More Related Content Similar to 2020 0218 - パスワードのいらない世界へ:FIDOアライアンスとFIDO認証の最新状況 (20) More from FIDO Alliance (20) 2020 0218 - パスワードのいらない世界へ:FIDOアライアンスとFIDO認証の最新状況1. All Rights Reserved | FIDO Alliance | Copyright 2020
セキュリティ マネジメント カンファレンス 2020 冬 大阪
パスワードのいらない世界へ
FIDOアライアンスとFIDO認証の最新状況
2020年2月18日
FIDOアライアンス
アジア・パシフィック マーケット開発マネジャー
土屋 敦裕
2. All Rights Reserved | FIDO Alliance | Copyright 2020
本日の内容
• FIDO(ファイド)アライアンスのご紹介
• FIDO認証
• FIDO認証モデル
• FIDO仕様
• FIDO認定プログラム
• 2019年のハイライト~プラットフォーム対応と新しいWG
• FIDO Japan WGの活動と国内におけるFIDOの展開状況
• FIDO Japan WG
• 国内におけるFIDO認証の導入事例(FIDO UAF & FIDO2)
• パスワードレスに向けての事例
• おわりに
2
3. All Rights Reserved | FIDO Alliance | Copyright 20203
WHY FIDO? パスワード課題への挑戦
Data breaches in
2016 that involved
weak, default, or
stolen passwords1
Increase in
phishing attacks
over the number of
attacks recorded
in 20152
Breaches in 2016,
a 40% increase
over 20153
1Verizon 2017 Data Breach Report |2Anti-Phishing Working Group | 3Identity Theft Resource Center 2016
CLUMSY | HARD TO REMEMBER | NEED TO BE CHANGED ALL THE TIME
81%
65%
1,093
パスワードに起因したデータ流出の増加
煩雑 覚えるのが大変 日々パスワードの変更も求められる
5. The Fast IDentity Online Alliance
- FIDO ALLIANCE, INC. (A NONPROFIT MUTUAL BENEFIT CORPORATION) -
FIDO(ファイド)アライアンス
2012年に設立されて以来、現在約250社で構成される
米国カリフォルニア州法に基づくグローバルな非営利団体(相互利益法人)
パスワードと認証にまつわる課題解決のため、
• 「FIDO認証モデル」に基づく技術仕様の策定
• 技術仕様を導入展開するためのプログラム運営
• 各標準化団体との協業などを通じたさらなる導入展開を推進
All Rights Reserved | FIDO Alliance | Copyright 20205
6. All Rights Reserved | FIDO Alliance | Copyright 2020
FIDOアライアンスは、パスワード課題の解決に注力する
グローバルな業界の連携であり、その特徴は
「共有の秘密」に依存しないことです。
FIDO Alliance is the global industry
collaboration dedicated to solving the password
problem
…with no dependency on “shared secrets”
6
7. All Rights Reserved | FIDO Alliance | Copyright 2020
FIDO認証モデル
公開鍵暗号方式を活用した
オンライン認証
セキュリティと
使い勝手の両立をめざす
「共有の秘密」は不正アクセスの原因
FIDO認証モデルでは
「秘密」が共有されず、安心
FIDO認証器
例えば、生体情報
秘密鍵 公開鍵
ID・パスワード(“Shared Secret”)
FIDO認証器に
秘密鍵を格納
公開鍵で署名検証
7
8. All Rights Reserved | FIDO Alliance | Copyright 2020
従来の認証モデル(リモート認証)
• 利用者はIDとクレデンシャル=資格情報(認証情報:パスワードなど)を通信路を介し
て認証サーバーに対して送付する。認証サーバーは受け取ったIDを識別し、資格情報が
IDに紐付いた適切な情報であるか否かを検証する。
• この場合、利用者の資格情報はあらかじめ認証サーバーが保管し、識別と検証の処理は
認証サーバーで行う。(利用者・端末とサーバーで「秘密」を共有する)
パスワード:12345
パスワードの入力 資格情報
認証サーバー利用者
ID パスワード
利用者A 12345
利用者B abcde
利用者C password
利用者A
8
ユーザ・端末から漏洩
通信経路から漏洩
サーバーから漏洩
12. All Rights Reserved | FIDO Alliance | Copyright 2020
FIDO認証の特徴と “プライバシーポリシー”
FIDO認証プロトコルはend-endであり、第三者の介在はない
サーバー側で秘密情報が生成されたり保存されることはない
(FIDO認証の鍵ペアのうち、秘密鍵はFIDO認証器の外に出ない)
生体情報はFIDO認証器に保存され、外に出ない
異なるサービス・アカウントに対して、FIDO認証の鍵ペアは独立
12
13. FIDO Specifications
FIDO UAF FIDO U2F FIDO2
WebAuthn*
(W3C)
CTAP
* FIDOアライアンスから仕様(案)を開示し、W3Cとして仕様化
UAF : Universal Authentication Framework(パスワードレス認証)
U2F : Universal Second Factor(2段階認証)
WebAuthn:Web Authentication(ウェブ認証)
CTAP:Client to Authenticator Protocol(デバイス間連携仕様)
FIDO認証モデルに基づくFIDO仕様群
All Rights Reserved | FIDO Alliance | Copyright 202013
14. FIDO認証の仕様化(2014 – 2018)
パスワードレスの体験(UAF:Universal Authentication Framework)
認証成功(オンライン)
3
生体情報によるユーザーの検証*
21
?
