パスワードレスログインの正式なWeb標準「WebAuthn」とは
2019 年 3 月、W3C(World Wide Web Consortium)W3Cは、「WebAuthn」がパスワードレスログインの正式な Web 標準になったと発表しました。「WebAuthn」は、幅広いアプリケーション(Microsoft Edge、Chrome、Firefox、モバイルアプリなど)でサポートされており、この数年の間にさらに普及する Web 認証だと考えられています。
このページでは、現在の認証方法の弱点と「WebAuthn」のメリット、「WebAuthn」の最適な認証フローについて詳しくご説明します。
現在の Web 認証方法の弱点
「WebAuthn」が開発された理由とその多様な機能について説明する前に、まずはユーザー認証の歴史と、現在の方法の弱点を理解しておきましょう。
パスワード資格情報
ユーザー名とパスワードは、誰もが使い慣れている Web サービスなどの認証方法です。一般的なユーザーにとって、このフレームワークはよく目にするわかりやすいものですが、アメリカ人の 5 人に 1 人はパスワード資格情報を盗まれてアカウント乗っ取り(ATO)の被害に遭っていると言われています。エンドユーザーが平均 130 個のオンラインアカウントを持っていることを考えれば、企業は、自社に重大な影響が出る前にユーザー認証フレームワークを見直す必要があるでしょう。
2 要素認証
次に登場した資格情報認証は 2FA、つまり 2 要素認証(*)です。しかし、顧客アカウントの場合、一般的な安全性の低い 2 つ目の要素(SMS など)はフィッシング攻撃に対して脆弱であることが立証されています。2 要素認証の弱点を踏まえ、「WebAuthn」では、高度なフィッシング攻撃に対応できるソリューションを実現でき、同時に顧客エクスペリエンスを向上させることができます。
*Oktaの多要素認証(アダプティブMFA)についてこちら
Web 認証の新たなグローバル標準「WebAuthn」とは
「WebAuthn」は、Web 認証の新たなグローバル標準で、登録済みのデバイス(スマートフォン、ノートパソコンなど)を認証要素として使用することで、Web アプリケーションの認証を簡易化し安全性を強化するブラウザベースの API です。高度なフィッシングからユーザーを保護するため、公開鍵暗号化方式(Wikipedia)を採用しています。
「WebAuthn」のメリット
「WebAuthn」を使うメリットは、顧客、プロダクトオーナー、セキュリティチーム、サポートチームなど、影響を受けるユーザー別に3 つに分類することができます。
では、それぞれ詳しく見ていきましょう。
-
顧客エンゲージメントの強化・向上
顧客 - スムーズなログインエクスペリエンス
「WebAuthn」は、デバイスベースの Web 認証を使用するため、パスワードは完全に不要です。これにより、顧客はログインの際にユーザー名とパスワードを思い出したり、1 段階上の 2 つ目の要素のためにワンタイムパスワードをリクエストしたりする必要がなくなります。認証フローはとてもシンプルで、エンドユーザーは登録済みのデバイスさえあればログインすることができます。
プロダクトオーナー - 認証までの時間、製品化までの時間の短縮
前述の通り、「WebAuthn」により、認証におけるパスワードは不要となります。これにより、プロダクトオーナーは、アプリケーションの使い勝手と、顧客にとってのあらゆる障害を取り除くことにフォーカスすることができるようになります。「WebAuthn」は、ユーザーのスムーズなログインエクスペリエンスに貢献します。
さらに、「WebAuth」により複雑なパスワード設定について考える必要がなくなるため、プロダクトオーナーは、パスワードの管理・保存のための複雑なアーキテクチャを開発する必要がなくなり、製品化までの時間を大幅に短縮することができます。
-
セキュリティ体制の強化
顧客 - 信頼の維持
情報漏えいが急増した現在、顧客の信頼を維持することが非常に重要です。顧客は、自身の個人情報が安全が保たれているかどうかを知りたがります。「WebAuthn」を利用すれば、安全性の高い Web 認証方法を実装でき、パスワードに関するリスクがなくなります。
セキュリティチーム - パスワードに固有の脆弱性の解消
「WebAuthn」は、ユーザー名やパスワードなどの知識ベースの認証に依存しません。つまり、エンドユーザーが所有する登録済みデバイスを利用します。パスワードに比べて、物理的なデバイスは盗み取ることが比較的難しいため、なりすまし認証のリスクが低下につながります。
-
組織のアプリケーションサポート負荷の軽減
サポート部門 - 多要素のサポートサイクルを削減
「WebAuthn」独自の機能により、この標準がログインのメインの方法として使用されます。「WebAuthn」を実装することで登録される要素の数が減り、実質的に「WebAuthn」だけになるため、サポートサイクルを軽減することができます。
「WebAuthn」の仕組み
ここまでに、パスワードが不要になることが「WebAuthn」の主なメリットであることをご紹介してきました。では、このオープン標準はどのようにこれを実現しているのでしょうか?「WebAuthn」は、認証システム、ブラウザ、Web サーバーという 3 つのメインコンポーネントによってこれらのメリットを実現します。
パスワードなしでユーザーを認証するプロセスは、次の 6 つのステップで構成されます。
ステップ 1: ユーザーがブラウザを開き、ログインを開始する
ステップ 2: Web サーバーが一意のチャレンジを作成し、認証システムに送信する
ステップ 3: 認証システムがチャレンジとそのドメイン名を受け取る
ステップ 4: 認証システムがユーザーから生体認証の同意を受け取る
ステップ 5: 認証システムが暗号署名を生成し、Web サーバーに返す
ステップ 6: Web サーバーがユーザーログインの一意のチャレンジに対して署名を確認する
技術仕様の詳細については、W3C の WebAuthn (外部サイト・英語)をご覧ください。
パスワードレスへの移行
Web 認証の世界はパスワードレスへと移行しています。「WebAuthn」によって認証エクスペリエンスが向上すれば、アカウントの乗っ取りやユーザーエクスペリエンスの低下といった問題に悩まされることはなくなるのです。
Okta では、顧客の認証に関する課題を解決するセキュアなパスワードレスソリューションの開発に注力してきました。「WebAuthn」のような認証標準への対応に取り組むことで、パスワードレス戦略の普及を促しています。それだけでなく、多くの組織にとっての課題は、登録の復元プロセスの安全性を確保することと、サポートされていないデバイスで安全な別の認証方法を提供することだということも、 Okta は理解しています。
Okta と各種アプリケーションの統合については、アプリ統合のページをご覧ください。