パスワードのいらない世界 加速するFIDO認証のエコシステム
アフターレポート | 第4回FIDOアライアンス 東京セミナー
- ありがとうございます!
- いいね!した記事一覧をみる
開催のご挨拶
東京で開催される本セミナーは4回目となり、自身が参加するのは2度目。この間、世界10カ所以上でセミナーを開催しさまざまな進展があった。
本セミナーでは日本におけるFIDO認証の実装の状況を紹介するとともに、今後のロードマップを紹介するとシキア氏は述べた。
FIDOアライアンスとFIDO認証の概要と最新状況
FIDOアライアンスは、1社、1国では解決が難しいパスワード認証の問題を解決するために設立された業界団体だ。「我々は、OSメーカー、Webブラウザーメーカー、チップセット、セキュアチップを組み込む企業、携帯、PC、タブレット、銀行、決済サービス、ECなどがアライアンスを組み、パスワード認証に関する問題の解決に当たっている」とマクドウェル氏。
FIDOが重視するのは「セキュリティ」「ユーザビリティ」「プライバシー」「インターオペラビリティ(相互運用性)」の4点。この観点に沿って、モバイルデバイスやWebブラウザーなどで、FIDOのネイティブなサポートが受けられるようになる。
また、認定プログラムも確立されている。生体認証は、サービスごとにデバイスが必要になるなど総合運用性がネックとなり普及が進まなかったが、この点も認定プログラムによるエコシステム確立により解決していく。FIDO2のスペックも2018年に発表される予定であり、これからの我々の取り組みにぜひ注目して欲しいとマクドウェル氏は締めくくった。
FIDO Japan WGの活動について~FIDOアライアンスの日本における取り組み~
富山氏は、グローバルな組織であるFIDOの日本における課題として「言語の壁」「時差」を挙げ、日本からメンバーとしての貢献、メリット享受が難しい状況があったと述べた。そこで、2016年12月に「FIDO Japan WG」が発足した。
発足時10社、発表時11社でスタートしたメンバーは、現在、25社まで増え、グローバル企業も参加している。「翻訳サブグループ」「マーケティグサブグループ」「デプロイメント@スケールサブグループ」「技術サブグループ」の4つのサブグループが、メディア寄稿や講演、展示会出展やWebサイト等を通じて国内に向けたFIDO技術およびFIDOアライアンスに関する情報発信を日本語で行っている。
FIDO2の概要と最新状況
FIDOを用いたWeb認証の仕組みは、Web標準技術を策定するW3Cにて標準化作業が進んでいる。JavaScript APIを用い、WebブラウザーがネイティブにFIDO認証をサポートするFIDO2は、2018年にはWeb標準としてリリースされる予定だ。
FIDO2から採用されるクライアント・デバイス間の通信プロトコル「CTAP」(認証デバイス連携)の整備も進んでおり、こちらも2018年の完成をめざしている。現在、Mozilla FirefoxやGoogle Chrome、Microsoft Edgeといったメジャーベンダーとのテストも進んでいる。
これにより、アプリやWebサービスからFIDO準拠の認証器を用いてユーザー認証などを行うのに必要なプログラムの実装がより容易になる。ナダリン氏はパソコンやブラウザーへのログインの模様をデモで示しながら、すべてのプラットフォームがFIDO2を採用してくれることを願っていると締めくくった。
最新FIDO2を含めたFIDO仕様に関する日本語での補足解説
FIDO認証モデルは、利用者と認証サーバーの間に認証器を置く。認証器とユーザー間は生体認証等でローカル認証を行い、認証器と認証サーバー間は、公開鍵暗号方式で認証することでなりすましのリスクを低減している。
さらに「相互運用性」「認定制度」の2つのエコシステムにより、生体認証技術を有する企業やOSベンダー、ID管理ソリューションベンダーや認証器ベンダーなどあらゆるプレーヤーが、FIDO認定を受けることで容易にエコシステムに参加できる。ぜひエコシステムとしてのFIDO活動に加わっていただきたいと関水氏は締めくくった。
GoogleにおけるFIDO認証導入事例~U2F、FIDO2、そしてAndroid/Chrome
グーグルではFIDOによる多要素認証を取り入れており、全社員がU2F(Universal Second Factor)プロトコルに準拠したセキュリティキーを持ち、認証に利用している。コンシューマー向けにもオプトインの機能として提供しており、従来のワンタイムパスワード(OTP)と比べて、認証にかかる時間は2分の1程度に短縮、サポートコストも長期的なコスト削減につながることが確認されているという。
他の企業での展開においては、拡張性や鍵(認証器)の紛失対策という課題があるが、「G Suite」のユーザーであれば、ダッシュボードで、権限設定、セキュリティキーの管理が行える。また、攻撃者の対象になりやすい要人向けのサービスとして10月に「Advanced Protection Program」を提供開始した。