認証開始(チャレンジ) 認証成功(オンライン)
3
2要素目の認証開始(チャレンジ) セキュリティキーを挿入* /
ボタンを押す
2段階認証の体験(U2F : Universal Second Factor)
*他タイプの認証器もある
21
All Rights Reserved | FIDO Alliance | Copyright 202014
16. All Rights Reserved | FIDO Alliance | Copyright 2020
FIDO認定プログラム
• 機能認定(エンド・エンド):
• 適合性テスト
• 相互接続性テスト
• FIDO認証器のセキュリティ認定:
• 秘密鍵保護がどれだけ優れているか?
• 第三者ラボによる検証
• 新設されたバイオメトリクス部品認定でさらに充実
• ユニバーサルサーバー:
• FIDO認定された全ての認証器との適合性を確保
16
17. All Rights Reserved | FIDO Alliance | Copyright 2020
FIDO認証器のセキュリティ認定:さまざまなユースケースに
対応するセキュリティレベル
ハード・ソフトの要求条件の例 防衛の対象
チップへの故障利用攻撃と
侵入型攻撃に対する保護機能等 L3+
捕捉されたデバイス
(チップレベルの攻撃)
基板のポッティング、パッケージ・オン・パッケージ
(PoP)、RAM暗号化等
L3
捕捉されたデバイス
(基板レベルの攻撃)
デバイスは機密動作環境(ROE: TEE、Secure
Element等)が必須、
或は、本質的に機密動作環境のデバイス(USB
トークン、スマートカード等)
L2+
デバイスのOSの危殆化(きたいか)
(ROEで防衛)
L2
どんなHWやSWでもよい
L1+
デバイスのOSの危殆化(きたいか)
(ホワイト・ボックス暗号化で防衛)
L1
フィッシング、サーバーのクレデンシャル流失、中間者攻撃
(パスワードよりベター)
17
19. All Rights Reserved | FIDO Alliance | Copyright 2020
FIDOアライアンス 2019年上半期 ハイライト
初のFIDOバイオメトリクス部品認定
(2月20日)
Android 7+ デバイスの
FIDO2認定
(2月25日)
Windows 10 デバイス
Windows HelloのFIDO2認定
(5月6日)
W3C:EMVCo、FIDOアライアンスとWebペイメントの
セキュリティと相互運用性を強化するためのグループ設立(4月17日)
W3C:FIDO2の主たる構成要素
Web認証APIを正式勧告化
(3月4日)
Google:Android 7+デバイスが
Googleアカウントにログインする際の
FIDO2セキュリティキーに(4月10日)
19
20. All Rights Reserved | FIDO Alliance | Copyright 2020
初のFIDOバイオメトリクス部品認定
• Samsung Galaxyの指紋認証システムが初のFIDO
バイオメトリクス部品認定を取得
FIDOアライアンスが新たに策定したバイオメトリクス部品認定
プログラムにおいて、Samsung Galaxy S10・S10+搭載の
超音波指紋センサーがFIDOバイオメトリクス部品認定を取得しま
した。(2019年2月20日)
20
21. All Rights Reserved | FIDO Alliance | Copyright 2020
Android 7+ – FIDO2認定を取得
• Android 7.0以降のAndroid OS端末 FIDO2認定
特別な生体認証装置を組み込む、またはさらにセキュリティ強度を
高める等追加の差異化要素を盛り込まない限り、端末メーカーは
個別にFIDO認定を受ける必要がなくなり、今後のさらなるFIDO
認証の普及に弾みがつきました。(2019年2月25日)
21
22. All Rights Reserved | FIDO Alliance | Copyright 2020
Web認証API:W3C 正式勧告化
• パスワード不要の安全なログインを可能にする
WebAuthn(Web認証)APIが正式勧告化
FIDO2を構成するWebAuthn(Web認証)APIを
W3Cが正式に勧告化したことにより、シンプルで堅牢な
認証を実現するブラウザ・プラットフォームの標準が確立
しました。(2019年3月4日)
22
23. All Rights Reserved | FIDO Alliance | Copyright 2020
Android 7+:FIDO2 Security Key
• Android 7.0以降のAndroid OS端末がFIDO2
