小学校の「端末パスワード問題」どう考える？ 児童が被害／加害者になる可能性も 指紋認証は代替え案になるか：Innovative Tech（2/3 ページ）

[山下裕毅，ITmedia]

　この研究では、学校でパスワードを使用しない認証方法として、FIDO認証の導入を検討している。この目的のために、教員や教員養成課程の学生を対象にFIDO認証のデモンストレーションを実施し、その導入可能性を評価した。

　FIDOは、パスワードを使用しないオンラインサービスの認証標準である。この方式では、指紋や顔の生体認証などを利用して、使いやすく安全な認証を実現する。FIDOは公開鍵暗号方式を用いており、認証情報がユーザーとサーバ間で交換されることがないため、セキュリティが高い。

　具体的には、サービス利用開始時にユーザーのクライアントデバイス上の認証器で公開鍵と秘密鍵のペアを生成する。公開鍵はサーバに送られ、秘密鍵はクライアントデバイスで保管される。ユーザーの本人確認は認証器で行われ、これによりオンライン認証ができる。

　IDに関連する認証情報がネットワーク上に流れないため、セキュリティが高く、ユーザーはパスワードを覚える必要がない。また、パスワードの使い回しによるリスクやフィッシング攻撃への耐性も向上している。FIDOは高いセキュリティと使いやすさを兼ね備えた認証方式である。

FIDO認証のモデル図

FIDO認証システムの設計と実装

　研究では、学校に適したユーザー認証システムの要件を探るため、一般的なパスワード認証の代わりにFIDO認証システムを導入し、その適用性を検証する。現在、多くのWebサイトでFIDO認証が使われているが、これらは一般向けであり学校固有の事情には対応していない。そこで、学校の状況を考慮したFIDO認証システムを設計し、検証を行う。

　この検証システムでは、学校に必要とされる最低限の機能を備える。これには、パスワードではなく指紋情報による認証、児童の学習状況に合わせた数字のみのユーザーIDと初期パスワード、漢字に読み仮名を付ける機能が含まれる。

　FIDO認証システムには、初回に秘密鍵を生成する登録フェーズと、認証器に格納された秘密鍵で認証を行う認証フェーズがある。学校での利用には、教師が児童にユーザーIDと初期パスワードを配布する初期認証フェーズを設計に取り入れる。

　これにより、従来の学校の手順とFIDO認証の組み合わせを実現。検証システムでは、ユーザーはトップ画面から初期認証フェーズに進み、ユーザーIDと初期パスワードで認証を行った後、FIDOの登録フェーズと認証フェーズをへる。これにより、学校独特のユーザーIDとパスワードの配布フェーズを保ちつつ、新たにFIDO認証を導入できる。

　検証システムを実現するため、Webアプリケーションと認証サーバのプログラムを開発した。認証サーバはPythonのWebアプリケーションフレームワーク「Flask」で実装し、データベースはJSON形式のファイルで構築。このシステムでは、保管するデータが限られているため、JSONファイルでの管理が適切である。

　FIDO機能の実装では、サーバ側では特定のライブラリを利用し、Webアプリケーション側ではJavaScriptのAPIを使用した。ユーザーIDと初期パスワードは、データベース用のJSONファイルに事前に記録される。これらは数字のみで構成され、ユーザーIDは任意の7桁、初期パスワードは任意の6桁の数字で設定される。

　ローカル認証としては指紋認証を採用し、MacBookを実行環境、Safariをブラウザとして想定し、Touch IDを使ったFIDO認証を行う。Webアプリケーションでは、児童ユーザーを想定し、漢字に読み仮名を付けた。また、教師が指示しやすいように、登録ボタンやログインボタンに色をつけた。

システムの実行画面