開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

FIDOアライアンス提供コンテンツ

  • スペシャル
  • 2019/02/01

パスワードのいらない世界へ~FIDO2(Web認証)がいよいよ離陸!~

アフターレポート | 第5回FIDOアライアンス東京セミナー

2018年12月7日、オンライン認証に関する国際的な標準化団体 FIDO(ファイド)アライアンスが主催する「第5回FIDOアライアンス東京セミナー」が開かれた。テーマは「パスワードのいらない世界へ~さらなるFIDOの展開、そしてFIDO2(Web認証)がいよいよ離陸!~」。会場内ではスポンサー各社のブースも展開され、Yubico、ディー・ディー・エス、飛天ジャパン、インターナショナルシステムリサーチ、Nok Nok Labs、Aware、CAPY、Egis Technology、ジェムアルト、日本電気、OneSpanの11社が、それぞれ自社のソリューションを紹介した。

photo
2018年12月7日に開催された「第5回FIDOアライアンス東京セミナー」をリポートする

開会のごあいさつ

photo
FIDOアライアンス CMO
アンドリュー・シキア氏
 冒頭、FIDOアライアンス CMO(チーフマーケティングオフィサー)のアンドリュー・シキア氏より、開会のあいさつがあった。

 FIDO認証は2015年5月にNTTドコモが導入後、商用サービスへの実装が進んでおり、セミナー当日の午前中には国内での活動内容やユースケースについて記者発表も行われた。

 シキア氏は、このセミナーでFIDOアライアンスを取り巻く最新状況やFIDO Japan WGの最新状況、FIDO2(Web認証)の最新状況などについて紹介すると述べた。

FIDOアライアンスとFIDO認証の概要と最新状況

photo
FIDOアライアンス エグゼクティブディレクター
ブレット・マクドウェル氏
 続いて、FIDOアライアンス エグゼクティブディレクターのブレット・マクドウェル氏が登壇。「FIDOアライアンスとFIDO認証の概要と最新状況」と題した講演を行った。

 2017年、データ侵害の件数は対前年比で45%も増え、パスワードに基づくシステム維持に関する負担が大きい現状もある。

 FIDOアライアンスは「ユーザービリティとセキュリティの両立」を図り、パスワードの課題を解決するグローバルの非営利組織だ。

 公開鍵暗号方式にもとづくオープンな標準規格であるFIDOは、パスワードレスの体験を実現する「UAF」、パスワードを補完するセキュリティキーによる2段階認証の仕様である「U2F」、そしてWebブラウザを通じて端末に組み込まれた生体認証や外部接続のセキュリティキーなどと連携するための「FIDO2」の3つの仕様が2014年から2018年にかけて公開されている。

 ボタンやセンサーなどの一度の操作でログインが完了する利便性と、サーバ上に秘密情報を保持しなくてよくなる安全性を両立するFIDOの技術仕様は、国際電気通信連合(ITU)の国際標準規格(UAF 1.1仕様: ITU-T勧告X.1277、CTAP仕様: ITU-T勧告X.1278)として採択され、商用サービス、製品に組み込まれていく。日本ではヤフーが、サービス事業者として世界で初めてFIDO2の商用導入を果たした。マクドウェル氏は「今後もFIDOアライアンスは、セキュリティとプライバシー保護に取り組んでいく」と語った。

FIDO Japan WGの活動と日本におけるFIDOの展開、その概要と最新状況

photo
NTTドコモ プロダクト部 プロダクトイノベーション担当部長
森山 光一氏
 引き続き、FIDOアライアンス ボードメンバー / FIDO Japan WG座長でNTTドコモ プロダクト部 プロダクトイノベーション担当部長の森山 光一氏が、「FIDO Japan WGの活動と日本におけるFIDOの展開、その概要と最新状況」と題した講演を行った。

 FIDO Japan WGは、FIDO認証の国内における普及を担う。言語や時差の問題を解消し、日本語でFIDOについての理解を促進し、活動するミッションを果たしている。

 国内では、商用サービスや自社システムにFIDO認証を導入している企業が増えている。ソフトバンクが「My SoftBankプラス」という会員向けサービスに導入したほか、ヤフーがYahoo! JAPAN IDの認証に導入した例や、三菱UFJ銀行、富士通のソリューションによってアフラックといった企業などでもデプロイメントが進み、LINEによるFIDO認証の対応計画も発表された。

