オープニング・キーノート

　まず、オープニング・キーノートとして、FIDOアライアンス エグゼクティブディレクター 兼 CMO（最高マーケティング責任者）のアンドリュー・シキア氏が登壇した。

　FIDOアライアンスは、2012年の設立以降、パスワードレスの体験を実現する「UAF」、パスワードを補完するセキュリティキーによる2段階認証の仕様である「U2F」、そしてWebブラウザを通じて端末に組み込まれた生体認証や外部接続のセキュリティキーなどと連携する「FIDO2」の3つの仕様を標準化することに務めてきた。

　2019年は、AndroidやWindows Helloなどの各種プラットフォームがFIDO認証をサポートし、20億を超えるデバイスでFIDO認証を利用できるようになった。また、FIDO認証の適用領域を拡大すべく、新たな活動領域として、Identity Verification & Binding WG（本人確認と認証に必要な紐づけに関する作業部会）およびIoT TWG（IoT技術作業部会）が新たな参加メンバーと併せて紹介された。

　シキア氏は、「非常に大きな動きのあった重要な1年となった」とし、来年6月にシアトルで開催予定のFIDO主催カンファレンス「Authenticate 2020」への抱負を述べるとともに、2019年の取り組みを、続くセッションで詳しく紹介すると述べた。

ゲスト・キーノート：第八大陸へのパスポート

　続いて、「第八大陸へのパスポート」と題したゲスト・キーノートに登壇したのは、OpenID Foundation 理事長で、野村総合研究所 IT基礎技術戦略室 上席研究員の崎村 夏彦氏だ。

　デジタルアイデンティティとプライバシーに関する国際標準化を専門とする崎村氏は、「今、我々は4回目の産業革命に差し掛かっている」と語る。それまでの産業革命と大きく違う特徴は「新たな生活空間の導入」、すなわち、サイバー空間の提供にあるという。

　そして、サイバー上の“新大陸”（第八大陸）をめぐってGAFAM（ガーファム）と呼ばれる巨大プラットフォームが覇権を争ってきた。

「サイバー大陸で自身の分身となるのがデジタルアイデンティティです。サイバー空間における認証には『パスワード』のような、当事者間にのみ知られているシェアードシークレット（共有の秘密）の弱点という問題がありました」（崎村氏）

　なりすましによる不正ログインを防ぐための仕組みとして、FIDOのような、フィッシング耐性を持った認証の仕組みを活用することは「第八大陸へのパスポート」となり得る。しっかりしたアイデンティティ管理、標準化されたアイデンテイティプロトコル、安全なエンティティ認証、これらの上でのアプリ運用そしてこれらを全て合わせたものがパスポートであり、アイデンティティの相互承認が重要だと述べた。

　崎村氏は、「今出回っているAndroid端末のほとんどはFIDOに対応しており、iOSやSafariも対応が進んでいる」と現状について語り、「安全な認証の次のステップに向け、何ができ得るか共に考えてほしい」と締めくくった。

国内におけるFIDOの展開、その最新状況

　引き続き、FIDOアライアンス Executive Councilメンバー FIDO Japan WG座長で、NTTドコモ プロダクト部 プロダクトイノベーション担当部長の森山 光一氏が「国内におけるFIDOの展開、その最新状況」と題したセッションを行った。

　国内におけるFIDO認証の普及を担うFIDO Japan WGは2016年に発足し、言語や時差の問題を解消し、日本語でFIDOについての理解を促進するミッションを果たした。現在では43社のメンバーを数えているという。

　2019年の実績として、7月22日、ゆうちょ銀行のインターネットバンキング「ゆうちょダイレクト」の本人認証にFIDOを導入。さらに、「LINE Pay」アプリがFIDO2を搭載、9月23日にはiOSからスタートしてAndroidも対応が始まるなど、ユースケースが増えてきた。

　また、KDDIのホストのもと、相互運用性を確保するための「相互接続性テスト」が11月に国内で初めて実施され、国内から参加した企業が新たに認定を取得した。そして、パスワードレス認証については、Yahoo! JAPAN、ISRをはじめ、NTTドコモも2020年2月に導入を予定している。

　森山氏は、「2020年に向け、FIDOの取り組みにさらに注目してほしい」と意気込みを述べ、最後に、コンシューマー向けサービスやエンタープライズと異なる要件を求める環境へのFIDO導入を目指した新たな取組として、大学ICT推進協議会（AXIES）との連携の紹介とともに締めくくった。

