Yahoo! JAPAN IDをパスワードレスに　ユーザビリティとセキュリティを両立させるためにやったこと

Yahoo! JAPAN IDのパスワードレス普及への取り組み

三原一樹氏：このセッションでは全体を通してYahoo! JAPAN IDの取り組みについてご紹介させていただきます。まず、私、IDソリューション本部の三原から「Yahoo! JAPAN IDのパスワードレス普及への取り組み」について発表いたします。

まず自己紹介させてください。三原一樹と申します。

Yahoo! JAPANには2008年に新卒で入社し、エンジニアとして丸10年が経ちます。入社後はメディア系のサービス開発を複数行ってきましたが、1年ほど前に現IDソリューション本部に異動となりました。

現在はログインや認証技術関連の設計・開発、そしてチームマネジメントをしています。趣味はランニングで、業務外ではiOSアプリ開発などをしています。

今回の発表でのアジェンダはこちらです。

「Yahoo! JAPAN IDの現状」について。次に、「Yahoo! JAPANでのこれまでのパスワードレスの取り組み」について。最後に「今後にむけて」の話をします。

Yahoo! JAPAN IDの現状

まずは「Yahoo! JAPAN IDの現状」についてです。

決算資料からの抜粋となりますが、Yahoo! JAPANは大きく分けて、ニュースや天気などのメディア事業と、Yahoo!ショッピングやヤフオク!などのEC事業の2つの事業で成り立っています。これら2つの事業を支えている各サービスの利用は、Yahoo! JAPAN IDを用いて行われます。

このYahoo! JAPAN IDを利用しているログインユーザーID数は毎年順調に増加していて、2018年9月には4,587万IDまで拡大しました。また、この国内の多くのお客さまにご利用いただいているYahoo! JAPAN IDは、Yahoo! JAPAN以外のサービスにも利用が広がっています。

Yahoo! JAPAN外の話については次の本間の発表にパスさせていただくとして、このように年々増えるログインユーザーに対し、私たちはより安心・安全・便利にYahoo! JAPAN IDを利用していただきたいと考えています。

そこで、私たちは「パスワードレス」というアプローチで、Yahoo! JAPAN IDをより安心・安全・便利なIDにしていくことを考えました。これまでのパスワードレスの取り組みについて紹介させていただきます。

これまでのパスワードレスの取り組み

まず、従来のYahoo! JAPAN IDのセキュリティ対策について紹介いたします。

最初に、不正なログインをユーザーに気づいてもらうための「ログイン履歴」や「ログインアラート」。また、そもそも不正アクセスされないような2要素認証の仕組みである「ワンタイムパスワード」。ユーザビリティへの取り組みとして、2015年からは「スマートログイン」というソフトバンクの回線を利用したログイン方法を提供しています。

しかし、ログインアラートやログイン履歴に関しては不正アクセスをされてしまったあとでの対応であり、2要素認証は不正アクセスに対しては強固になりますが、設定のハードルやユーザビリティにおいて課題がありました。

スマートログインについても、ソフトバンクのユーザーでしかご利用できないなど、多くのお客さまに対して便利で安心・安全なIDを提供するという点では課題がありました。そこで1から取り組みの内容を見直すために、ユーザーの課題を再調査しました。

そもそもお客さまは、インターネットサービスの利用におけるIDに対して、ユーザビリティとセキュリティ、両面で不便を感じています。

こちら弊社の独自調査ですが、ユーザビリティに関しては96パーセントもの方々が「パスワード自体を忘れたことがある」と回答しています。そのようなお客さまは、せっかくサービスに来てくださっているのにログインを諦めてしまったり、パスワードの再設定などでお手数をおかけしています。

そして、このようなユーザビリティの課題はそのままセキュリティの課題につながっていきます。

パスワードの使い回しについてはさまざまなメディアやセキュリティ関連の記事で危険性が啓発されていますが、複数のサービスでパスワードを使いまわしている方々が73パーセントも存在します。

このような方々は異なるパスワードを考えたり覚えたりするのが面倒だと感じていて、同じパスワードを使用しているのが現状です。つまり、パスワードを忘れてしまうがために、複数のサービスで同じパスワードを設定してしまっているということです。みなさんの中にもパスワードを使い回したご経験のある方がいるのではないでしょうか。

パスワードの使い回しとその問題に対する不正アクセスのリスクについて、もう少し説明します。

パスワード使い回しのリスクにどう対処するか

ご存じかもしれませんが「リスト型攻撃」という攻撃手法があります。リスト型攻撃とは、脆弱なサービスやフィッシングサイトで入手したIDやパスワードなどのリストを利用して、攻撃対象のサービスへアクセスを試みる手法です。

