【RSA Conference 2015】認証エキスパートが語る「これからのモバイル認証のカタチ」

を定めた標準化仕様だ。生体認証情報を、PCやスマートフォンといった端末の安全な場所に格納し、同様にオンラインサービスの認証情報など保存する。

端末側で認証確認を行い、本人と確認された場合には、サービスとの間でKPI(Public Key Infrastructure)を実行する。つまり、FIDO準拠の端末とサーバ間はKPIのやり取りのみであり、安全な認証が行われるというわけだ。Alikhani氏は「FIDOであれば、万が一サーバがハッキングされたとしてもサーバに情報はないのだから(情報流出といった)脅威は低減される」と指摘する(Googleら参加の生体認証の標準化団体「FIDO Alliance」にドコモが加入)。

また、リスクベース認証は、利用場所や時間、アプリケーションの利用頻度などを継続的にチェックし、正規ユーザーの利用パターン基準を把握する。そして、基準から著しく外れた行動があった場合には不正アクセスと判断する仕組みだ。Alikhani氏は「こうした認証技術であれば、ユーザビリティを損ねることがない」と強調した。

今後の認証方式として、注目したいのは、ウェアラブルデバイス(IoT)