Security Keyに
Android7.0以降のAndroid OS端末がWindowsや
Chrome OS、macOSデバイスからGoogleアカウントに
ログインする際Security Keyとして活用可能になりました。
(2019年4月10日)
23
24. All Rights Reserved | FIDO Alliance | Copyright 2020
W3C:EMVCo、FIDOアライアンスとWebペイメントの
セキュリティと相互運用性の強化のためにグループ設立
• W3Cは、FIDOアライアンス、EMVCoとともに、
Webペイメントセキュリティのビジョンと相互運用性
を議論する新しいグループ「Web Payment
Security Interest Group」 の設立を発表
既存のEMV Secure Remote Commerce(SRC)
およびEMV 3D Secure(3DS)とFIDOアライアンスの
FIDO2 仕 様 、 W3C の Web 認 証 API と Payment
Request APIの各仕様レベルの議論を補完します。さらに、
将来の技術仕様に関するコラボレーションの基盤も提供し
ていきます。(2019年4月17日)
24
25. All Rights Reserved | FIDO Alliance | Copyright 2020
Windows Hello – FIDO2認定を取得
• Microsoft Windows 10デバイスがFIDO2認定
グローバルで8億台を超えるアクティブなWindows 10デバイスに
安全なパスワードレス認証をもたらします。Windows Helloは
FIDO2標準に準拠するように構築されているため、Windows
10デバイスを正式に認定されたFIDO認証のためのデバイスとして
使うことができるようになりました。(2019年5月6日)
25
27. 27
Device & User Verification
and Onboarding
認証
ID連携
SSO
(シングル
サインオン)
より良いアカウントリカバリー(再設定)を
確実に対応するためのユーザー検証(本人
確認)の強化と認証器への紐づけ
(Identity Verification & Biding)
IoTデバイスからパスワードを使った認証を
な く し 、 セ キ ュ ア な オ ン ボ ー デ ィ ン グ
(初期設定)の自動化
デバイス & ユーザー検証(本人確認)と
オンボーディング(初期設定)
IDWGIDWG
IoT
TWG
IoT
TWG
新しい作業領域と作業部会(WG)
All Rights Reserved | FIDO Alliance | Copyright 2020
28. 28
グローバル市場での実際
• プラットフォームを通じたFIDO
展開
• Androidをセキュリティキーと
して使える取り組み
• ChromebookへのFIDO搭載
• SMS OTPと比較して、99.9%
ログイン認証に成功
• サインインに掛かる時間は78%
削減
• 英国の国民保健サービス NHS
(National Health Service)、
開発者がアプリのログインに
FIDO生体認証を使えるように
するためのオープンソース
• 米国連邦調達庁 GSA(General
Services Administration)、すな
わち米国の公務員、連邦政府職
員向けのシングルサインオン
Webサイト、Windows Helloと
セキュリティキーに対応
• Android/Chrome に 対 応 し た
新しいFIDOサインインの体験
• さらに多くのプラットフォーム
に対応予定
• パスワードレス戦略における
FIDOコアコンポーネント
• 最新状況:Azure ADへのFIDO
サインイン導入
All Rights Reserved | FIDO Alliance | Copyright 2020
31. All Rights Reserved | FIDO Alliance | Copyright 202031
FIDO Japan WGのミッションと主な活動
ミッション
FIDOアライアンスのミッション ~パスワードに代わるシンプルで堅牢なFIDO認証モデル
の展開・推進~ を日本国内でより効果的に実践する。(2016年10月~)
コミュニケーションの相互支援
(FIDOアライアンス内で)
• 言語とコミュニケーションスタイル
• 時差
• FIDO認証の理解促進と検討
日本語による情報発信
(FIDOアライアンス外へ)
• ウェブサイト~主なメッセージ
• FIDO認証の導入事例
• 仕様概要や技術用語の対照表
