WebAuthnがWeb標準化!普及の鍵はID連携

WebAuthn ITニュース・時事・流行
米国時間3月4日に、World Wide Web Consortium(W3C)とFIDO Allianceより、「Web Authentication(WebAuthn)」が正式にウェブ標準となることが発表されました。

■WebAuthnとは

WebAuthnとは、ID/パスワードに依存しないユーザー認証方法であり、指紋認証や顔認証といったバイオメトリクス、PINコード、セキュリティキーデバイスを使ってWebサービスにログインできるようにする仕組みです。
たとえば指紋認証を例にあげると、デバイスに指紋情報を登録すると対応した公開鍵と秘密鍵が作成され、Webサービスのサーバーには公開鍵が保存されることとなります。
秘密鍵はデバイス上で保存されており外部に流出することはなく、Webサービスを利用する際には指紋認証で本人確認を行った後、サービスのサーバーへ秘密鍵で署名して返送することで照合されます。

■WebAuthnのメリット

一般的にWebサービスでは、ユーザー認証に、ユーザーIDとパスワードの入力を用いています。
しかし、この方法では覚えやすいという理由で特定されやすいパスワードが使われたり、複数サービスで同じパスワードを使い回して利用されるなど、危険性が高いことが問題としてあがっていました。
データ漏洩の81%が、パスワードの流出や盗用が原因であるとも言われています。
そこで、オンライン認証技術の標準化を目指す非営利団体であるFIDO AllianceとW3Cは、WebAuthnという新たなオンライン認証技術の標準化を進めてきました。
Webサービスにおける認証方式がWebAuthnに代わることで、パスワードなどの個人情報の流出やブルートフォースアタック(総当たり攻撃)の脅威が解消されることとなります。
WebAuthnの標準化は、私たちサービスの利用者にとってもメリットが多いです。
今後は、USBポートに物理キーを差し込んだり、認証用センサーに指を置くといった操作によって、ユーザー認証が可能となります。
複雑で長ったらしいパスワードをいくつも覚えておかなければならないことから解放され、ログインの度にパスワードを入力する手間も省かれることになるのです。

■WebAuthnへの対応状況

現時点で、WebAuthnは各主要OSブラウザで正式にサポートされています。

対応OS

Windows10、Android、iOS

対応ブラウザ

GoogleChrome、Firefox、Edge、Safari

対応サービス

W3Cがウェブ標準化を謳ったといっても、対応するかどうかは個々の事業者やサービスプロバイダに一任されています。
現在、世界中で利用されているDropbox、Facebook、GitHub、TwitterなどはすでにWebAuthnに対応済みです。
正式なウェブ標準となったことで、今後、他のWebサービスでも対応が進んでいくことは間違いないでしょう。

■WebAuthn普及のカギはID連携

今後、WebAuthnにおよる認証方式が普及していくことは間違いないと予想されますが、とは言え各サービスプロバイダが各自で実装するには難しい点もあります。
WebAuthnを実装コストもかかりますので、Webサービスを提供している中小企業やベンチャー企業が各自で対応するのはあまり現実的ではありません。
ここで考えるべきは、ID連携です。
Goolge、Microsoft、YahooなどWebAuthnに対応しているID認証基盤と連携することで、各サービスへログインできる仕組みです。
ID認証プロバイダとして機能を担うことができるのは、GAFA(GAFMA):Google、Apple、Facebook、Microsoft、Amazon、などの世界中にサービス展開している企業であることは間違いないでしょう。
ID認証基盤を制する企業は、今後さらに伸びていくことが予想されます。今後の動向が注目されます。

コメント