Nok Nok LabsのAIを使った認証リスク低減のための新機能をカントリーマネージャーが解説
パスワードを使わない認証を推進するFIDO Allianceの「第11回FIDO東京セミナー~パスワードのいらない世界へ~」でスポンサーとして出展していたNok Nok Labs社の製品を、日本のカントリーマネージャーの平井健二氏より解説していただく機会を得た。この稿ではNok Nok Labsの概要、FIDO認証の解説、より高度な認証機能、そして新機能であるSmart AnalyticsとSmart Senseについて紹介する。
平井氏は2024年8月にNok Nok Labsに入社し、カントリーマネージャーの職に就いたセキュリティソリューション業界のベテランだ。またNok Nok Labsも、FIDO Allianceの創設時のメンバーとしてパスワードレスの認証を広めるための牽引役として、この領域ではリーダーの企業と言える。日本でもNTTドコモ、三菱UFJ銀行、アフラックなどが顧客としてリストアップされている。
Nok Nok Labsの顧客事例
このインタビューの発端はランサムウェアなどの攻撃において、最初のエントリーポイントとして企業ユーザーのIDを盗んでシステムに侵入を行い、そこから社内の特権ユーザーのIDを獲得し、データを盗むという方法に対して、「すべての企業ユーザーの認証をパスキーベースにしたらかなりの被害が防げるのではないか?」という質問をNok Nok Labsのエンジニアに対して行ったところ、回答をもらった上で、より詳細な説明を依頼したというのが経緯だ。
実際には特権ユーザーに対してもパスキーベースで運用が可能なのでは? というのが筆者の意図であり、それに対しては「技術的には可能だが運用を含めて検討する項目は多いだろう」という回答を得た。Nok Nok Labsはエンタープライズ向けの製品ではなくクレジットカード会社がユーザーの認証に使ったり、通信事業者が契約者の認証に使ったりするなどのコンシューマー向け、大量のユーザーを保持するような事業者向けのソリューションを提供している企業であるため、筆者の質問は的外れであった感は否めない。しかしながら認証をパスワードに頼らずパスキーに移行することで、ランサムウェアのアタックに対する防御になるであろうことは容易に想像できる。
平井氏は会社概要、FIDO認証の概要などを説明。FIDO認証については2012年の創設時のメンバーとして参加していたこと、公開鍵/秘密鍵暗号方式を使っていること、パスキーがクライアントサイド(スマートフォン)などの進化に対応できるようにプラグイン方式でさまざまな変化に対応できることなどを紹介した。
FIDO認証の仕組み。クライアント側の変更に対応できるプラグイン方式
Nok Nok Labsが提供するS3 Authentication Suiteについては、スマートフォンだけではなく生体認証を持たないデスクトップPCやIoTデバイスについても対応が可能であることを説明。
サーバーとSDKによって多種多様な認証のニーズに対応できる
特に認証を行う際にどのような用途でその認証が必要になったのかを判定し、認証に必要な強度をルールとして定義できることを解説した。
Adaptive Registration/Authenticationの例を解説
銀行の取引に見られる「一定額以上の金額をやり取りする場合は、より強度の高い認証を要求すること」がこの機能によって可能になる。また認証を要求するデバイスが地理的に存在する場所を判定することも可能であると説明。こういったケースをアプリケーション側でやらずに認証サーバー側で実装できるのは、セキュリティ担当にとってもアプリケーション開発者にとってもありがたいだろう。
条件によって認証の可否を設定できるAdaptive Registration/Authentication
PCでWebブラウザーを使用中、認証を行う際にパスワードを要求するのではなくユーザーが持っているスマートフォンの生体認証機能を使って行うのが、アウトオブバンド認証だ。これもGoogleやMicrosoftのサービスで体験している読者も多いのではないだろうか。その機能を自社サービスにおいても可能にするのがアウトオブバンド認証だ。
PC/Web環境からスマートフォンを使って生体認証
これまではスマートフォンにショートメッセージを送って確認を行うなどの方法があったが、コスト削減とユーザーの利便性を求めるのであれば、アウトオブバンド認証が最適だろう。
金融機関などにおいてはアクセスできるデバイスを固定したいというニーズから、公開鍵をデバイス側に保管して他のデバイスからはアクセスを不可とするユースケースは日本だけではなく海外でも多く見られるという。だがAppleのプラットフォームにおいてはiCloud Keychainを使用する仕様になっているため、Apple IDを使うすべてのデバイスで利用できるようになっていると説明。この点に関してはスマートフォンの2大プラットフォーマーの片方であるAndroidの提供元であるGoogleもデバイスを固定できるという仕様については検討を重ねていると説明し、業界の動向を見据える必要がある過渡期であると語った。
ユーザーの利便性を優先すれば、スマートフォンが一人に1台の時代から複数のスマートフォンを使い分ける時代に入ってきているとも言えるため、FIDOが推奨するSynced Passkey(複数のデバイスでパスキーを同期させる方式)に移行すべきだろうが、業界としてそれを受け入れられるのかどうかは規制にも関わってくる問題のため一概には言えないというスタンスだろう。
最後に説明したのは、FIDOのイベントでも簡単に紹介されたSmart AnalyticsとSmart Senseだ。
Smart Analyticsは認証におけるApplication Performance Monitoringとも言える機能で、認証の種類、成功率、プラットフォーム、認証にかかった時間などを細かく分析するためのメトリクスを提供する機能だ。
国ごと、プラットフォームごとのアクセスが可視化される
単に統計情報を出力するだけではなく、業界標準に比べてどのくらい差があるのか? を提示する機能も追加されている。これはNok Nok Labsの顧客のデータを集計した上で顧客が属する業界の標準値を提示することで、競合他社との比較ができることになる。
サインイン時間のブレークダウンのチャートに赤線で引かれているのが標準値
このチャートでは認証リクエストとそのレスポンス時間、ユーザーが操作を行っていた時間、アプリケーション側の処理などをブレークダウンしている。棒グラフに引かれている赤線が業界標準値だという。
またSmart Senseについては機械学習を使って異常を検知する新機能であると解説し、Adaptive Authenticationのルールセットの設定に新しく追加された要素であるという。この機能を使えば、運用者が細かくルールとして「この認証リクエストの何が異常か?」という条件を設定しなくても機械学習によって異常検知を判定した上で、認証の強度を変更できるというのがポイントだろう。詳細には以下の公式ページを参照されたい。
基本的には、Nok Nok Labsがコンシューマー向けの認証基盤分野においてリーダーとしての地位を確保していることが良くわかる解説となった。ちなみにS3 Authentication Suiteの「S3は何の略ですか?」と質問したところ、インタビューの時点では回答がなかったが、後日、本社に確認を行った上で「S3はSimple, Secure and Scalableの略である」と答えてくれた。NTTドコモ、三菱UFJ銀行、アフラックなどテクノロジーに詳しくないユーザーを大量に抱える企業がパスワード関連のトラブルを一掃するために採用するプラットフォーム企業として注目していきたい。
FIDOのイベントで使われたSmart Analyticsの解説スライド
同じくSmart Senseのスライド
