シニアアナリストのトッド・ティーマン氏は、「FIDO Allianceの新しい仕様はパスキーの普及を後押しするだろう。しかしセキュリティの課題をもたらす可能性もある」と指摘する。
メリットとしてティーマン氏が捉えるのは、ユーザー企業がプロバイダー間でパスキーを移行できるようになることだ。しかしそのためには、プロバイダー側で講じなければならないセキュリティ対策は複雑になるという。一般にはセキュリティが複雑化すればするほど、脆弱(ぜいじゃく)性が生じやすくなり、攻撃のリスクが高まるとみられる。
近年、IDプロバイダーやパスワードマネジャーの提供会社を標的にした攻撃が盛んだ。IDおよびアクセス管理(IAM)ツールベンダーOktaは2023年に攻撃を受け、ユーザー企業のデータが漏えいした。被害企業の中には、パスワード管理ツールを手掛ける1Passwordや、アクセス管理ツールベンダーのBeyondTrustなどがある。2022年、パスワード管理ツールを手掛けるLastPassはシステムに不正アクセスがあり、顧客データが侵害されたことを公表している。
※本記事は米Informa TechTargetの記事を翻訳・編集したものです。
|
|
|
|
IT・インターネット
