はじめに
ネットバンキングや会社のシステムにログインするとき、「ID・パスワードのほかにスマホで認証してください」と言われた経験はありませんか? このスマホ認証には、実は大きく分けて2つの方式があります。それが VIP Access(ビップ・アクセス)と FIDO(ファイド)です。
名前は似たようなものですが、中身の仕組みも安全性もかなり違います。この記事では、できるだけ専門用語を使わずに両者の違いを解説します。
VIP Access(ビップ・アクセス)とは?
シマンテック社(現Broadcom)が提供している、スマホで動くアプリです。会社のVPNや一部の金融機関で広く使われています。
使い方のイメージ
- パソコンでログイン画面を開く
- ID・パスワードを入力
- 「セキュリティコード」を求められる
- スマホのVIP Accessアプリを開くと、6桁の数字が表示されている
- その数字をパソコンに打ち込む
この6桁の数字は30秒ごとに変わります。銀行のワンタイムパスワード生成機(小さな液晶のついたあれ)と同じ仕組みで、それがスマホアプリになったものとイメージしてください。
たとえるなら
合言葉が30秒ごとに変わる「秘密の通信簿」のようなもの。あなたとサーバーが同じ通信簿を持っていて、いま書かれている数字を読み上げて本人確認します。
弱点
もし偽のログインページ(フィッシングサイト)にだまされて6桁を入力してしまうと、その数字を犯人がリアルタイムで本物のサイトに使ってログインできてしまいます。「数字を入力する」という操作そのものが弱点になるのです。
FIDO(ファイド)とは?
FIDOは、業界団体(FIDO Alliance)が定めた新しい世代の認証の仕組みです。Apple・Google・Microsoftをはじめ、世界中の大手企業が採用しています。最近よく聞く「パスキー(Passkey)」も、このFIDOの仲間です。
使い方のイメージ
- パソコンでログイン画面を開く
- 「スマホで認証してください」と表示される
- スマホに通知が届く
- スマホで顔認証や指紋認証(またはPIN)をするだけ
- ログイン完了
数字を入力する操作はありません。 スマホがあなたの代わりに、裏側で「私は本人ですよ」という電子的な証明書をサイトに送ってくれます。
たとえるなら
あなただけが持っている「本人専用のハンコ」が、スマホの中に入っているイメージです。サイトから「サインしてください」と紙が届くと、スマホがハンコをポンと押して送り返します。ハンコ自体は絶対にスマホの外には出ません。
強み
このハンコは、「本物のサイトのドメイン」とセットでないと押せない仕組みになっています。つまり、偽のサイトにだまされても、ハンコが反応しないので情報が盗まれません。フィッシングに非常に強いのが最大の特徴です。
2つを比べてみると
| 項目 | VIP Access | FIDO(パスキー) |
|---|---|---|
| あなたがやること | 6桁の数字を入力 | 顔・指紋・PINでタップ |
| 仕組みのたとえ | 30秒ごとに変わる合言葉 | 本人専用のハンコ |
| 偽サイトに強いか | △ うっかり入力してしまうと盗まれる | ◎ ハンコが偽サイトに反応しない |
| 使いやすさ | 数字を見て打ち込む手間あり | ワンタップで完了 |
| 規格 | シマンテック独自寄り | 世界標準(オープン規格) |
結局どちらがいいの?
ひとことで言うと、これからは FIDO(パスキー)の時代です。
- 安全性:FIDOの方が圧倒的に上。フィッシング詐欺がますます巧妙になる中で、「数字を打ち込む方式」は相対的に弱くなってきています。
- 使いやすさ:FIDOは顔認証や指紋でワンタップ。コードの有効期限切れでイライラすることもありません。
- 業界の流れ:Google・Apple・Microsoft・各種ECサイト・銀行が続々と「パスキー対応」を始めています。
まとめ
- VIP Access = スマホに表示される6桁の数字を入力する、昔ながらのワンタイムパスワード方式
- FIDO(パスキー) = スマホ内の「本人専用ハンコ」で裏側で署名する、フィッシングに強い新しい方式
もしお使いのサービスで「パスキーに対応しました」というお知らせを見かけたら、ぜひ設定してみてください。パスワードを覚える必要すらなくなり、しかも今より安全になります。
コメント