このリスト型攻撃はユーザーが同じパスワードを使い回していると、単独のサービスでの対策では防御が困難です。

そしてさらに問題なのが、このようなリスト型攻撃のことを「知らない」と回答している方々が85パーセントも存在していて、一般においては認知度が低いのが現状です。

そこで私たちは、このようなIDに関する課題を根本的に解決していくために「そもそもパスワードを利用しない」パスワードレス化を目指しています。

パスワードレス化で不正アクセスを防ぐ

ユーザビリティの課題については、パスワードを使用した「記憶に頼るログイン方法」からの脱却に向けて「SMS認証」の提供を、 ユーザビリティに関しては「そもそもパスワードではログインできない」ような仕組みづくりを行っています。こちらは「パスワードレスID登録」と「パスワード無効化」という2つの機能を提供しています。それぞれ説明させていただきます。

まず、ユーザビリティへの施策であるSMS認証は、ログイン時に携帯電話へSMSの確認コードを送付し、それを入力していただくことでログインできる仕組みです。そもそもパスワードを利用しないため、パスワードを記憶する必要がありません。

そしてセキュリティへの施策についてお話いたします。まず、IDを新規登録されるお客さま向けの、登録時にパスワードを設定しない「パスワードレスID登録」です。従来は、ID登録時にIDとパスワードをユーザーご自身で設定していただき、次回利用時からそのIDとパスワードでログインしていただく必要がありましたが、ID登録時に入力された電話番号とSMSへ送付される確認コードによる本人確認で登録もログインもすることができます。

次に、パスワード無効化設定については、事前に携帯電話番号を設定していればパスワード無効化の設定画面で機能をオンにするだけで、パスワードによるログインを無効にできます。この機能でパスワードレス化するとパスワードによるログインができなくなり、第三者が不正に入手したIDやパスワードでログインができなくなります。つまり、不正アクセスを防止することが可能です。

SMS認証フロー

実際にSMS認証でのログインを見ていただきたいと思います。

ここではIDの部分をグレーでマスクしていますが、入力されているものとしてご覧ください。

IDを入力して「次へ」を押すと、携帯電話にSMSで確認コードが届きます。今回の場合は、ここで出た「1560」という数字を確認コードの入力欄に入力し「ログイン」を押すと、ログインできます。今回はログインしないと見ることのできないサービスとして、メールサービスにサインインしています。

簡単にフローを説明させていただきます。

まずはお客さまに、ここでは登録されているIDや電話番号のことですが、IDを入力していただき、Yahoo! JAPAN側が確認コードを生成します。その生成された確認コードをIDに紐付いた携帯電話番号に送付します。

SMSベンダーからお客さまの携帯電話に確認コードが届くので、受け取った確認コードを端末上で入力していただき、Yahoo! JAPAN側に送信していただきます。その確認コードが「事前に生成したものと一致しているか」また「有効期限以内であるか」などを確認し、問題がなければログイン状態となります。

SMS認証はこのようなフローで行っていますが、これだけの施策ではまだユーザビリティ面に改善の余地が残っています。

パスワードの課題であった「覚えられない」「忘れる」「入力しづらい」といった課題はSMS認証の確認コードによって覚える必要がなくなり、解決いたしました。しかし、まだ文字入力自体は必要で、SMSを受け取るまでの待ち時間も残っていて、まだまだ改善の余地がありました。

そこで、私たちは生体認証をログインに利用し、セキュリティとユーザビリティの両方を高めたログインの実現に向けて取り組んできました。ここでの生体認証とは、指紋を用いた指紋認証や、顔を用いた顔認証などによるユーザー認証を想定しています。

生体認証によるセキュリティと利便性の両立

生体認証については、まず「FIDO」を紹介させていただきます。

FIDOとは、Fast Identity Online、「高速なオンラインID認証」という意味です。FIDO Allianceはセキュリティと利便性の両立を目指し、生体認証といった次世代認証の標準化を進めている団体で、ヤフーはこの「セキュリティと利便性の両立」というコンセプトに共感してFIDO Allianceに参画しています。

さまざまな業界から250社を超えるグローバル企業が参加していて、GoogleやMicrosoft、Amazon、そのほか通信事業者やセキュリティベンダーなども参画しています。そこで策定される仕様を利用して、ログインにおける課題を解決していこうと取り組んでいます。