韓国におけるFIDOの展開

　会場では、FIDOアライアンス ボードメンバー FIDO Korea WG共同座長で、サムスン電子 モバイル・セキュリティテクノロジーズ シニアバイスプレジデントのヘンリー・リー氏が登壇した。

　サムスン電子では、FIDOアライアンスが設立された翌年、2013年に、初めてFIDO認証（FIDO Ready仕様）に対応した「GALAXY S5」をリリースした。

　2018年には、韓国におけるFIDOの作業部会が発足。2019年は、初めてFIDOバイオメトリクス部品認定を受けたコンポーネントが搭載された「GALAXY S10」が発売された。

　リー氏は、FIDO活用の理由として「セキュリティ」「利便性」の2点を挙げた。

　同社が開発するモバイル端末だけでなく、いくつかのサービスがFIDO認証をベースに開発されている。たとえば、決済サービスの「Samsung Pay（サムスンペイ）」や「Samsung Pass（サムスンパス）」だ。Samsung Passは、ネットバンキングなどのパスワードを1カ所に格納できるウォレットのようなものだ。

　また、韓国におけるFIDOの作業部会の取り組みとして、リー氏は「FIDOハッカソン」を挙げた。これは、FIDOがどのように機能するのかを理解したうえで、ビジネスプランのアイデアを考えるコンテストだ。40の申し込みに対し、審査の結果、11のアイデアが決勝に残り、上位3名が表彰された。「こうしたビジネスコンテストから、新たなパートナーシップが生まれることを期待する」と、リー氏は今後への期待を述べ、セッションを終えた。

台湾におけるFIDOの展開

　続いて、FIDOアライアンス ボードメンバー Government Deployment WG共同座長で、イージステクノロジー バイスプレジデントのカレン・チャン氏が「台湾におけるFIDOの展開」と題した講演を行った。

　台湾では、内務省が発行した「MOICA」と呼ばれる電子IDの運用を2020年から開始する。FIDO認証が導入され、MOICAによって各種申請や住民サービス、健康情報、労務サービス、税務申告などが電子的に行えるようになる。

　この狙いについて、「より良いユーザー体験、モバイル対応、強固なセキュリティに対するニーズに応えるために、オンラインの認証と本人確認にFIDOを活用した」とチャン氏は説明する。

　「台湾のオンラインによる申請率は約27％で、段階的にオンラインの割合を50％に伸ばしていきたい」とチャン氏は抱負を述べる。2020年5月からは、FIDOを使った電子的な仕組みによって所得税納付が行えるようになるという。チャン氏は、「今後は政府機関だけでなく、金融機関をはじめとする民間企業などへもユースケースを拡大していきたい」と締めくくった。

「FIDO認定」と国内で初めて開催した「FIDO相互接続性試験」

　「FIDO認定と国内で初めて開催したFIDO相互接続性試験について」と題した次のセッションでは、KDDI 商品技術部 課長補佐の松井利樹氏が講演を行った。

　FIDOインターオペラビリティテスト、通称「IoPテスト」は、FIDOに対応した製品、サービスの提供を考える事業者に必須のものだ。

　松井氏は、FIDO対応製品のリリースまでのプロセスを紹介した。まず、開発中の製品が正しくFIDOに準拠しているかをチェックするコンフォーマンステストツール（Conformance Test Tool）を経て、IoPテストイベントの申し込み、申し込み後の試験へと続く。

　KDDIは、FIDO相互接続性試験を日本で開催した際に、「自分たちもFIDO認証を業務活用したい」と考えたという。そこで、業務端末のiPhoneを認証器とし、パソコンをパスワードレスでログイン可能な仕組みを構築した。

　認証器だけに用意されている認定として、セキュリティ認定の紹介があり、「高度なセキュリティ要件を求められる認証器ベンダーは、機能認定試験の後に実施されるセキュリティ認定の取得が望ましい」と説明があった。

　IoPテストは、テスト自体は無料で、合格すると1製品につき所定の認定料を1度だけ支払う料金体系となっている。松井氏は、「ぜひ多くの企業がテストを受けて、私たちとともに活動してほしい」と締めくくった。

スポンサーによるプレゼンテーション

　会場では、本セミナーのスポンサー企業によるプレゼンテーションが行われた。

ディー・ディー・エス　林 真史氏
　ディー・ディー・エスは、指紋認証をはじめとするソリューションベンダーである。同社では、FIDOを用い、クラウドサービスにログインする業務用の認証基盤として「マガタマサービス」を2018年にリリースした。2019年は、FIDO2への対応や、認証用のアプリで顔認証が追加されるなどの機能拡張があった。

