富士通 FIDO準拠の「オンライン生体認証サービス」を4月提供開始
オンライン認証のセキュリティ向上と導入企業および消費者の負担を軽減
Eコマースサイトの利用者の増大が続くだけでなく、オムニチャネル化でEコマースサイトや店舗を行き交う消費者も増えている。サービスを提供する流通サイドはID・パスワードの安全な管理という負担が伴い、消費者も複数のパスワードを覚えるのに負担を感じて、同じパスワードを使い回し、それが情報漏えいやなりすましといったセキュリティリスクをもたらす。この対策として、富士通はオンライン認証の国際規格FIDO(ファイド)に準拠した「FUJITSU IoT Solution 生体センサー認証ソリューション オンライン生体認証サービス(以下、オンライン生体認証サービス)」の提供を4月からスタートする。
流通業界ではオムニチャネル化、Eコマース市場の拡大が続く
誰もが気軽にスマートフォンやタブレットから買い物をする時代。こうしたEコマース市場の拡大に伴い、オンライン本人認証やオンライン決済の場面が増加している。Eコマースサイトの利用者だけではなくEコマースサービスを提供する企業にとってもセキュリティに対する脅威は増大していると言えるだろう。
誰もが敏感な個人情報の漏えいばかりでなく、ID・パスワードなどを盗み取られて、それを使ったなりすましによる悪用の可能性も高い。とくにスマートフォンなど携帯端末が1人1台以上を保有する時代となり、スマートフォンからEコマースサイトにアクセスして買い物をするということが特別なことではなくなっている現在、個人情報漏えいやなりすましといった問題は消費者だけの問題にとどまらず、Eコマースサービスを提供している企業にとってもセキュリティの弱さといったネガティブなイメージで捉えられる可能性もゼロとは言えない。それを回避するために、サービサー側はパスワードの複雑化で対応せざるを得ないが、ユーザ側の利便性が低下してしまう。もはやID・パスワードによる認証では解決困難な状況と言えよう。セキュリティを確保しつつ、より使いやすい認証手段が求められている。
注目を集めるFIDOとは
一般的なID・パスワードによる認証では、例えば端末の盗難・紛失にあえば端末に記憶させた情報を盗用される危険があり、そのほかにもID・パスワードを送信した段階でセッションの覗き見やデータロガーの悪用による情報漏えい、サーバに攻撃を仕掛けデータを盗むといったセキュリティインシデントが存在する。そこでパスワードのいらない世界を実現するオンライン認証の新しい技術として注目されているのがFIDOだ。
FIDOとは「Fast IDentity Online」の略。国際標準の認証規格を目指して2012年に提唱され、推進団体であるFIDOアライアンスによって規格が策定されている。生体認証などの技術を使い、従来のID・パスワードを補完・代替するオンラインアクセス向けのセキュア認証方式の普及を図っている。FIDOアライアンスには、GoogleやVISA、Microsoft、PayPal、intelなどカード会社や大手IT企業など263社(2016年11月30日時点)が参加しており、富士通は2016年8月にスポンサーメンバーとして参加している。
次世代の認証方式と位置付けられているFIDOは、認証に生体情報を直接利用するのではなく、ユーザーの生体情報から生成した秘密鍵・公開鍵のペアを使って暗号化した認証用の情報で認証する仕組みで、生体情報は端末のセキュアな領域に保管され、外部からのアクセスは不可能となっている。また、認証サーバには生体情報などの重要な情報は保管せず、ユーザーの公開鍵のみが保管されるため、万が一認証サーバが攻撃されても、個人情報の漏洩リスクは発生しない。さらに、FIDO認証時は端末とサーバがお互いを認証した上で通信を開始するため、なりすましは排除される。こうした仕組みを通じて認証した結果のみがEコマースサイト側に送られることで安全性を高めている。