ソラナ(Solana)dApps、Magic統合によりパスワードレス認証可能に

ソラナブロックチェーンがMagicを統合したことによりソラナdAppへのパスワードレス認証実装が容易に可能になりました。※dAppは分散型アプリケーションの略称です。

Magicはアプリケーションに組み込むことができる開発者向けSDKであり、同社のMagicリンクを用いることでSlackやMediumのような安全なパスワードレス認証を可能にします。数行のコードで、かつカスタマイズ可能であることなどから今後のソラナブロックチェーン上のdApp開発やそのUX(ユーザー体験)向上に寄与すると考えられます。dApp開発者向けにMagicのテクニカルドキュメントが公開されています。

またMagicはFormatic Incというブロックチェーンの秘密鍵管理を専門とするサイバーセキュリティ企業内のチームが開発しているものであり、パスワードレスによる利便性提供だけでなく、セキュリティ上の懸念にも専門的に対処していることが評価されます。

今回はMagic実装により、ソラナdAppにどのような利便性が付与されるのか、またその安全性はどのように確保されているのかを解説します。

ソラナについて基礎的な情報はこちらの「Solanaとは?秒間5万トランザクションを処理できるブロックチェーン」で紹介しています。

パスワードレス認証を可能にするMagicはどのような利便性を提供するのか

Magic イメージ
参照:https://magic.link/

Magicが可能にするパスワードレス認証とは具体的にどのようなものなのか、これはその名の通りパスワードを必要とせずにアプリケーションにログインすることができる仕様のことです。

上画像にあるように、①Eメール入力、②Magicリンクをクリック、③ログインの3ステップで利用者の認証を行うことができるので「パスワード」という概念が存在しません。

パスワードレス認証が必要な理由としては、セキュリティの観点から異なるアプリケーション間で同一パスワードを用いないことが一般的に推奨されつつも、複数アプリケーションに対して異なるパスワードを設定して管理することは現実的ではなく、その結果ユーザー体験を損ねる元凶になっているからです。

パスワードが抱える課題の一つが、漏洩問題です。これは同一パスワードを用いるユーザーが存在する以上はデータベースに保存されたパスワードが盗まれる事件は絶えません。パスワード盗難事件は実際に起きており、企業がパスワードを管理するコストの高さやその重責からパスワードによる認証は廃止される方向になるのではないでしょうか。

またパスワードの存在がユーザー体験を損ねていることも課題の1つです。パスワード認証がユーザー体験を損ねていることの証拠にサードパーティのパスワード管理アプリの誕生や、指紋や顔、声帯といった生体認証の普及、WeChatやGo-jek、Grabのような単一IDで内蔵された複数のアプリケーションにアクセス可能になるスーパーアプリの勃興がその証拠と言えるでしょう。これらは全て認証に求められる「パスワード」の存在を排除しつつも個人の認証を手軽に行おうとする「ユーザー体験向上」を目的としたムーブメントの中から誕生してきたものです。

またアプリケーション運営側からもパスワードレス認証を実装することにより、コンバージョン率が向上するといった利点があります。この点は従来のパスワード設定などの煩わしさが排除されることで、アプリケーションへのシームレスなオンボーディングが可能になることで期待できる効果です。

セキュリティ上の懸念|ユーザーIDの管理と認証、承認プロセスの保護

一方で個人認証の際に必要であったパスワードを排除することで、セキュリティ上の懸念点はないのかといった疑問もあるかと思います。Magicではこのパスワードを代替するものとして楕円曲線暗号とハードウェアセキュリティモジュールを用いることでその安全性を確保しています。

認証作業の手軽さの面から言うと、近年急速に市場が拡大している生体認証市場に優位性がありそうです。しかし、身体的特徴を利用する生体認証はディープフェイク技術(実際の身体的特徴を偽造するAI技術の一種)の発展による「なりすまし」の懸念があり、実際にはパスワードレスに近いものでありながら、あくまでもパスワードと併用するユニモーダル認証です。

また生体認証にもこのような脆弱性があることから今後その対策が求められています。執筆時点ではその解法はわかりませんが、ブロックチェーン技術がその下支えになる可能性は探索されています。

ではソラナdAppでの実装が期待されるMagicのパスワードレス認証のセキュリティはどのようなものなのか、この点について専門的な部分は省いて簡単に説明を加えます。先に挙げたハードウェアセキュリティモジュールについて要点のみ解説します。※詳細を知りたい方はMagicのホワイトペーパーを参照ください。

Magic概要イメージ
参照:https://docs.magic.link/security

ハードウェアセキュリティモジュール(以下HSM)とは、アマゾンウェブサービスが提供している鍵管理サービス(AWS KMS)のことです。MagicではこのHSMにマスターキーを格納して利用しています。このマスターキー自体は内部でロックされ、エクスポートできないようになっており、全ての暗号化、復号化操作はハードウェア内部で行われています。

イメージとしてはハードウェアウォレットのTrezorやLedgerなどに似ていますが、本ソリューションではAWSのデーターセンターによって厳重に保護されたクラウド内にあります。つまり攻撃者が鍵を取得しようとするとこのハードウェアにアクセスする必要があると言うことです。またMagic内部から秘密鍵が盗まれないように、暗号化と復号化操作をAWS KMSとAWS Cognitoに委任し、Magicのバックエンドを迂回させることでユーザーの秘密鍵をMagic側が見れないような工夫もされています。

この他にパスワードレスを安全に実装するためにMagicはいくつかの工夫を施しています。今回のMagic統合によりソラナブロックチェーンは安全なアクセスを保証しつつも、ユーザー体験を向上させる分散型アプリケーション構築が可能になったと言えるでしょう。ソラナは2020年にメインネットベータをローンチしたばかりの新興ブロックチェーンではありますが、分散型取引所セラム(Serum)をはじめとして、今後ソラナエコシステムを構築するさまざまな分散型金融(DeFi)アプリケーション構築が期待されます。

おすすめの記事