　また、ChromebookやWindows端末での利用検証や、各種パートナー企業サービスや認証デバイスとの連携も進めているという。リアル店舗における本人確認をFIDOで実装した事例の紹介と合わせて、林氏は、「今後も、FIDOを用いて安全とプライバシーを担保し、社会的な課題の解決に取り組んでいきたい」と抱負を述べた。

飛天ジャパン　志村 憲一氏
　飛天ジャパンは、中国のハードウェア認証デバイスメーカーであるFeitian Technologiesの日本総代理店として、Feitian Technologies製ハードウェア認証デバイスを日本の多くの企業に提供している。

　飛天グループは、2014年にFIDOアライアンスのメンバーとして参加。2018年10月にはFIDO2に準拠した指紋センサー搭載の認証デバイス「BioPassFIDO2」をリリースし、2019年の8月には、パスワードレスでWindows OSへログオンするソリューション「SecureCore For BioPass」をリリースした。志村氏は、「ぜひ認証指紋デバイスを体感してほしい」と締めくくった。

Nok Nok Labs　大久保 勇次氏
　FIDOアライアンスの創設メンバーの1社で、FIDO UAF仕様の発案を行ったNok Nok Labsは、国内の移動体通信会社や大手金融機関でも採用実績のある製品が特徴だ。

　「S3 Authentication Suite」というパッケージ製品は、認証サーバにインストールして利用する。また、AndroidやiOSのアプリケーションに、FIDOの認証機能を組み込むためのSDKも提供している。

　大久保氏は、「これらの製品を利用してFIDOの認証基盤を非常に短期間かつ低コストで実現することが可能だ」と語った。

Yubico VP Sales Korea & Japan　大友 淳一氏
　Yubicoが提供するセキュリティキー「YubiKey（ユビキー）」は、700万個以上、4000社以上で利用実績がある。現在、USB TypeCとLightningコネクタ対応を含むさまざまなタイプ・形態のセキュリティキーを販売している。

　また同社は、FIDO2やWebAuthn、CTAPといった仕様策定にも関わっており、指紋（フィンガープリント）対応の「YubiKey bio」という製品も目下開発中だという。

　大友氏は、「来年には発売予定であるため、ぜひ利用してほしい」とプレゼンテーションを終えた。

パネルディスカッション：技術的に観たFIDO認証の本質

　続いて、サムスン電子のヘンリー・リー氏と、Yubico ソリューション・アナリストのジョン・フォンタナ氏、グーグル デベロッパーアドボケイトのえーじ氏、LINE セキュリティ開発チーム エンジニアのキーユン・シン氏をパネリストに招き、「技術的に観たFIDO認証の本質」というパネルディスカッションが行われた。


　モデレーターであるヤフー Yahoo! JAPAN研究所 上席研究員の五味 秀仁氏から、「FIDOでは秘密鍵や指紋などの生体情報はどこに格納されるのか」と問われたリー氏は、「基本的には指紋情報はチップセットで保護された場所に格納される」と説明した。

　また、認証器のユースケースについて、えーじ氏は「グーグルでは大きく2つのユースケースがある」と語る。1つが、二要素認証におけるFIDOを活用した認証器（セキュリティキー）だ。2つ目は、再認証という機能で、これはユーザーが持っているデバイスにある認証器（プラットフォーム認証器）を使うことによって、生体認証を組み合わせて容易にログイン可能なものだ。

　そして、「ネットワークパスワードはいつなくなるのか」という問いに対してフォンタナ氏は、「年というより、パーセンテージで考えている」と述べ、「この10年でおそらく大半をパスワードレスが占めると思われるが、そこから先は、技術の問題というよりも『マンパワーと時間』の問題であろう」との見通しを示した。

　一方、シン氏も同じ問いに対し、「時期はわからない」とした上で、LINEを利用する際の認証はFIDOなしには成り立たず、プラットフォームとしての依存度が高い点を挙げた。すなわち、プラットフォームでFIDOをサポートすることで、パスワードがなくなる世界を実現できるだろうということだ。

グーグルにおけるFIDOへの取り組み、その最新状況

　会場では、前出のえーじ氏が続けて登壇。「グーグルにおけるFIDOへの取り組み、その最新状況」と題したセッションが行われた。

　Google Chromeでは、2018年にリリースされたバージョン67から「WebAuthn」のサポートを開始した。そして、Google Chromeだけでなく、Firefox、Edge、そしてまだ一部ではあるが、Safariでもサポートされたことで、日本のインターネットユーザーの約9割をカバーできるとし、「WebAuthn」がWeb標準となったことは「大きな意義のあることだ」とえーじ氏は語った。

