2021年2月12日9:30
パスワードを使わず漏えいリスクを低減、ログインをよりセキュアに
韓国に本拠地を置くフィンテック企業、KONAインターナショナルは、国際規格FIDO2に準拠したパスワードレス認証機能を搭載したIDカード「FIDO2カード」を開発、2021年4月以降、日本国内で本格的に供給を開始する。パスワードを使わず指紋認証により本人確認を行い、指紋データはサーバに置かずカード内に格納することで、ID情報が盗み取られる危険性を回避。コロナ禍によるテレワークの広がりなどによって、外部から社内システムにアクセスするシーンが急増する中、セキュアなログイン環境を保つ手段として、社員証などとしての利用のニーズが見込まれる。将来的には決済機能ともリンクさせ、汎用性の高いカードに育てていきたい考えだ。
パスワードレス認証のFIDO2に準拠し利便性と安全性を同時に実現
コロナ禍でテレワークが増えたことによって、社内システムへの外部からのアクセスが急増。これまで想定してこなかった事態に、各企業は新たなセキュリティ対策の構築に迫られている。
韓国に本拠地を置きICカード開発などを行うフィンテック企業、KONAインターナショナルでは、よりセキュアなログイン環境を提供するために、FIDO Alliance(ファイドアライアンス)が定めたWeb認証仕様、FIDO2に準拠した「FIDO2カード」の発行を開始する。
FIDO Allianceは高速なオンラインID認証(Fast IDentity Online)方法の確立を目指すグローバルな非営利団体で、パスワードレス認証を推奨、標準化している。KONAインターナショナル 日本事務所 カントリーマネージャー 笹井幸一郎氏は、「『FIDO2カード』はパスワードを使わず指紋認証により本人確認を行い、指紋データはサーバに置かずカード内に格納することで高いセキュリティを保ちます」と話す。
利用方法は次の通り。ユーザーは事前に公開鍵とカード内に格納された秘密鍵のペアリングを済ませておく。利用時に、ユーザーはパソコンに接続したリーダにカードを挿入、指紋認証により本人確認を行い、送付されたチャレンジコードとカード内の秘密鍵を使って署名を作成。サーバ側では公開鍵を用いて署名を検証し、ログインを許可する。
ユーザーをパスワードから解放
各種サービスにSSOでアクセス
ハッキング侵害の8割がパスワードに起因するといわれることから、パスワードを使わないことは強力なセキュリティ対策となる。同時にユーザーをパスワード管理から解放し、利便性を向上させることができる。
いったんFIDO2でログインすると、IDaaS(アイダース:Identity as a Service)を通じて各種サービスにSSO(シングルサインオン)でアクセスすることができる。KONAは、2020年12月にマイクロソフトが提供するクラウドプラットフォーム、Microsoft Azure(アジュール)のオフィシャルセキュリティキーベンダーの認定を受けており、「FIDO2カード」はAzureの環境下での使用が可能。Azure はマイクロソフトが運営するIDaaSであり、Azure Active Directoryで認証された後、各種サービスに連携することができる。
4月から本格的に導入を開始
当初はIDカードとしての利用を促進
※書籍「キャッシュレス・セキュリティガイド」より一部を紹介
