最近、強力な認証プロトコルを設計・開発するFIDOアライアンスは、決済サービス指令2(PSD2)と呼ばれる今後の決済サービス規制に安全でない「スクリーンスクレイピング」プロトコルを導入することを提案したとして欧州委員会(EC)を批判した。
ECは、銀行がより安全なプロトコルを採用するまでの代替手段として、金融テクノロジー(フィンテック)企業の要請に応じてこのプロトコルの使用を許可したいと考えていました。しかし、FIDOは、このプロトコルが実質的に新しいEU指令の一部となるため、すべての銀行がより強力な認証方式を採用した後でも、企業は長年にわたりこのプロトコルを使い続けるだろうと警告しました。この状況は、数百万人もの銀行顧客を金銭窃盗の危険にさらす可能性があります。
FIDO独自の提案
FIDOアライアンス設立の主な目的は、あらゆるデバイスでユーザーが簡単に使用できる強力な認証プロトコルを設計・開発することでした。FIDOは現在、銀行・決済業界にもこれらのプロトコルの採用を推奨しています。
PSD2規則では通常、決済サービスにおいて、安全かつ異なる2つの認証要素が求められます。ただし、信頼できる実行環境(TEE)、セキュアエレメント(SE)、信頼できるプラットフォームモジュール(TPM)などの「別々のセキュア実行環境」が使用されている限り、単一のデバイスに2つの異なる認証要素を同時に実装することも認められています。
FIDO は、多くのデバイスがすでにこの要件に準拠しており、生体認証も使用していると主張しています。つまり、決済業界は決済アプリケーションに FIDO の既存の認証プロトコルのサポートをすでに実装できるということです。
あらゆる組織がFIDO認証プロトコルを自由に利用できます。銀行や決済サービスプロバイダーも、市販のFIDO準拠デバイスを受け入れることができます。FIDO認定製品はすべて相互運用性を備えているため、ユーザーはブラウザ内、セキュリティキー経由、あるいはスマートフォンでFIDO認証を利用できます。
より現代的な認証ソリューション
FIDOアライアンスは、多要素認証において「両方の長所を兼ね備えた」ソリューションを提供すると考えています。まず、FIDO認証プロトコルは公開鍵暗号に基づいているため、ユーザーは大規模なデータ侵害の際にハッキングされる可能性のあるサードパーティサーバーに認証情報を保存する必要がありません。ユーザーは秘密鍵を安全に保管するだけでよく、秘密鍵はYubikeyなどの安全なハードウェアトークン、またはノートパソコンやスマートフォンのSE/TEE/TPMに保存できます。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
FIDOは、プロトコルで生体認証をサポートすることで、認証におけるユーザビリティの問題にも対処しています。さらに、FIDOの生体認証プロトコルにはプライバシー保護機能が組み込まれているため、生体認証データは使用時に共有されることなく、常にローカルデバイス上に保存されます。
銀行や決済業界を含む大規模にFIDOプロトコルが採用されれば、指紋データや顔プロファイルを中央データベースに保存する可能性のある代替生体認証プロトコルへの対応から解放される可能性があります。これらのソリューションは現在、主に政府機関で使用されており、ハッキングされた場合、すべての生体認証データが漏洩する大きなリスクを伴います。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