技術・導入SWG技術・導入SWGマーケティングSWGマーケティングSWG 翻訳TF翻訳TFアカウントリカバリTFアカウントリカバリTF
座⾧・副座⾧
プログラムマネジャー
座⾧・副座⾧
プログラムマネジャー
2019年12月現在の体制
32. All Rights Reserved | FIDO Alliance | Copyright 202032
FIDO Japan WG 参加メンバーの増加
※ 国内外を問わず、FIDOアライアンスメンバーの参加数
10社(※)
2016.10 2017-2018 2020.1
25社
海外企業で国内に拠点を持つメンバー企業の積極的な参加、
スタートアップをはじめとするアソシエイトメンバー企業の参加などによる
※ 発足・運営開始時 10社、発足発表時 11社
33. All Rights Reserved | FIDO Alliance | Copyright 202033
国内から参加しているFIDOアライアンスメンバー
スポンサーメンバー
アソシエイトメンバー
ボードメンバー
2020年1月28日現在 27社
• Capy株式会社
• 株式会社イードクトル
• エクスジェン・ネットワークス株式会社
• パスロジ株式会社
• 株式会社Quado
• 株式会社セシオス
• 株式会社アイピーキューブ
• 日本情報システム株式会社
• オープンソース・ソリューション・テクノロジ株式会社
34. All Rights Reserved | FIDO Alliance | Copyright 202034
FIDO Japan WG 参加メンバー
発足・運営開始時 10社、発足発表時 11社、2020年1月28日現在 45社
Capy株式会社 株式会社イードクトル エクスジェン・ネットワークス株式会社 株式会社アイピーキューブ 日本情報システム株式会社
オープンソース・ソリューション・テクノロジ株式会社 パスロジ株式会社 株式会社Quado 株式会社セシオス Singular Key, Inc.
35. All Rights Reserved | FIDO Alliance | Copyright 202035
FIDO Japan WG活動の一つ~東京セミナー
• 第6回FIDO東京セミナー(2019年12月5日開催)には国内外から11名による講演に
300名超の聴衆を集め、OpenID Foundation理事⾧ 崎村氏によるゲストキーノート
「第八大陸へのパスポート」、韓国と台湾でのリアルな事例、そしてFIDO認証の本質と
社会にどう貢献できるかに迫るパネルディスカッションと、盛りだくさんの内容をお届けしました。
37. All Rights Reserved | FIDO Alliance | Copyright 202037
国内で初のFIDO相互接続性テストを開催
• FIDO認証器とサーバーの機能認定 :
• 適合性テスト[開発者が自ら実施]
• 相互接続性(インターオペラビリティ)テスト
• FIDO認証器のセキュリティ認定[第三者ラボによる検証]
2019年11月11~13日
KDDIがホストし、FIDOアライアンスの認定プログラムスタッフが来日して対応。
日本を含む10の国・地域からFIDOアライアンスメンバー以外の企業を含めて14社が参加
38. All Rights Reserved | FIDO Alliance | Copyright 2020
国内におけるFIDO認証の導入状況
※ FIDO認定製品またはFIDO認定製品を活用するソリューション製品の提供企業、またはそれらを導入済または導入予定時期公表済の企業
38
39. All Rights Reserved | FIDO Alliance | Copyright 202039
NTTドコモによるFIDO UAFの商用導入事例
Step-1: FIDO® UAF 1.0 Certified(認定)36機種(2015年5月~2017年)
Step-2: 全Touch ID・Face ID搭載iOS端末~UAF 1.0アプリ対応(2016年3月~)
2015年5月にdアカウント認証にFIDO標準を適用以来、2018年にはプラットフォームベースの新しい実装に移行
・・・
Step-3: UAF 1.1アプリでドコモスマートフォン以外(au、SoftBank)にも対応(2018年~)
40. All Rights Reserved | FIDO Alliance | Copyright 202040
NTTデータによるFIDO UAFの商用導入事例
• 従来パソコンからしかアクセスできなかった就業管理システムやメール、決裁などをス
マートフォンからアクセス可能とするために社内向けモバイルアプリを提供
• 2017年9月に利便性向上のためログイン機能に生体認証(FIDO UAF)を導入