　さらに、Android OSをプラットフォームオーセンティケーター（認証器）として利用可能になった。これは、デバイスに備わる生体認証の機能や画面のアンロック機能を使って本人確認を可能にするものだ。

「新しいGoogle Chromeのバージョン79からは、より広い本人確認の機能が利用できるようになります」（えーじ氏）

　ユーザーが保有するスマートフォンをセキュリティキーとして利用できる「caBLE（cloud assisted Bluetooth Low Energy）」も目下開発中で標準化を目指すとし、「標準化にはまだ時間がかかるかもしれないが、楽しみにしてほしい」とセッションを締めくくった。

富士通におけるFIDOの応用　ビジネス領域におけるFIDOの適用への挑戦

　続いて、テプコシステムズ ICT推進室 DX推進部 主任の田畑 佑樹氏と、富士通 ソフトウェア事業本部 生体認証事業部 第一ソリューション部 部長の揚田 昌人氏による「富士通におけるFIDOの応用　ビジネス領域におけるFIDOの適用への挑戦」と題したセッションが行われた。

　揚田氏は、FIDO認証を簡単に導入できるソリューションとして「オンライン生体認証サービス」を提供しており、この導入事例としてテプコシステムズを紹介した。

　テプコシステムズは、東京電力グループの情報システム部門を担う企業だ。そして、DX推進部は、グループ全体のDXの取り組みをけん引する。

　田畑氏は、その取り組みの1つとして、「TEPCOスナップ」というサービスを紹介した。

　このサービスは、電柱・電線などの電力資産の不具合を、市民が位置情報や写真付きで通報、作業員が現場に到着する前に状況を確認できるものだという。富士通の協力のもと、FIDOに適応している。

　田畑氏は、「これにより、ID・パスワード認証より利便性を向上した生体認証を実現できた。今後も東京電力グループ全体のDX推進にまい進していきたい」と抱負を述べた。

LINE PayへのFIDO2実装

　引き続き、LINE サイバーセキュリティ室 室長でFIDOアライアンス ボードメンバー FIDO Japan WG副座長の市原 尚久氏が「LINE PayへのFIDO2実装」と題したセッションを行った。

　1人が利用するインターネットサービスの数は非常に多く、「体感的には、1人100個くらいのアカウントを持っているのではないか」と市原氏は語る。パスワード漏えいに関連した不正アクセスや情報漏えいは後を絶たず、企業ではパスワード運用のサポートにかかるコストも膨大だ。

　FIDO認証の優位性について市原氏は、「利便性」と「相互運用性」、そして、生体認証の情報がFIDOクライアントの外側に出ないという原則による「プライバシー保護」の観点を挙げた。

　LINEでは、2018年にUniversal Server認定の取得に続き、2019年9月、「LINE Pay」アプリにFIDOが採用された。

　今回のFIDO実装においては、LTSM（LINE Trusted Security Module）の部分で工夫があり、Whitebox Encryptionを使ってソフトウェアレイヤーで、Attestation Keyを管理する手法が取られた。

　この先には、ビジネスユースでの利用もされているデスクトップ版のLINEアプリのFIDO対応を検討しているという。また、金融領域のサービスについても、「LINE Payが新たな本人確認手段としてeKYC（electronic Know Your Customer）に対応するなど、本人確認、生体認証の実装にこれからチャレンジしていきたい」と述べるとともにパスワードレスをさらに進めていきたい、と抱負を述べた。

ID・パスワードのあり方を変える　NTTドコモにおけるdアカウント パスワードレス認証への取り組み

　NTTドコモ プロダクト部 プロダクトイノベーション担当課長で、FIDOアライアンス ボードメンバー FIDO Japan WG副座長の富山 由希子氏が「ID・パスワードのあり方を変える～NTTドコモにおけるdアカウント パスワードレス認証への取り組み」と題したセッションを行った。

　NTTドコモでは、dアカウントのパスワードレス認証に取り組んでいる。7100万以上のdポイントクラブ会員がオンラインでサービスを受けるのに必要なのが「dアカウント」だ。

　これまではFIDO生体認証とパスワード認証が併存しており、生体認証を設定する利用者の割合は、約6割にのぼる。これを今後はパスワード入力欄をなくし、FIDO生体認証のみにするという。