ここで、パスワード認証とFIDOを利用した認証の違いについて説明いたします。

従来のパスワード認証は、ログインを行うユーザーがIDとパスワードを送り、サービス側では事前に登録されたIDならびにパスワードと一致しているかの検証と識別を行い、ログインすることができていました。つまり、サービス側とパスワードという共通の秘密を持ち合います。

一方、FIDO認証は公開鍵暗号方式を用いているため、ユーザーの端末上にある秘密鍵を用いて検証を行います。サービス側には検証結果が送信され、事前に登録されている公開鍵を用いて、送られてきた検証結果の識別を行います。つまり、「サービス側では秘密鍵を保持しない」「ユーザーとサービス側で共通の秘密を持ち合わせない」ということです。

つまり、「生体情報をサービス側に送信し、暗号化された生体情報と一致するかサービス側で検証・識別を行う」といったイメージを生体認証に対して持っている方もいらっしゃるかもしれませんが、今回のFIDO認証では生体情報という秘密鍵をデバイス内に留め、デバイス内で検証した結果を送信し、事前に登録した公開鍵で識別を行います。つまり、生体情報はサービスの側では保持していません。

Yahoo! JAPANにおけるFIDO認証の導入

ここまで紹介したFIDOの仕組みをWebブラウザ上で実現するための仕組みとして、「FIDO2」があります。

先ほど紹介したFIDO AllianceとWebの標準化団体であるW3Cが、より簡単で強力なWeb認証を実現するための取り組みとして 、FIDO認証をブラウザで実現するために必要な「Web Authentication」を共同開発し、実装を推進しています。

GoogleやMicrosoft、Mozillaは、それぞれのブラウザでWeb Authenticationのサポートを明言し、実装を開始しました。これによりブラウザでのFIDO認証をサービスに組み込むことが実現しました。仕様はFIDO2に公開されていて、Webデベロッパーとベンダーは次世代のFIDO認証をそれぞれの製品やサービスに組み込むことができます。

Yahoo! JAPANは国内企業では初めてFIDO2の認定を取得し、2018年10月23日からFIDO2に対応しています。これは世界で初めてサービス事業者としてFIDO2による認証機能をリリースしたということでもあります。今回はAndroid 7.0以上、Chrome 70以上での対応です。

実際にFIDO2、Web Authenticationにおけるログインの動画を見ていただきたいと思います。

IDを入力して「次へ」を押すと端末上で指紋認証が行われ、成功すると自動的にログインします。ちなみにこの動画は説明用にスローにしていますので、実際はもっと速く認証されます。もし利用できる端末・環境をお持ちの方で設定していない方は、ぜひ使ってみてください。

実際のフローを紹介させていただきます。

お客さまがIDを入力すると、Yahoo! JAPAN側でそのIDに紐付いている鍵のIDと「チャレンジ値」というランダム文字列をデバイスに返却いたします。その鍵のIDをもとにデバイス上で生体認証要求を行います。

ユーザーは要求された生体認証をデバイス上で行い、それが成功していれば、端末上にある秘密鍵でチャレンジ値の署名を発行し、Yahoo! JAPAN側に送信します。事前に登録してある公開鍵を利用して署名の検証を行い、その検証結果が成功すればログイン状態になるという仕組みです。

パスワードレス普及に向けて

これまで私たちが行ってきたパスワードレスの取り組みについては以上です。簡単にではありますが、今後にむけてのお話をさせていただきます。

今後私たちは、ご紹介した生体認証やSMS認証の設定、パスワード無効化の設定を訴求し、リスクの少ない便利なIDにしていきたいと思っています。また、生体認証は現在Androidのみ対応ですが、対応可能なデバイスやアプリが出てきましたら順次対応していきたいと思っています。

最後にまとめです。

Yahoo! JAPANのログインユーザーID数は年々増加していて、多くのお客さまに安心・安全で便利なIDを提供するため、私たちはIDにおける課題の解決に取り組んでいます。その取り組みの一環として、SMS認証・生体認証でのログインやパスワードの無効化を実現してきました。

今後もパスワードレスIDを推進していき、お客さまが安心・安全、そして便利にIDを使える、パスワードのない世界を実現していきたいと思っています。

私からの発表は以上となります。ありがとうございました。

（会場拍手）

次に、パスワードレスの取り組みだけでなくYahoo! JAPAN内外でのYahoo! JAPAN IDを利用したID連携の話を、同じくIDソリューション本部の本間からさせていただきます。よろしくお願いします。