Eコマースサイトの利用者の増大が続くだけでなく、オムニチャネル化でEコマースサイトや店舗を行き交う消費者も増えている。サービスを提供する流通サイドはID・パスワードの安全な管理という負担が伴い、消費者も複数のパスワードを覚えるのに負担を感じて、同じパスワードを使い回し、それが情報漏えいやなりすましといったセキュリティリスクをもたらす。この対策として、富士通はオンライン認証の国際規格FIDO(ファイド)に準拠した「FUJITSU IoT Solution 生体センサー認証ソリューション オンライン生体認証サービス(以下、オンライン生体認証サービス)」の提供を4月からスタートする。
流通業界ではオムニチャネル化、Eコマース市場の拡大が続く
誰もが気軽にスマートフォンやタブレットから買い物をする時代。こうしたEコマース市場の拡大に伴い、オンライン本人認証やオンライン決済の場面が増加している。Eコマースサイトの利用者だけではなくEコマースサービスを提供する企業にとってもセキュリティに対する脅威は増大していると言えるだろう。
誰もが敏感な個人情報の漏えいばかりでなく、ID・パスワードなどを盗み取られて、それを使ったなりすましによる悪用の可能性も高い。とくにスマートフォンなど携帯端末が1人1台以上を保有する時代となり、スマートフォンからEコマースサイトにアクセスして買い物をするということが特別なことではなくなっている現在、個人情報漏えいやなりすましといった問題は消費者だけの問題にとどまらず、Eコマースサービスを提供している企業にとってもセキュリティの弱さといったネガティブなイメージで捉えられる可能性もゼロとは言えない。それを回避するために、サービサー側はパスワードの複雑化で対応せざるを得ないが、ユーザ側の利便性が低下してしまう。もはやID・パスワードによる認証では解決困難な状況と言えよう。セキュリティを確保しつつ、より使いやすい認証手段が求められている。
注目を集めるFIDOとは
一般的なID・パスワードによる認証では、例えば端末の盗難・紛失にあえば端末に記憶させた情報を盗用される危険があり、そのほかにもID・パスワードを送信した段階でセッションの覗き見やデータロガーの悪用による情報漏えい、サーバに攻撃を仕掛けデータを盗むといったセキュリティインシデントが存在する。そこでパスワードのいらない世界を実現するオンライン認証の新しい技術として注目されているのがFIDOだ。
FIDOとは「Fast IDentity Online」の略。国際標準の認証規格を目指して2012年に提唱され、推進団体であるFIDOアライアンスによって規格が策定されている。生体認証などの技術を使い、従来のID・パスワードを補完・代替するオンラインアクセス向けのセキュア認証方式の普及を図っている。FIDOアライアンスには、GoogleやVISA、Microsoft、PayPal、intelなどカード会社や大手IT企業など263社(2016年11月30日時点)が参加しており、富士通は2016年8月にスポンサーメンバーとして参加している。
次世代の認証方式と位置付けられているFIDOは、認証に生体情報を直接利用するのではなく、ユーザーの生体情報から生成した秘密鍵・公開鍵のペアを使って暗号化した認証用の情報で認証する仕組みで、生体情報は端末のセキュアな領域に保管され、外部からのアクセスは不可能となっている。また、認証サーバには生体情報などの重要な情報は保管せず、ユーザーの公開鍵のみが保管されるため、万が一認証サーバが攻撃されても、個人情報の漏洩リスクは発生しない。さらに、FIDO認証時は端末とサーバがお互いを認証した上で通信を開始するため、なりすましは排除される。こうした仕組みを通じて認証した結果のみがEコマースサイト側に送られることで安全性を高めている。
クレジット、窓口サービス、チケットレスなど幅広い利用が期待される
次世代の認証技術を搭載し、サービスとして構築支援・運用を活用できるのでECサイトばかりではなく、店舗でもクレジットカードや窓口での確実な本人確認、チケットレスサービスやスマートキー、オンラインゲーム、ネットオークションでの認証などにも利用することが可能だ。FIDOならば、生体情報を使用するため本人認証だけでなく、使用する端末が本物であることの証明にもなるため、なりすましにより他の端末からアクセスすることも防御できる。また、将来的な構想として、デバイス間認証への適用が検討されている。IoT分野でもFIDO認証が広がっていくと期待されている。
富士通はFIDO対応サーバ、ソフト、クラウド環境整備、開発支援までトータル提供
富士通が提供開始する「オンライン生体認証サービス」は、このFIDOに準拠した強固なセキュリティ構築をサポートする。まずFIDOの導入に必要なFIDO対応のクラウド環境、クライアントアプリケーションへの組み込みに必要となるソフトウェアの開発キット、および開発支援サービスなどをトータルで提供する体制を整えている。
FIDOサーバについては、FIDO導入に必要なアプリケーションを提供。FIDOクライアントおよび開発支援の内容は、スマートデバイスやセンサーに関して富士通が保有する技術を活用し、クライアントアプリケーションへの組み込み支援を行う。生体認証センサーを搭載していないスマートフォンでも標準搭載のカメラで実現可能な生体認証を組み込むこともできるため、Android OS および iOS搭載のスマートフォンを広くカバーできる。もちろん一連の認証機能は富士通が提供するセキュアなクラウド環境を利用している。
この「オンライン生体認証サービス」を活用することで、サービス提供側は認証に必要な生体情報を保有管理する必要が無く、しかも低コストでセキュアなオンライン認証システムの構築が可能になる。それと同時に、アクセスする消費者は生体認証デバイスの有無に関わらず、手持ちの端末で利用することが可能になるだけでなく、面倒なパスワード管理や入力から解放されることになる。
富士通では「オンライン生体認証サービス」を、「FUJITSU Digital Business Platform MetaArc(メタアーク)」で展開するIoTソリューションの一つとして、2018年度までに1000万IDの獲得を目指しているほか、今後、IoTの普及に対応して様々なデバイスの認証に展開していく考えだ。
製品情報サイト(FUJITSU IoT Solution 生体センサー認証ソリューション オンライン生体認証サービス)