　これにより、「第三者によるパスワードの奪取と、それに起因する不正アクセスを原理的に防ぐことが期待される」と富山氏は語る。

　また、生体認証機能が利用できないユーザーに対してもパスワードレス認証が利用できるように、Android7以降のデバイスで利用可能となっているFIDO2の機能を活用する事が明らかになった。具体的には、dアカウント設定アプリが2020年4月（予定）にFIDO2対応し、Android 8.0以降の機種で画面ロックの解除機構でのFIDO認証が可能になる。

　富山氏は、このような取り組みを通じて「パスワードのいらない世界を目指していきたい」と抱負を述べ、セッションを終えた。

パネルディスカッション：デジタルトランスフォーメーション（DX）時代におけるFIDO認証が果たす役割

　続いて、OpenID Foundation 理事長の崎村 夏彦氏とイージステクノロジー バイスプレジデントのカレン・チャン氏、伊藤忠テクノソリューションズ 技術戦略グループ 未来技術研究所 事業創出グループ シニアプロデューサーでOpenIDファウンデーション・ジャパン 理事の富士榮 尚寛氏、NTTドコモの森山 光一氏をパネリストに「デジタルトランスフォーメーション（DX）時代におけるFIDO認証が果たす役割」と題したパネルディスカッションが行われた。


　モデレーターであるLINEの市原 尚久氏から「歴史的な中で、今FIDOの役割で何が変わったか」を問われた森山氏は、「FIDOに対する認知度が高まり、FIDOの認証方式についての理解も進んだ」との現状を示した。

　また、「本人確認をしたIdentityに対する認証として、フィッシング耐性のあるFIDOが有効であるという議論が、FIDOアライアンスの外部でできるようになり、FIDOがどのように役立つのかがクリアになってきた点が大きな変化として挙げられる」と述べた。崎村氏は、「要素技術は整ってきたものの、FIDOが担うのは、認証のライフサイクルの中の一部だ」と指摘し、次なるステップについて語った。

「生体の情報とFIDOオーセンティケーターの間の情報の結びつけ（バインディング）を強くしていくのが次の課題になるだろう」（崎村氏）

　認証キーをなくしたとき、どう巻き戻すか（ロールオーバー）という問題は、個人が保有するアカウントの数が増えれば増えるほど、大きな問題となるからだ。すなわち、「トラストな世界を作り上げるためには運用が非常に重要」ということだ。

　また、チャン氏は台湾の状況について言及し、政府主導でFIDO準拠を推進している点について、「日本とは文化的な違いがあるのではないか」と述べた。台湾では、政策の推進に関わるものであれば、先進的なICT技術であっても、比較的に政府主導で、政府が最初の市場としてその技術を使っていこうという機運があるそうだ。そして、政府のユースケースに続いて、他の産業にも波及していくことが多いという。

　IDのライフサイクルの考え方として、「生涯IDの取り組み」を試行するのが富士榮氏だ。たとえば、高校生がオープンキャンパスからはじまって大学に出願、入試、合格して入学してから卒業するまでのライフサイクルにおいて、IDの意味は変化し、認証強度も変化する。一方で、それらライフサイクル全体の運用をID・パスワードで担うのは「リテラシーもない状態からパスワードをずっと運用し続けるのは限界がある」という。

　そこで、FIDOに準拠した仕組みで、「たとえば、LINEアカウントと連携して認証を行えば、最初からある程度、使い勝手が良くてかつ認証レベルの高いものが提供できる」というのだ。こうした個人のライフステージに応じた、認証強度の変化にパスワードレスで対応する取り組みを試行している。

　最後に、NTTドコモとして森山氏は、「フィッシング問題は社会的な問題であり、業界をあげて解決していく必要がある。キャリアの立場でできることにしっかりと取り組んでいきたい」と述べた。

閉会のあいさつ

　最後に、アンドリュー・シキア氏が閉会のあいさつに再登壇。ここまでの登壇者、スポンサーに謝意を示すとともに、「2019年はFIDOにとって大きな進展があった」と振り返った。

　シキア氏は、「FIDOは認証の将来であり、『パスワードがなくなる世界』がいつ到来するかはわからないが、正しい方向性が示せている」と総括。「パスワードへの依存度を下げ、情報の漏えいを減らしていくために、FIDO認証に対応した製品、サービス、周辺のエコシステム確立は不可欠である」と語った。

　そして、今後のFIDOアライアンスの取り組みにぜひ期待してほしいと会場に呼びかけ、セミナーを締めくくった。