さらに、FIDO UAF 1.1技術仕様を実装した初のデバイスとして、Androidスマートフォン2機種が発表されており、エコシステムが拡大している。Androidインフラは、ネイティブアプリ、Webアプリの双方でFIDO認証に対応していくとシェスキス博士は締めくくった。
富士通のFIDOへの取り組みと「みずほダイレクトアプリ」への適用事例
富士通株式会社は、2016年8月にFIDOアライアンスに加盟し、「Finplexオンライン認証サービス for FIDO」を提供開始。オンライン認証サービスをSaaS形式で提供し、FIDOサーバーの提供およびシステム構築支援等を行う。また、世界の各地域で、要望に応じワンストップでのグローバル展開が可能となっている。
これを利用したのがみずほ銀行「みずほダイレクトアプリ」で、2017年10月からFIDO認証を活用した生体認証機能を提供開始した。インターネットバンキングの不正送金事案が継続的に報じられている中で、生体認証は、お客様番号、パスワードを入力することなく一瞬でログインを可能にする仕組みとして注力していきたいと揚田氏は述べた。
顔認証を活用した金融機関向けNEC API連携プラットフォームサービスと沖縄銀行との取組みについて
NECはFIDO認証を含む金融機関向け「API連携プラットフォームサービス」を提供する。オープンAPIに対応し、APIゲートウェイやFIDO生体認証、モバイルアプリの高速開発環境がパッケージになっている。
これを利用したのが沖縄銀行だ。同銀行のアプリで、FIDO生体認証を本格活用を予定している。高速開発ツールを活用し、アプリ開発を内製化しアジャイル化、現在、主要機能の評価中で2018年春にはアプリが正式に公開される予定だ。
NECは、FIDO UAFに準拠に準拠した指紋、掌紋、静脈、顔、DNA、虹彩、声紋など多様な生体認証のテクノロジーを保有しているのが強み。これらをもとに、FIDOのさらなる活用に向けサービスの拡充に努めていくと青柳氏は抱負を述べた。
スポンサーによるプレゼンテーション
引き続き、本セミナーのスポンサー企業がプレゼンテーションを行った。Nok Nok Labs, Inc.事業開発ディレクター 宮園 充氏
Nok Nok Labs, Inc.はFIDO認証のソリューションベンダーで、お客様に対してコンポーネントを提供するほか、認証器ベンダーにソフトウェア開発キット(SDK)を提供しエコシステムを展開している。宮園氏は、同社の差別化要因として「FIDOアライアンスの創設メンバーで、FIDO標準を共同策定した」点を挙げる。また、機能面での優位性としてFIDO対応ではない端末からFIDOを利用する際の「アウトオブバンド認証」や、アクセス場所や移動スピード、デバイス・ヘルス、登録された指紋の区別等が可能な「リスクシグナルによる評価」を紹介した。
飛天ジャパン株式会社 取締役 岑 慕蘭氏
飛天ジャパン株式会社は中国のハードウェア認証デバイスメーカーであるFeitianグループの日本法人で、中国国内に自社工場をもち、1億以上のセキュリティデバイスを出荷している。日本では13年前からビジネスを開始し、U2Fデバイスおよび、FIDO対応クラウドサービス「らく認」を提供開始した。他のソリューションベンダーと連携して、FIDO技術の普及に貢献していきたいと岑氏は抱負を述べた。
株式会社ディー・ディー・エス 研究開発本部 取締役 林 森太郎氏
Egis Technology Inc. コンサルタント Zake Huang氏
指紋認証ソリューションを提供しており、GoogleやYouTube、Dropboxといったさまざまなオンラインサービスのシングルサインオンや、台湾のCAプロバイダーと連携しトークンを使った金融機関へのログオンも可能だ。パートナーとの連携を進め、指紋認証器、NFC、Bluetooth、USBなどと連携した指紋認証ソリューションの提供に取り組んでいきたいと抱負を述べた。
マイナンバーカードによる本人確認とFIDOの連携について
同社は、オンライン取引に必要な本人確認に、配付が始まっているマイナンバーカードを活用。ジャパンネット銀行の本人確認手続でFIDOを利用した実証実験を行うことを2017年8月に発表した。口座開設時に、専用アプリをダウンロードし、スマホにマイナンバーをかざして、本人確認。氏名、住所、生年月日、性別の4情報を取得し、地方公共団体情報システム機構(J-LIS)に定期的に接続しながら、属性変更を検知していく仕組みだ。
工藤氏は、将来的に残高照会、送金などの機能も同じアプリに統合され、普段使いの認証はFIDOを利用していくと述べ、マイナンバーカードの普及と併せ環境整備を進めていきたいと抱負を述べた。
