安全なWebサービスを設計・運用するためには、自社に適したセキュリティ対策を選択して導入することが重要です。本記事では、パスワード認証に代わるセキュリティ対策として注目されているWebAuthnの仕組みと特徴を解説します。Webサービスのセキュリティ強化に取り組むには、WebAuthnの安全性と課題についてもよく理解したうえで最適な対策を施しましょう。
WebAuthnとはFIDO2の一部
WebAuthnとは、FIDO2の一部として開発された、パスワードレス認証をWebサービスに実装するための技術です。WebAuthnの実態はJavaScript APIにあたり、Webサイトやアプリに搭載することでブラウザ上での安全な認証が実現します。
WebAuthnによる認証は、スマートフォンやPCのような外部デバイスを通じて行うことが特徴です。WebAuthnを実装したWebサイトやアプリでは指紋などの生体情報による認証も行えるため、パスワードを入力する作業の負担を軽減できます。
・WebAuthnの仕組み
WebAuthnではユーザーが作成する公開鍵と秘密鍵を利用してデータを暗号化する「公開鍵暗号方式」を採用し、安全な認証を実現します。WebAuthnが実装されたWebサイトで認証を行うためには、事前に認証器(指紋や顔などの生体認証で使用するデバイス)の登録を行う必要があります。
認証器への登録は、指紋や顔などを利用してユーザーの本人確認が終わると、公開鍵・秘密鍵・証明書が作成されます。作成された公開鍵・秘密鍵は、ローカル環境に保存される仕組みです。公開鍵はWebサイトやアプリ側のサーバーにも送信され、データベースへ保存されます。
認証時にはローカル環境に保存された秘密鍵によって署名を行い、Webサービス側のサーバーへと送信する仕組みです。サーバーはデータベースに保存した公開鍵を使用して署名を検証し、何も問題がなければ認証が完了します。
WebAuthnのメリット
WebAuthnは、認証を行うユーザーとWebサイトやアプリの運営企業の双方にメリットが多くある技術です。以下では、WebAuthnの代表的なメリット3点を紹介します。
・セキュリティの強化につながる
パスワード認証ではユーザー名やパスワードが第三者に知られた場合、認証を突破されるリスクがありました。WebAuthnを実装したWebサービスでは、ユーザー名・パスワードなどの知識要素を認証に使用しません。そのため、情報流出リスクそのものを回避でき、セキュリティを強化できます。
さらに、WebAuthnを実装したWebサービスでは認証情報のやり取りをブラウザ上で行う必要がありません。認証情報そのものはデバイス内に保存される仕組みであるため、情報漏洩の発生リスクも軽減できます。
・ユーザビリティを向上できる
WebAuthnを実装したWebサービスでは、生体認証に対応できます。このようなWebサービスにはユーザー名やパスワードを入力せずにログインできます。
パスワード認証においてセキュリティを強化するためには、複雑なパスワードを作成したり更新したり、さらにはそれらを記録・保管したりする手間がかかりました。WebAuthnでは複数の複雑なパスワードを覚える必要がなく、なおかつ安心してWebサービスを利用できます。
・管理の負担を軽減できる
生体認証などの認知度が高い認証方法に対応していれば、IT分野の専門知識を持たないユーザーも無理なくWebサービスを利用できます。ビジネス利用が前提のWebサービスでは従業員のIT教育にかける時間を削減でき、管理者の負担軽減を図ることが可能です。
さらに、WebAuthnでは、事前に登録した認証器の情報を他のWebサービスの認証においても使用できます。ユーザーはWebサービスごとにパスワードを作成・管理する作業から解放され、より快適にWebサイトやアプリが利用できます。
WebAuthnのデメリット
WebAuthnにはさまざまなメリットがある一方、いくつかのデメリットや課題もあります。WebAuthnをWebサイトに実装する際には、以下のデメリットを理解しておきましょう。
・対応サービスが限定されている
WebAuthnは、現在進行形で普及している技術です。リモートワークの普及やクラウドサービス利用の増加に伴ってWebAuthnへの需要は高まり、将来的には、より一層の普及が予想されるとは言え、現時点の日本における対応可能範囲は限定的です。
・デバイスの紛失時や破損時の対応が難しい
WebAuthnではデバイスのローカル環境に認証情報を保存するため、スマホやPCを紛失・破損した場合には認証を行えなくなるリスクがあります。デバイスを紛失した場合には、第三者に認証情報を悪用される恐れも否めません。
デバイスの紛失・破損に備えるためには、複数のデバイスを認証器として登録する方法が一案です。ひとつのデバイスを紛失・破損した場合には他のデバイスでログインし、保存した認証情報を削除すれば、第三者に悪用されるリスクを回避できます。
ただし、複数のデバイスを事前に登録したとしても、紛失・破損時の復旧には一定の時間と労力が必要です。復旧作業中はWebサービスにログインできず、不便を感じるリスクがあります。
まとめ
WebAuthnは、Webサービスのセキュリティ強化に役立つ注目度の高い技術です。しかし、WebAuthnは、現時点ですべてのWebサービスには対応していません。より手軽な手段でセキュリティを強化するためには、WAFを利用する方法があります。
WAFとは、アプリケーションの脆弱性を突く攻撃を検出してWebサービスを保護するセキュリティ対策です。クラウド型サービスであれば、ハードウェアの購入や専門人材の確保を行わなくても導入できます。
「Cloudbric WAF+」は導入・運用が容易なクラウド型WAFサービスです。Cloudbric WAF+ではWAF以外にセキュリティ対策上の重要度が高い四つのサービス(DDoS攻撃対策・脅威IP遮断、SSL証明書サービス、悪性ボット遮断サービス)も提供しています。Cloudbric WAF+の導入効果は、自動作成されるレポートで把握できます。Cloudbric WAF+の詳細は、お気軽にお問い合わせください。
▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」
▼製品・サービスに関するお問い合わせはこちら