 WGでは、さらなる取り組みとして、AndroidやWindows 10といったプラットフォームへの対応の進捗と共に、国内におけるFIDO導入経験をFIDOアライアンスにフィードバックしつつ、知見を国内に広く展開することでFIDO認証の普及を加速させられると期待しており、森山氏は「国内ユーザーだけでなく、2020年に向けて、海外からの訪問者に対してもパスワードレス認証が日本のホスピタリティとして提供されるようにしたい」と抱負を述べた。

FIDO2の概要と最新状況

photo
マイクロソフト
チーフセキュリティアーキテクト 兼 FIDOアライアンス FIDO2 TWG共同座長
アンソニー・ナダリン氏
 続いて、FIDOアライアンス FIDO2 TWG共同座長を務める マイクロソフト チーフセキュリティアーキテクトのアンソニー・ナダリン氏が「FIDO2の概要と最新状況」と題した講演を行った。

 FIDO2の全体像には2つのポイントがある。1つ目は抽象化レイヤーで、堅牢な認証に向けたエコシステムを確立していることだ。2つ目は、プラットフォームの仕様として、FIDO2から採用するクライアント・デバイス間の通信プロトコル「CTAP」(デバイス間連携仕様)の仕様策定が進んでいることだ。

 W3Cにおける標準化作業も進んでおり、2019年1月には、最終的な仕様になる予定だ。これにより、単一のデバイスで、ChromeやEdge、Firefox、SafariといったあらゆるブラウザプラットフォームがFIDO2でカバーされ、今後はクライアントであるラップトップPCの認証に、ウェアラブルデバイスを活用することも可能になる。

 マイクロソフトが、今のFIDO2に向けたアイデアをFIDOアライアンスに紹介してから4年が経過している。ナダリン氏は、マイクロソフトにおけるFIDO2の実装状況として、Windows 10でWeb認証に対応し、CTAPについてもアップデートし、生体認証に対応したデバイスであれば指紋認証や顔認証でログインが可能だと説明した。

グーグルにおけるFIDOへの取組み(Android/Chrome)

photo
グーグル スタッフデベロッパーアドボケート
えーじ氏
 グーグル スタッフデベロッパーアドボケートのえーじ氏が登壇。「グーグルにおけるFIDOへの取組み(Android/Chrome)」という講演を行った。

 パスワードによるユーザー認証は、ユーザーが脆弱なパスワードを使うことや、複数のサービスで同じパスワードを使い回すといった問題がある。こうした問題が認証を脆弱なものにし、IDへの不正アクセスを簡単にしてしまう。

 認証の3要素には「ユーザーが知っていること」「ユーザーが持っているもの」「ユーザーそのもの」があるが、これらの要素を組み合わせることで、より強固な認証を実現できる。しかし、2要素認証として普及が進むワンタイムパスワード(OTP)に関してリスクが指摘されている。たとえばSMSを使ったOTPであれば、なりすますことも可能だからだ。

 グーグルでは、FIDOのU2Fに準拠したセキュリティキーによる2段階認証を社員のアカウント認証に導入。OTPの半分以下の時間で認証が完了し、フィッシングの被害も著しく減少した。一方、FIDO2への対応については、2018年5月にChrome 67でWeb認証に対応。Androidでも指紋認証に対応しており、macOSでもTouch ID搭載端末で指紋認証に対応する。

 生体認証は、デバイスそのものが認証器になる点で意義が大きい。北村氏は「グーグルとしてパスワードのない世界を作ることに貢献していきたい」と抱負を述べた。

クラウド時代の認証保護、マイクロソフトとFIDO、パスワードレスへの流れ

photo
日本マイクロソフト 技術統括室 チーフセキュリティオフィサー
河野 省二氏
 日本マイクロソフト 技術統括室 チーフセキュリティオフィサーの河野 省二氏は、「クラウド時代の認証保護 MicrosoftとFIDO、パスワードレスへの流れ」と題して講演した。

 アカウント管理やアクセスコントロールの「鍵」としてのパスワード利用は依然として変わっていない。IDに対する不正アクセス、なりすましの脅威はますます増えるばかりだが、「多要素認証で99.9%のリスクを回避可能」だという。

