schedule 2023/02/24 refresh 2023/11/09
皆さんこんにちは。今回も前回に引き続き「目立たないけど便利な機能」シリーズです。
今回は最近利用が増えてきているFIDO認証で利用する(FIDO認証)デバイスのお話です。
FIDO認証を利用するためにはFIDO規格に対応した「認証デバイス」が必要です。
例えば「iPhone/iPAD」や「Android」などのスマートデバイスはFIDOデバイスとして利用できます。
また、ノートPCにはカメラが標準搭載されている(内臓カメラ)時代ですが、FIDOに対応しているカメラ(Windows Hello対応と言う場合もあります)であればWebサービスのログイン時に「顔認証」の利用が可能ですし、Macbookであれば「TouchID」もFIDO対応デバイスですなので利用可能です(FIDOに対応した内臓デバイス)。もちろん、USBで接続する外部カメラもFIDO対応していれば認証に利用できます(外部接続のFIDOデバイス)。
FIDO認証デバイスは単純にUSBに挿入してボタンを押すだけの「所持しているだけの鍵(user presence(UP))」のものと、「USBに挿入するだけではなく、指紋などで認証しないとActiveにならないデバイス(user presence(UP)&user verification(UV))」があります。もちろん後者(UP/UV)の方がより安全ですよね。
このようにFIDO認証デバイスは様々な種類のものが利用できるようになりましたが、ユーザーニーズとして、認証に利用できるデバイスを制限したい、という事があります。
例えば、USBを利用した外部認証デバイスは利用させたくない、そもそもUSB接続は禁止しているので、内臓デバイスのみ利用可能とする、などがあります。
こういった場合、認証に利用できるデバイスを登録時に判別して「許可された方式のデバイスみ登録できるようにする」という機能がSeciossLinkにはあります。
「許可するデバイスのタイプ」と「許可するデバイスの接続状態」でFIDO認証に利用するデバイスを以下のように制限することができます。
■ 許可するデバイスのタイプ
・所有認証FIDO(UP)
・本人認証(UP/UV)
・Windows Hello
・Android
・iPhone / iPad
・macOS(TouchID)
■ 許可するデバイスの接続状態
・内臓デバイス
・外部デバイス
・制限なし
この機能を利用することで、FIDO認証に利用するデバイスを制限することができ、更に認証デバイスを登録しても管理者の承認を必要とするなどの機能もありますので、意図しないデバイス(例えば私物の認証デバイスなど)を使えないようにすることができます。
ここまで制御できるサービスは”なかなか無いのでは?”と思っています。もちろんFIDOは発展途上の技術ですので、仕様が変更になる可能性(実際、細かい部分の仕様は様々変わっているようです)もありますので今後はどこまで制御できるか分かりませんので、弊社も継続的に動向を注視しています。
以上、今回はここまでとします。次回も「目立たないけど便利な機能」シリーズを予定していますので、お楽しみに!
