パスワードレスの正式なWeb標準 WebAuthn とは
2019 年 3 月、World Wide Web Consortium(W3C)は、WebAuthnがパスワードレスログインの正式な Web 標準になったと発表しました。WebAuthn は幅広いアプリケーション(Microsoft Edge、Chrome、Firefox、モバイルアプリなど)でサポートされており、この数年の間にさらに普及する Web 認証だと考えられています。
この記事では、現在の認証方法の弱点と WebAuthn のメリットについて説明し、WebAuthn の最適な認証フローについて詳しく見ていきます。
現在の Web 認証方法の弱点
WebAuthn が開発された理由とその多様な機能について説明する前に、まず、ユーザー認証の歴史と、現在の方法の弱点を理解しておきましょう。
パスワード資格情報
ユーザー名とパスワードは、誰もが使い慣れた Web サービスなどの認証方法です。一般的なユーザーにとって、このフレームワークはよく目にするわかりやすいものですが、アメリカ人の 5 人に 1 人はパスワード資格情報を盗まれてアカウント乗っ取り(ATO)の被害に遭っています。エンドユーザーが平均 130 個のオンラインアカウントを持っていることを考えれば、企業は、自社に重大な影響が出る前にユーザー認証フレームワークを見直す必要があるでしょう。
2 要素認証
次に登場した資格情報認証は 2FA、つまり 2 要素認証です。しかし、顧客アカウントの場合、一般的な安全性の低い 2 つ目の要素(SMS など)はフィッシング攻撃に対して脆弱であることが立証されています。2 要素認証の弱点を踏まえ、WebAuthn では、高度なフィッシング攻撃に対応できるソリューションを実現でき、同時に顧客エクスペリエンスも向上します。
Web 認証の新たなグローバル標準 WebAuthn とは
Web 認証の新たなグローバル標準です。WebAuthn は、登録済みのデバイス(スマートフォン、ノートパソコンなど)を認証要素として使用することで、Web アプリケーションの認証を簡易化し安全性を強化するブラウザベースの API です。高度なフィッシングからユーザーを保護するため、公開鍵暗号化方式を採用しています。
WebAuthn のメリット
WebAuthn を使うメリットは、顧客、プロダクトオーナー、セキュリティチーム、サポートチームなど、影響を受ける関係者に基づいて 3 つに分類することができます。
では、それぞれ詳しく見ていきましょう。
顧客エンゲージメントの強化・向上
顧客 - スムーズなログインエクスペリエンス
WebAuthn はデバイスベースの Web 認証を使用するため、パスワードは完全に不要になります。顧客にとって、これはログインの際にユーザー名とパスワードを思い出したり、1 段階上の 2 つ目の要素のためにワンタイムパスワードをリクエストしたりする必要がなくなることを意味します。認証フローはシンプルで、エンドユーザーは登録済みのデバイスさえあれば認証できます。
プロダクトオーナー - 認証までの時間、製品化までの時間の短縮
すでに述べたとおり、WebAuthn によりパスワードは不要となります。プロダクトオーナーはアプリケーションの使い勝手を重視し、一般に顧客にとってのあらゆる障害を取り除くことが第一の使命となります。WebAuthn は、ユーザーのスムーズなログインエクスペリエンスに貢献します。
さらに、WebAuthn により、複雑なパスワード設定について考える必要がなくなるため、プロダクトオーナーはパスワードの管理・保存のための複雑なアーキテクチャを開発する必要がなくなり、製品化までの時間を短縮できます。
セキュリティ体制の強化
顧客 - 信頼の維持
データ漏えいが急増した現在、顧客の信頼を維持することは非常に重要です。顧客は自身の個人情報を提供し、その情報が共有される際に安全が保たれているかどうかを知りたがっています。WebAuthn を利用すれば、安全性の高い Web 認証方法を実装でき、パスワードに関するリスクがなくなります。
セキュリティチーム - パスワードに固有の脆弱性の解消
WebAuthn はユーザー名やパスワードなどの知識ベースの認証には依存しません。つまり、エンドユーザーが所有する登録済みデバイスを利用します。パスワードに比べ物理デバイスは盗み取ることが比較的難しいため、なりすまし認証のリスクが低下し、セキュリティチームのメリットにつながります。
組織のアプリケーションサポート負荷の軽減
サポート部門 - 多要素のサポートサイクルを削減
WebAuthn 独自の機能により、この標準がログインのメインの方法として使用されます。WebAuthn を実装することでサポートサイクルを軽減できます。登録される要素の数が減り、実質的に WebAuthn だけになるためです。
WebAuthn の仕組み
ここまでで、WebAuthn の主なメリットはパスワードが不要になることであると理解できたと思います。では、このオープン標準はどのようにこれを実現しているのでしょうか?WebAuthn は、認証システム、ブラウザ、Web サーバーという 3 つのメインコンポーネントによってこれらのメリットを実現します。
パスワードなしでユーザーを認証するプロセスは、次の 6 つのステップで構成されます。
ステップ 1: ユーザーがブラウザを開き、ログインを開始する
ステップ 2: Web サーバーが一意のチャレンジを作成し、認証システムに送信する
ステップ 3: 認証システムがチャレンジとそのドメイン名を受け取る
ステップ 4: 認証システムがユーザーから生体認証の同意を受け取る
ステップ 5: 認証システムが暗号署名を生成し、Web サーバーに返す
ステップ 6: Web サーバーがユーザーログインの一意のチャレンジに対して署名を確認する
技術仕様の詳細については、W3C の WebAuthn をご覧ください。
パスワードレスへの移行
まとめると、Web 認証の世界はパスワードレスへと移行しています。WebAuthn によって認証エクスペリエンスが向上すれば、アカウントの乗っ取りやユーザーエクスペリエンスの低下といった問題は過去のものとなるでしょう。
Okta では、顧客の認証に関する課題を解決するセキュアなパスワードレスソリューションの開発に注力してきました。WebAuthn のような認証標準への対応に取り組むことで、パスワードレス戦略の普及を促しています。それだけでなく、多くの組織にとっての課題は、登録の復元プロセスの安全性を確保することと、サポートされていないデバイスで安全な別の認証方法を提供することだということも、 Okta では認識しています。
Okta と各種アプリケーションの統合については、統合に関する無料のホワイトペーパーをダウンロード してご覧ください。
Follow Jack Shepherd