 マイクロソフトは脅威モデルとしてSTRIDEを採用しており、「ゼロトラスト」という考え方に基づいて、いつでもどこでも、ユーザーやデバイス、アプリ、資産が信頼できるものであることを確認できる環境を構築することを勧めている。そのためにも認証情報をネットワークに頻繁に流すようなことのない認証の仕組みを構築する必要があった。また、証明書による認可の仕組みも必要とした。証明書の利用では、生体認証によりログイン可能な「Windows Hello」をリリース。さらに、FIDO2への対応も2019年初旬に予定されている。

 W3Cが提唱したWeb認証をEdgeでサポートできるほか、Azure Active DirectoryがFIDO2に対応することにより、従来は端末のTPMに保管していた証明書を外部に持ち出せるUSBキーを認証に利用できるようになった。河野氏は「マイクロソフトはさまざまな標準技術を使って、利便性と安全性を両立したIT環境を提供していている。FIDO2に対応したのも、この一環としてであり、今後とも積極的に協力したい」と強調した。

スポンサーによるプレゼンテーション

 引き続き、本セミナーのスポンサー企業がプレゼンテーションを行った。

Yubico ジョン・フォンタナ氏
photo
Yubico
ジョン・フォンタナ氏
 YubicoがFIDOアライアンスに加盟したのは2013年だ。2018年9月には、FIDO2に対応した「YubiKey 5」というセキュリティキーをリリースした。マイクロソフトのWindows 10における多要素認証や、グーグルのAndroidアプリなどもサポートし、さらに、EdgeやChrome、FirefoxなどのWeb認証にも対応する。Safariのサポートも発表され、フォンタナ氏は「FIDO2によって従来のパスワード認証が置き換わっていく世界を実現したい」と抱負を述べた。



ディー・ディー・エス 林 真史氏
photo
ディー・ディー・エス
営業本部 マガタマ事業部 部長
林 真史氏
 指紋認証をはじめとするソリューションベンダーのディー・ディー・エスは、2014年よりFIDOアライアンスに加盟し、日本におけるFIDO普及の活動を続けている。2016年には、FIDO認証を導入する基盤として「magatama」(マガタマ)というプラットフォームを提供し、2018年9月には、企業で利用されるクラウドサービスの認証にも対応した。これにより、働く場所を問わず、安全に、利便性の高い認証が可能になる。FIDO2のWeb認証にも対応し、「さらなるパスワードレス認証の普及に貢献したい」と林氏は語った。



飛天ジャパン 取締役 岑 慕蘭氏
photo
飛天ジャパン 取締役
岑 慕蘭氏
 中国のハードウェア認証デバイスメーカーであるFeitianグループの日本法人である飛天ジャパン。Feitianグループは、設立から20年で世界の200以上の金融機関に1億個以上のセキュリティデバイスを出荷し、2016年からFIDOの規格に準拠したセキュリティキーも提供している。そして2018年10月には、FIDO2に準拠した指紋認証デバイスをリリースし、岑氏は「今後もさらに安全なWindowsへのログインを実現していくことに貢献したい」と語った。




Nok Nok Labs 事業開発ディレクター 宮園 充氏
photo
Nok Nok Labs 事業開発ディレクター
宮園 充氏
 FIDOの認証サーバと、アプリケーションを作るため開発キット(SDK)を提供するNok Nok Labs。すでに認証システムを基盤として保有する企業向けに、サーバ用SDKを提供してFIDO認証機能を組み込むためのソリューションも提供している。FIDOアライアンスの創設メンバーである同社は、最新のアップデートとして、スマホ等の紛失時のアカウントリカバリー機能も提供予定だ。宮園氏は「さまざまな形でFIDO認証の付加価値を高めていきたい」と述べた。




インターナショナルシステムリサーチ プロダクトマネジャー 柴田 一人氏
photo
インターナショナルシステムリサーチ プロダクトマネジャー
柴田 一人氏
 さまざまなクラウドサービスに対し、シングルサインオンを提供する「CloudGate UNO(クラウドゲート ウノ)」を手がけるのがインターナショナルシステムリサーチだ。FIDO認証に対応していないサービスでも、CloudGate UNO と連携することでFIDO認証に対応することが可能になる。柴田氏は「働く場所と時間やデバイスを問わない多様な働き方を認証面からサポートしていきたい」と抱負を語った。



