大手が揃ってパスワードレス認証拡大へ
Apple、Google、Microsoftが安全で簡易でかつ安全性の高いパスワードレス認証を、デバイスやプラットフォームの壁を超えて提供可能にするよう、サポートを拡大する計画を発表しました。以下、リリース文。
セキュリティリスクが高まっているなか、3社が足並みを揃えてより便利で安全な仕組みを提供するために協力するというのは頼もしいことです。2023年にかけて利用可能になる予定とのこと。
FIDO認証とは?
※上記画像はFIDO ALLIANCEページより引用しています。
サービスを利用する際に、最もお手軽な認証方法としてはID(ユーザー名)とパスワードによる認証がありますが、最近ではあまりにもたくさんのサービスがあり、すべてのパスワードを覚えられません。そこで、短くて覚えやすいパスワードを複数サービスで使いまわしてしまうという問題が発生します。そうすると利用しているいずれかのサービスでパスワード情報が漏れてしまった際に、他に利用しているサービスにも不正ログインされてしまいます。その対策としてIDとパスワード、さらにログイン時に自分が利用しているスマートフォンやメールなどへの認証コード送信など、別の要素をログインに利用することで安全性を高めようという仕組みが多要素認証です。
この多要素認証をさらに進化させ、パスワード無しでWEBサービスへのログイン認証をしてしまう仕組みがFIDOを利用したパスワードレス認証です。現在はFIDO ALLIANCEで決められたFIDO2の仕様に基づいて認証します。
FIDO認証も本人を確認する複数要素の組み合わせで本人認証します。パスワードの代わりにスマートフォンやUSBキーなどのデバイス、そこに生体認証を組み合わせたりといった認証になります。ですので、それら認証に利用するデバイスが手元に無いと、サービスへのログインは出来ません。
セキュリティの仕組みをよく知る事が必要
セキュリティ被害の多くは、ユーザーが仕組みをよく知らずに利用していることから発生しています。最近ではセキュリティ被害から身を守る仕組みも高度化されていますが、どのように守れていて、何をしてはいけないかユーザーが学ぶ必要があります。
例えばAndroidスマホですと、Google Playストア以外のサイトからダウンロードしたアプリをインストール出来るように設定変更が可能ですが、そうすることでスマートフォン内の情報を盗み取るような動作をする、悪質なアプリもインストールしてしまう恐れがあります。
また、安易にメール内に記載されているURLをタップして悪質なサイトに誘導されるといったことも発生します。
最近のPCやスマートフォンに外部から強引に侵入するのは非常に困難です。犯罪者は不正メールやアプリ等でアプローチし、中から開けてくれるのを待っているのです。いくら頑丈な壁に守られたお城でも、中から開けてしまっては入り放題です。そのような認識を持ってスマートフォンやPCは利用すべきです。
IPA(情報処理推進機構)提供の情報セキュリティ動画で勉強
IPA(情報処理推進機構)が情報セキュリティについて学ぶことが出来る映像コンテンツを、以下のサイトに多数公開しています。
情報機器へのセキュリティ被害を受けると、自分が被害を受けるだけではなく、自分のPCなどを経由して他者への犯罪に利用されたりといった恐れもあります。自分には見覚えの無い罪で取り調べを受けるなんてこともあり得ます。
どういったリスクがあるのか。最近のネット犯罪にはどのようなものがあるのか。こういったコンテンツなども活用し、最低限の知識はつけましょう。
