FIDO2とは
「FIDO2 とは」で検索するとたくさんの情報があるので、細かいことはこのブログでは紹介しませんが、FIDO2とは、WebAuthn(Web Authentication 略)というW3CとFIDOが定義する規格の総称です。WebAuthnはセキュリティが最大限担保されたものとされています。
この技術により、ユーザーのパスワードを管理することなく、ユーザー側がもつ端末などに格納される秘密鍵が認証に使われます。ユーザーは生体認証機能をもった端末やYubiKeyなどの外部端末を利用することが可能で、最もセキュリティ強度の高い手法と言われています。
最近公開されたAuth0のブログ「Not All MFA Is Created Equal(すべての多要素認証は同等ではない)」でも生体認証とFIDOの組み合わせがもっともセキュリティが強固であると記載されています。ここで記載があるとおり、「本人である確からしさ(Assurance)」が多要素認証においては重要であり、生体認証はもっとも「本人である確からしさ(Assurance)」が高いからです。
FIDO2/WebAuthn credentials and biometrics have the highest assurance level because they rely on cryptographic algorithms and inherent characteristics that are hard to break.
Not All MFA Is Created Equal(すべての多要素認証は同等ではない)
以下はDeepLでの翻訳です。
FIDO2/WebAuthnクレデンシャルとバイオメトリクスは、暗号アルゴリズムと解読が困難な固有の特性に依存しているため、最高の保証レベルを持っています。
Not All MFA Is Created Equal(すべての多要素認証は同等ではない) をDeepLで翻訳
Auth0における対応
上述のAuth0のブログでFIDO2に触れられている通り、Auth0でも当然のごとくFIDO2に対応しています。過去をたどると、2021年6月から提供が開始になっているようです(参考)。
また、検証環境で確認してみますと、Auth0の管理画面(Security→Multi-factor Auth)からかんたんにFIDO対応した生体認証をMFAとして設定することができるようになっています。
提供するサービスにあわせて適切な選択を
FIDO2/WebAuthnを活用した手法となると、生体認証機能を備えたスマートフォン/PCか、Security Keyのようなデバイスが必要となります。セキュリティ的に非常にセンシティブなものを扱うようなウェブサービスの場合には、このようなデバイスを配布したりすることでセキュリティを高めることが可能ですが、それなりに費用もかさみます。
コンシューマ向けアプリの場合
コンシューマー向けサービスを展開している場合には、ユーザーが生体認証を備えたスマートフォンを持っているかわかりません。そういった場合には、ユーザー側にMFAの手法を選択してもらう(なるべくセキュリティが強固なものを誘導する)ことが必要でしょう。ユーザーに手間を感じさせないUXフローを決めていくことが肝要となります。
エンタープライズ向けアプリの場合
また、PC版のみを想定したエンタープライズ向けサービスの場合には、Security Keyの配布が必要となる可能性もあるため費用見合いで利用することを検討する必要があります。また、年代やユーザーのITリテラシーが広く分布するのがエンタープライズの特徴でもあります。ある程度リテラシーがあると判断した場合には、Google AuthenticatorなどのOTP(One Time Password)ツールを使うことも検討できるでしょう。
なお、Security KeyはYubiKeyに代表される、個人ごとに携帯する鍵のようなデバイスです。USBで差し込んだり、NFCでかざしたりすることで、このデバイス内に格納されたクレデンシャル情報を活用して認証をすることが可能です。
Adaptive MFAなどの考慮
悪意のあるアクセスがある場合にのみ多要素認証をもとめるような設定を行うためには、Adaptive MFAの機能(エンタープライズ契約が必須)を使うことなども有効です。上記のような提供するユーザーに向けてどのような認証が適切かを検討したうえで、条件にあわせて必要とするようなことも考慮しましょう。
ライセンスの可否
なお、MFAの種類によってはAuth0のセルフサポート版(クレジット決済版)では使えず、エンタープライズライセンスの購入が必要になります。Emailでの二段階認証やOTPでの多要素認証にはエンタープライズライセンスの購入が必要になります。概算ベースでのお見積り対応も可能ですので、お早めにご相談ください。
おわりに
今回はFIDO2に対応したAuth0による多要素認証についてかんたんにご紹介しました。Auth0では、これ以外にもセキュリティを強化するための機能が提供されています。ユーザーエクスペリエンスを向上しつつ、このように強度の高いセキュリティ対策をすることができるのが嬉しいですね(しかも簡単)。
TC3はOkta Partner ProgramにおいてSelectの認定を得ているパートナーです。Auth0でのMFA導入についてやライセンス費のお見積りなどのご相談に応じることができますので、お気軽にご連絡ください!
TC3では『デジタル顧客接点トータルサービス』として、Oktaの導入からアプリケーション開発までをトータルでご支援しております。トライアルの段階から、どのようにIDaaS/CIAMを導入するかについてもサポートさせていただきますので、お気軽にお問い合わせください。
●資料ダウンロード●
デジタル顧客接点トータルサービスに関する詳細のご紹介資料は以下からダウンロードいただけます!
注:Auth0はOktaに2021年5月に買収されており、ブランド統合の影響で正式にはOkta Customer Identity Cloud (CIC)と呼ばれますが、Auth0の方が広く浸透しているため、便宜的にAuth0と呼んでいます