FIDOセキュリティ認定の概要と最新状況

photo
DOCOMO Innovations セキュリティスペシャリストの
ローレンス・ランドブレード氏
 続いて、FIDOアライアンス SRWG共同座長でDOCOMO Innovations セキュリティスペシャリストのローレンス・ランドブレード氏が登壇、「FIDOセキュリティ認定の概要と最新状況」という講演を行った。

 FIDO認証では、秘密鍵を保持し、生体情報テンプレートを長期間保持し複雑な処理をする必要があることから、認証器が重要な役割を担う。そこで認証器の認定制度の整備が必要となる。

 認証器の認定プロセスの確立には、数多くのサービス事業者が参画し、認定を受ける枠組みが欠かせない。ランドブレード氏は「信頼されたエコシステムの確立が不可欠だ」と語る。そのため、認証器の認定プログラムにより認証器について認定を行う。FIDOの仕組み上、ユーザー側ではデバイスの設定や改変を行うことができず、認定結果はユーザーが使用する現場でも変わることがないので、認定の信頼性は変わらない。

 認定プログラムに求められるセキュリティ要件は、幅広いデバイスレンジに対応すべく大きく3つのレベルに分かれている(更に各レベルは2つに分かれている)。これにより、銀行のカードのセキュリティレベルにも対応可能だ。また認定は、FIDOが定めた要求条件を満たしているかを試験によって評価する。レベル1はFIDOが認定評価を実施、レベル2は、FIDOが認定した試験機関が認定評価を実施、レベル3はコモンクライテリアなど他機関による認定とFIDO固有の認定の組み合わせで認定され、FIDOが認定した試験機関が認定評価を実施。すべてのレベルに対し、FIDOが認証レベルの要件定義や対応製品の脆弱性管理などを行う。

 続いて、バイオメトリクス部品認定について紹介があった。認証器が生体認証をサポートする場合、FIDOで認定されたバイオメトリクス部品を使用することで、最終製品である認証器のバイオメトリクス性能を担保する。認証器がL2+以上の認定を受ける際は、使用するバイオメトリクス部品が、バイオメトリクス認定を受けている事が必須となる旨、説明があった。

 ランドブレード氏は「参加企業のニーズを満たすため、定期的なミーティングを通じ、認定プログラムの整備を進めていきたい」と述べた。

GDPR(一般データ保護規則)とFIDO標準について

photo
ジェムアルト 戦略的パートナーシップ担当バイスプレジデント 兼 FIDOアライアンス セクレタリー 兼 FIDO Europe WG共同座長
アラン・マーティン氏
 FIDOアライアンス セクレタリー 兼 FIDO Europe WG共同座長でジェムアルト 戦略的パートナーシップ担当バイスプレジデントのアラン・マーティン氏は、「GDPR(一般データ保護規則)とFIDO標準について」と題して講演を行った。

 2018年5月に施行されたGDPRは、個人データ保護の法的枠組みとして、特にグローバルでビジネスを展開する企業に大きなインパクトを与えている。

 マーティン氏はGDPRで留意すべきポイントとして「データ処理のセキュリティ」「リスクに応じた適切なレベルのセキュリティ実施の必要性」そして「明示的なユーザーの同意」というポイントを挙げた。たとえば、医療記録などの機密性の高いデータを処理する場合は、しかるべき保護手段を行う必要があり、そこで「パスワード認証の堅牢性」が問題になってくる。

 マーティン氏は、パスワードはデータ保護対策として「もはやGDPRの要件を満たすソリューションではない」と指摘。また、2018年には米国のredditで従業員のIDが不正アクセスされたが、これはSMS宛に送られるワンタイムパスワードが破られた可能性が指摘されている。

 この点、FIDO認証はその特性上、GDPRの求めるセキュリティをバイデザインで満たしており、マーティン氏は「データ保護対策の観点から、より強固な認証の手段としてFIDO認証を活用していただきたい」と会場に呼びかけた。

富士通によるFIDOソリューションの展開について

photo
富士通 サービステクノロジー本部 ポータルサービス事業部 シニアマネージャー
揚田 昌人氏
 富士通 サービステクノロジー本部 ポータルサービス事業部 シニアマネージャーの揚田 昌人氏は「富士通によるFIDOソリューションの展開について」と題して講演を行った。

 2016年8月のFIDOアライアンスへの加盟後、2017年にはみずほ銀行の「みずほダイレクトアプリ」にFIDOに準拠した生体認証を提供した富士通。その後もFIDO認証の導入事例を増やしている。代表的な事例に、保険会社のアフラックが開始する新サービスに生体認証を提供した事例や、電子チケットの転売対策に対する本人確認にFIDO認証を活用する実証実験を富士通のアメリカンフットボールチームの試合で実施した事例がある。

