W3C、WebAuthnを正式勧告。ついに生体認証の時代に突入!

未改修

 

Engadget | Technology News & Reviews
Find the latest technology news and expert tech product reviews. Learn about the latest gadgets and consumer tech produc...
www.engadget.com

 

年明けに偶然的に指紋認証キットを見つけて、面白かったので仕入れたのが2ヶ月前。
なんという絶好のタイミングでしょう。ついにW3CがWebAuthnを正式に勧告しました。
これから間もなく、指紋や顔でログインできる生体認証の時代へ突入することになります。

 

当ブログはパソコン初心者向けを掲げているので、時事ニュースも分かり易く。
まずW3Cというのは、ホームページの標準規格を策定する国際的な団体です。
例えばホームページというのはHTMLというプログラム言語風なものを使って製作していくのですが、このHTMLは国際標準としてW3Cが策定しています。EdgeやGoogle Chrome、Firefoxなどのブラウザは、このW3Cが策定した内容に準拠して開発されるので、どのブラウザでホームページを見ても、だいたい同じような感じで見られるというわけです。

WebAuthnというのは「Web Authentication」の略語で、生体認証をインターネット上で実現するための約束事をまとめた標準規格のことです。
WebAuthnは、FIDO Alliance(ファイド)という業界団体が策定しました。
これまでインターネットでログインするときは、どこもパスワードを入力してログインしていたわけですが、そのパスワードがいい加減で、使い回しも多くて、実は全然安全じゃないことが問題になっていました。
そこで、もういっそのことパスワード制を廃止してしまって、指紋認証や顔認証といった、いわゆる「生体認証」と呼ばれるものへ置き換えてしまった方が良いのでは……という話になり、FIDO Allianceで標準規格を策定していました。

そこへこのたび、
インターネットの団体W3Cが、
生体認証の団体FIDO Allianceの策定したWebAuthnを、
インターネットの標準規格としても認定し、正式に勧告を行った、というのが今回のニュースの、凄く大雑把なあらましです。

 

今回勧告となったのは、WebAuthnと呼ばれる、ホームページ上で指紋認証や顔認証などの生体認証を利用できるようにするための規格部分です。
順を追って説明していくために、例えば某通販サイトで買い物をする場合で説明してみようと思います。

まず、カートに入れた商品を購入しようとすると、アカウントへのログインを求められます。
通常、ここでメールアドレスとパスワードを入力すると思いますが、
新しい技術では、代わりに指紋認証や顔認証を行います。

では、例えば指紋認証を行うためには、当然指紋を読み取るための機器が必要です。
スマホの多くには、指紋の読み取り機器が付いていますね。
また、一部のパソコンにも指紋読み取り装置が搭載されている場合があります。
またはリニーズのTE-FPAのような、USBで接続する機器を後付けで買ってくる方法もあります。

これらのことを認証器と呼んでいますが、これら認証器と接続されたパソコンやスマホの中で認証を行い、「合否」の結果を取得する部分のことをCTAPと呼んでいます。CTAPは指紋のデータは送りません。あくまで「合否」のみです。
CTAPでは認証器側で合否を認定し、合否結果だけを外部に送信することになるため、もし途中でハッキングを受けたり、フィッシングサイトなどに引っ掛かった場合でも、個人を特定する情報などは極めて少ないため、漏洩に対する耐性は極めて高いと言えます。

さらに、このデータをGoogle Chromeなどのブラウザを経由して、そこからホームページ側(正しくはサーバ側)へと送信し、確認がとられ、間違いがないようであればログインが実行されるようにできています。
このホームページ側の受け入れ部分での仕組みをWebAuthnと呼んでいて、今回のW3Cは、この部分の標準的な規格を決定・勧告したというお話しです。

ちなみにこのホームページ側で一体なにを確認しているのか……というと、その通販サイトに初めてアカウントを作成するときに、パソコンまたはスマホなどの機器を登録することが必要になります。例えば「自宅のパソコン」「個人のスマホ」「会社のタブレット」という具合です。
つまり、先に説明したように「合否」のデータがホームページ側に送られた際、「山田太郎君の指紋認証は合格。登録した “自宅のパソコン” から送信」という両方の確認が取られ、ログインが成立するという訳です。

そのため、例えばスマホを落としただけでは認証を破られる心配はありません。
サイト上で個人情報が流出した場合も、向こうで指紋を保存しているわけではないので、その点も安心です。
ただし、他人のパソコンやスマホで買い物をすることはできなくなるでしょう。
逆に言えば、「子どもがイタズラして買っただけだ。キャンセルする」というのは通用しなくなると言うことです。

このCTAPとWebAuthnの仕組みを「FIDO2.0」と総称しています。
恐らく今後頻繁にネットのニュースで出てくると思うので、だいたいこんな話なんだ、という程度にご理解いただけると良いかと思います。

 

すでに幾つかのブラウザの最新版では、このFIDO2.0に対応しているので、今後W3C勧告でショッピングモールや通販サイトが対応してくるようになると、いずれパスワードを必要としない、ストレスフリーな時代がやってくるのだと思います。
あと一歩!

コメント

タイトルとURLをコピーしました