オンラインでパスワードを管理することが、これまで以上に重要になっている。そして同時に、その変化についていくのもまた難しくなっている。

こうした状態は決して好ましいものではない。そこでオープンソースの認証標準を開発するコンソーシアムのFIDOアライアンスは、シームレスなログインを実現するために、セキュアなログインプロトコルを拡張しようとしている。

それにより、さらに多くのデジタルサーヴィスでパスワードを使う必要がなくなる。しかもAndroidへの対応によって、10億台の端末で実現するのだ。

グーグルとFIDOアライアンスは2月25日（米国時間）、Androidが「FIDO2」プロトコルの認定を取得したと発表した。これにより、Android 7.0以降で動作する端末の大半が、「Chrome」などのモバイルブラウザーでパスワードなしのログインに対応することになる。

「FIDO2」認証のメリット

すでにAndroidは、スマートフォンの指紋センサーや「YubiKey」のようなハードウェアドングルを使って認証する、セキュアなFIDOログインの選択肢をモバイルアプリに提供している。FIDO2のサポートにより、モバイルブラウザー上で動作するウェブサーヴィスにも、アカウントにログインしようとするたびにわざわざパスワードを入力することなく、簡単な認証方法を使えるようになる。

「グーグルは、現在のウェブ認証における最大の問題だと考えているフィッシング詐欺に対応するため、ずいぶん前からFIDOに参画してきました」と、グーグルで認証とセキュリティに取り組むプロダクトマネージャーのクリスチャン・ブランドは言う。「FIDO2に向かうのは自然な流れでした。ユーザーはすでにアプリにログインするために端末のセンサーを使うことに慣れています。そこで、その技術をウェブサイトで利用可能にするにはどうすればいいのか、ということです」

開発者は、製品のニーズに合ったさまざまなかたちでFIDO2認証を実装できる。このすべてにおいて、サインイン処理中にユーザーの操作（指紋の読み取りやドングルの提示）を要求することにより、フィッシングからの保護を強化する。このため攻撃者は、ユーザー名とパスワードだけの場合のようにはいかない。

Androidへの採用という大きな一歩

FIDO2と、FIDOアライアンスとワールド・ワイド・ウェブ・コンソーシアム（W3C）によってつくられた新しいウェブ標準「Web Authentication（WebAuthn）」は、すべての主要なブラウザーや「Microsoft アカウント」などへのサインインに採用され、普及が進んだ（ただしアップルの「Safari」を除く。ただし同社はSafariでもサポートするとほのめかしている）。

そのなかでも、Androidによる採用は大きな一歩である。なぜなら、モバイル開発者の多くがパスワードなしのログインを提供可能になるからだ。グーグルのプロダクトマネージャーであるブランドは、開発者がFIDO2を使うことでアプリ側に認証機能をもたせたり、その逆によってモバイルブラウザーの動きを軽くしたり、ウェブでパスワードなしのログインを利用可能にしたりすることも可能になると指摘する。

FIDOアライアンスのチーフマーケティングオフィサー、アンドリュー・シキアーは、次のように語る。「ブラウザーに実装されるところまで到達しましたが、いまわたしたちが思い描いているのは、FIDO技術がより広いユーザーの基盤に組み込まれていくことなのです」

Androidはオープンソースであり、端末メーカーによってそれぞれ異なる仕様で導入される可能性がある。このためプラットフォームにしてみれば、世界中の端末を最新のOSや機能を搭載した状態に保つことが課題になっている。

しかしブランドによると、グーグルは「Google Play Services」と呼ばれる仕組みを通じて、FIDO2のアップデートを配信しているという。これを使うことで、Android 7.0以降が動作するほぼすべての端末において、メーカーによる作業や修正なしにアップデートを配信できる。つまり、Androidの大規模なユーザー基盤の多くにアップロードを届けられることを意味する。

使いやすいウェブセキュリティ体験がやってくる

FIDO2のサポートにより、Androidはドングル、NFC、Bluetoothを使ったセキュアなログインに対応する。なかでもグーグルは、指紋認証が最も簡単でユーザーに好まれると考えている。

そしてグーグルとFIDOアライアンスによると、いずれの形態でも指紋データは常に端末側にローカルに保存されており、外部に送信されたりすることはないと強調している。センサーは指紋データから電子署名を生成し、それがFIDO2の認証手順に用いられる。

「FIDO2への対応により、アカウント所有者の個人情報が非常に強力に保護されることになります」と、「Open Crypto Audit Project」のディレクターであるケン・ホワイトは言う。「わたしたちは、ペイパルを装った『paypa1.com』といったサイトにだまされるかもしれません。しかし、FIDOの鍵なら、そんなことはありません。セキュリティのコミュニティーでも、WebAuthnは最も強力なアカウント保護技術のひとつであると考えられています」

FIDO2が活用されることで、ユーザーにとって非常に使いやすいウェブセキュリティ体験がもたらされる。しかし、伝統的なパスワードと同じように普遍的でどこでも使えるようなものになるには、時間がかかるだろう。

また専門家は、単一の認証手法がいかに強固なものであれ、有効につくられた第2の認証要素と組み合わせて初めてセキュアになるのだと、警鐘を鳴らしている。残念ながら、パスワードが不要であるはずの理想郷においてさえ、アカウントのセキュリティについての特効薬は存在しないのだ。