ゲスト講演:金融API向けOAuthへのFIDO認証の導入 ~OpenID Foundationでの標準化動向を俯瞰して~
Open IDファウンデーションは、デジタルID技術に特化した国際的な標準化団体。作業部会が幾つかあるが、本講演ではFIDO認証に関わる「Enhanced Authentication Profile(EAP)」「Financial API」の紹介を行った。
特にFAPI WGの活動では、英国のUlster BankがオープンAPIに対応し、口座の残高、取引履歴などの機能を外部の開発者向けに公開した。英国のオープンデータ研究所による英国の銀行のAPI化の指針のレポートである「Open Banking Standard」では、技術やプライバシー、セキュリティ仕様やルールが、「OAuth2.0」を前提に記載されている。日本でもその影響を受け、検討が開始されている。APIではOAuthをサービスに適用するためのプロファイル(拡張機能)を策定している。
FIDOアライアンスとOpenID ファウンデーションは協調関係にあり、FIDOが認証を、OAuth及びOpenIDがIT連携を補完し合う。両者の協調関係でよりセキュアなID連携をめざしていきたいと倉林氏は締めくくった。
欧州におけるFIDO認証~その機運と可能性~
特に、PSD2は、2018年1月13日までに法制度化することが義務づけられており、ユーザーの認証は多要素認証を始めとするセキュアな仕組みが求められている。すでにオープンAPIの定義が始まっているが、APIの仕組みは顧客体験(UX)にも影響を及ぼす。たとえば、ユーザーが3つのオンラインバンキングで口座を参照したいときに、それぞれの銀行で認証の方式が違うとユーザーの負担、不満につながるからだ。
そこで、標準化された認証の仕組みとしてFIDOが価値を持つ。他要素認証とデジタル署名がセットになったFIDOは個人情報も保護してくれる。各法規制への準拠とUXの両立に期待しているとマーティン氏はコメントした。
LINEが期待するFIDOの可能性について
LINEでAccount abusingと呼んでいるアカウントなりすましなどの問題はこれまで数多くあった。そこでLINEではID認証の仕組みとして、SMS認証やEメール認証、2経路型PINコード認証やQRコード認証などの認証方式をサポートしてきた。今後はコネクテッドカーやIoTの進展により、ユースケースごとに、認証のアーキテクチャが複雑化するため、認証UXをいかに楽に、安全にするかが重要になる。キーワードはno more password。
そこで鍵を握るのがFIDOの活用だ。LINEアプリを持っていれば、いろんなサービス、機能にアクセスできる「スマートポータル」構想にも欠かせない技術であり、市原氏は、FIDOに対し、持続可能なエコシステムと相互運用性へのさらなる配慮を期待すると述べた。
パスワードのいらない世界へ~NTTドコモにおけるFIDO認証導入事例とエコシステムへの貢献
株式会社NTTドコモでは「dアカウント」のログイン認証にFIDO認証を採用、2015年5月に、3メーカー、4機種から世界初となる虹彩認証を含む生体認証への対応をスタートした。2016年にはiOSにも対応し、Androidでは2017年に7メーカー、38機種にまでFIDO認証の選択肢が広がった。
12月8日には、FIDO UAF 1.1を実装した初のFIDO認定製品となった「dアカウント」アプリを搭載した「Xperia XZ1 SO-01K」「Xperia XZ1 Compact SO-02K」の2機種が紹介された。最新のAndroid OSに追加された「キーの構成証明機能(Key Attestation)」を活用し、端末メーカーによる機種ごとのカスタム実装なしに、手軽にFIDO UAFアプリを搭載できるようになった。
講演では、リモコン入力シーンでの認証も便利にする「スマホで認証」、ドコモ FIDO® Certified(認定)端末がdアカウント認証以外でも利用されるようになったFIDO認証の広がり、「arrows NX F-01K」によるdアカウント 虹彩・指紋 同時認証待受け対応などへの取り組みについても紹介があった。
森山氏は、2020年に向けて、お客様の利便性とセキュリティを両立させるために、さらなる相互運用性とエコシステムの確立が重要になると語った。
閉会のご挨拶
セミナーの締めくくりに、アンドリュー・シキア氏が再び登壇。ここまでの登壇者、スポンサーに謝意を示すとともに、FIDOの進捗に日本のリーダーシップが発揮されていると述べた。FIDOアライアンスとしては、大きな問題となっているデータ侵害の問題に対し、主導的な役割を担うメンバー企業と共に引き続き取り組んでいきたいと述べた。IoTやコネクテッドカーにも認証は不可欠の課題で、そのためにFIDO2の標準化を早期に完了したいと抱負を述べるとともに、日本企業もWGに積極的に参加してもらいたいと会場に呼びかけた。