カードNavi, カードセキュリティ最新情報, カードセキュリティPCI DSS, カード新着情報, トップページ用注目ニュース, ペイメントニュース, ペイメント新着情報

スマホのウェブブラウザー上で指紋認証によるログイン開始、国内企業唯一のFIDO2認定

2018年10月24日7:30

ヤフー（Yahoo! JAPAN）は、2018年9月に国内企業で唯一認定を取得した、生体認証デバイスなどを利用して安全なログインを実現する規格「FIDO（ファイド）2」に対応した。また、2018年10月23日から、Androidスマートフォンのウェブブラウザー「Google Chrome」上において、ヤフーのサービスに指紋認証などの生体認証を使用してログインできるようになった。

「Yahoo!JAPAN ID」のパスワード再設定は日に約1.5万件
SMS認証などパスワードレスの提供に取り組む

ヤフーでは、現在、100以上のサービスを提供しており、「Yahoo!JAPAN ID」を通じてユーザーに応じた活用を促進している。また、ログインサービスは、マルチサービス、マルチデバイス、マルチユーザーに対応。2018年6月現在、Yahoo! JAPANのログインユーザー数は4,433万となり、前年同月比約12％増となった。さらに、ログイン回数は月間1億3,000万回超となり、1ユーザー当たりのログイン数は月平均3回となるそうだ。

左からヤフーサービス統括本部 IDソリューション本部長/FIDO Japan Working Group共同副座長菅原進也氏、ヤフーサービス統括本部 IDソリューションユニットマネージャー伊藤雄哉氏

ヤフーでは、パスワードはセキュリティおよびユーザビリティの面で課題があるとした。セキュリティ面では、外部サービスでの漏えいによる不正アクセス被害の増加、ユーザビリティではパスワードを覚えられない、忘れる、入力しづらいといった点がある。さらに、第三者が不正アクセスを試みる「リスト型攻撃」は、ユーザーが他サービスで同一のパスワードを設定していると守れない点などが課題となっている。

実際、ヤフー利用者の中にもパスワードに関して課題を感じているユーザーは数多く存在しており、「Yahoo!JAPAN ID」のパスワード再設定は日に約1.5万件ある。そのため、ヤフーでは、リスト型攻撃による不正アクセスを防止でき、パスワードを覚える必要のない“パスワードレス”ログインの普及を推進しており、2017年4月に、Yahoo! JAPAN IDを取得する新規ユーザーに対して、パスワードではなくスマートフォンのSMSやメールに送られる確認コードでログインできる機能を提供開始した。また、2018年5月にはすでに設定しているパスワードを無効とし、同じくSMSやメールで送られる確認コードによってログインできる機能を提供している。

ヤフーサービス統括本部 IDソリューションユニットマネージャー伊藤雄哉氏は、「パスワードレスとすることで、ユーザーがパスワードを覚える必要がなくなります。また、再設定の行為もなくなり、セキュリティの課題であるリスト型攻撃も防げると考えています」と説明した。

月間約450万ユーザーがログインに確認コードを利用
新たに指紋認証などの生体認証が使用可能に

現在、ヤフー利用者で、ログインに確認コードを利用する月間ログインユーザーID数は、約450万に達しており、一定の成果は感じているが、一方で「文字入力は必要」「待ち時間が発生」といった面が課題として残った。

ヤフーが新たに提供開始する、指紋認証などの生体認証を使用したログインは、生体認証によるセキュリティと、利用者のユーザビリティを両立できるサービスであると期待している。ヤフーでは、2018年9月に、生体認証デバイスなどを利用して安全なログインを実現する規格「FIDO（ファイド）2」に国内企業でいち早く対応している（世界では計15社が認定取得済み）。FIDO2への対応によって、パスワードやSMS・メールに送信される確認コードを入力する代わりに、指紋認証などの生体認証が使用可能となる。

Androidのウェブブラウザー「Google Chrome」から対応開始
ヤフーのブラウザ利用者に安心・安全で簡単なログインを提供へ

まずは、Androidのウェブブラウザー「Google Chrome」から対応。ユーザーは、Yahoo! JAPAN IDにログインし、生体認証の設定に使用するAndroidスマートフォンを登録することで利用可能だ。

FIDO2は、ウェブブラウザーを通じてFIDO認定を実現するために、FIDOアライアンスとW3CがWeb認証（Web Authentication）仕様を共同で策定したもの。ヤフーサービス統括本部 IDソリューション本部長/FIDO Japan Working Group共同副座長菅原進也氏によると、すでにGoogle、Microsoft、Mozillaは、それぞれのウェブブラウザーでサポートを明言し、実装を開始しているそうだ。「FIDO2」の方式による認証は、一般的な生体認証のように、ユーザーの指紋情報などの生体情報をサーバーで登録・照合してログインする仕組みではなく、スマートフォンなどのデバイス上に生体認証を登録・照合し、照合結果のみをサーバーに送信してログインする公開鍵暗号方式のため、ヤフー側では生体情報が保存されないという。