 FIDO2への対応については、「内蔵の認証器の活用」、すなわちスマホなどの端末に内蔵された生体認証機能とCTAP連携することで、さまざまな認証器として使えることがFIDO普及のカギとなると揚田氏。

 「ユーザーの利用シーン、ニーズに合わせたFIDO認証を提供し、今後も銀行やEC決済、無人コンビニの実現、住宅や自動車の電子キーなどへの展開を進め、さまざまな生活シーンで安全で便利な認証を実現していきたい」と抱負を述べた。

FIDO2導入とヤフーが目指すパスワードレスの世界

photo
ヤフー IDソリューション本部 パスワードレス プロジェクトマネージャー
酒井 公希氏
 ヤフー IDソリューション本部 パスワードレス プロジェクトマネージャーの酒井 公希氏は、「FIDO2導入とヤフーが目指すパスワードレスの世界」と題して講演した。

 ヤフーは、2018年9月に国内初となるFIDO2の認定を取得。そして10月23日には、サービス事業者としては、世界で初めてFIDO2によるYahoo! JAPAN IDへのログイン機能をリリースした。Yahoo! JAPAN IDはヤフーのさまざまなビジネスを支えるだけでなく、外部サービスなどのソーシャルログイン機能などにも活用されている。

 ヤフーはこれまでにも、ユーザー調査の結果などから「パスワードを忘れた」「同じパスワードを使い回している」といった問題に対処すべく、認証機能の強化と利便性の実現に取り組んできた。そして、パスワードレス化の取り組みとして位置づけられるのがFIDO認証だ。

 今後は「FIDO認証に対応するデバイスやブラウザを増やし、また、さまざまな認証器とCTAP連携することで、多様なデバイスやブラウザからの接続を実現していきたい」と酒井氏は説明。さらに、ボードメンバーとして啓発プロモーションにも積極的に取り組むことで「パスワードのない、安全でシームレスな世界を実現していきたい」と話した。

LINEのFIDO導入と将来展望

photo
LINE セキュリティ室 マネジャー FIDOアライアンス ボードメンバー / FIDO Japan WG副座長
市原 尚久氏
 LINE セキュリティ室 マネジャーでFIDOアライアンス ボードメンバー / FIDO Japan WG副座長を努める市原 尚久氏が登壇。「LINEのFIDO導入と将来展望」と題してセッションを行った。

 LINEは、サービス事業会社として世界で初めてFIDOユニバーサバルサーバの認定を取得した。メッセージングアプリをベースに、コミュニケーションプラットフォームとしてさまざまなサービスを提供するLINE。キャッシュレス決済や仮想通貨サービスなどの金融サービスも手がけ、認証強化は重要な課題だ。

 そうした「パスワードが求められる」すべての場面で、従来のパスワード認証をFIDO認証に置き換えていきたいと市原氏は述べるが、「一部、カバーできない領域もある」という。そこで、UAF、U2F、FIDO2、すべてのプロトコルに対応した認証のユースケースを広げていくために、冒頭のユニバーサルサーバの認定取得は大きな意味を持ってくる。

 今後は、UXのさらなる改善に取り組み、さらにLINEのアカウントを使った外部サービスとの連携なども課題となる。そこで、上述したユニバーサルサーバをオープンソース化し、外部の開発者向けに活用してもらうことを決定。「2020年に向けて、サービスへのFIDO認証の実装を進めていきたい」と述べた。

閉会のあいさつ

 最後に、閉会のあいさつとしてアンドリュー・シキア氏が再び登壇。ここまでの登壇者、スポンサーに謝意を示すとともに、「2018年はFIDOにとって重要な1年となった」と振り返った。

 FIDO2に対応した製品、サービスが市場に投入され、サービスプラットフォームにも導入されている。2019年はますます発展が見込まれ、多くの企業がエコシステムに参加することで、パスワードのない、ユーザーフレンドリーな認証を実現していきたいとシキア氏は抱負を述べた。

 そして、FIDO Japan WGにも積極的に参加してほしいと会場に呼びかけ、セミナーを締めくくった。

photo
当日の展示ブースの様子。各ブースとも盛況だった。

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!