生体情報登録フロー 生体認証フロー
41. All Rights Reserved | FIDO Alliance | Copyright 202041
国内における主なFIDO UAFの商用導入
2017年9月 2018年2月 2018年11月 2018年12月 2019年3月
NTTドコモ・NTTデータ以外での主なFIDO UAFの商用導入事例
2019年7月
42. All Rights Reserved | FIDO Alliance | Copyright 202042
みずほ銀行の事例(2017年10月にサービス開始)
従来の「お客様番号」および「ログインパスワード」を入力することなくログイン可能
営業店での印鑑による本人認証手段の代替(印鑑レス)など、
お客様の安全性ならびに利便性向上に取り組む
スマートフォン用モバイルバンキングアプリ「みずほダイレクト」への導入
みずほダイレクト
業務システム
FIDOサーバー
インターネット
生体認証
ログインパスワード
**********
43. All Rights Reserved | FIDO Alliance | Copyright 202043
三菱UFJ銀行の事例(2018年11月にサービス開始)
顔認証・指紋認証
パスワードに代わるFIDO標準仕様による
生体認証でかんたんログインを実現
セキュリティも安心
モバイル端末
三菱UFJダイレクト
バンキング・システム
インターネット
FIDOサーバー
44. All Rights Reserved | FIDO Alliance | Copyright 202044
アフラックの事例(2018年12月にサービス開始)
• がん保険の一部の保障で開始した「即時支払いサービス」に導入
• 生存確認の手段として新たに生体認証を導入することで、
お客様へのがん保険の診断給付年金の迅速な支払いが可能に
生命保険とITを融合したインシュアテック向けソリューションにFIDOを導入
生体認証で生存確認
即時お支払い
堅牢で確実な
生存確認
生体認証で
生存確認が完結 郵送による
書類提出が不要
46. All Rights Reserved | FIDO Alliance | Copyright 202046
ゆうちょダイレクトの本人認証へのFIDO導入
2019年7月22日
「ゆうちょ認証アプリ」を使ったログイン、
送金時の認証にFIDOを適用
47. All Rights Reserved | FIDO Alliance | Copyright 202047
国内におけるFIDO2の商用導入
2018年10月23日
サービス提供者として世界初の
FIDO2商用導入
シンプルで堅牢な認証を実現
国内初のFIDO2セキュリティキー
によるパスワードレスでの
シングルサインオン認証サービス
2019年5月24日
世界初のFIDO2を実装したモ
バイルペイメントアプリ
2019年9月23日
48. All Rights Reserved | FIDO Alliance | Copyright 202048
サービス提供者として世界初のFIDO2商用導入
2018年10月23日
シンプルで堅牢な認証を実現
49. All Rights Reserved | FIDO Alliance | Copyright 202049
FIDO認証によるユーザーメリット
※
Yahoo! JAPAN IDでの
ログインにかかる時間が
パスワードとくらべて
2019年4月4日~10日の計測数値(ヤフー調べ)
※ 認証手段ごとのログイン完了に要する時間(中央値)
減少
50. All Rights Reserved | FIDO Alliance | Copyright 202050
2019年5月24日
G Suite
Salesforce
Office 365
パスワード
レス認証
クラウド型シングルサインオン認証
サービスをFIDO2でパスワードレス化
国内初のFIDO2セキュリティキーによるパスワードレスでの
シングルサインオン認証サービス
51. All Rights Reserved | FIDO Alliance | Copyright 202051
FIDO認証によるユーザーメリット
シングルサインオン
一度の認証ですべてのサービスにログイン
アクセス制限
対象のシステムやユーザーに合わせて
アクセスを制限
FIDO認証とID連携
シンプルで堅牢なFIDO認証をさまざまな
サービスにシームレスに提供
(CloudGate UNOはFIDO U2Fにも対応)
52. All Rights Reserved | FIDO Alliance | Copyright 202052
LINE PayアプリがFIDO2を実装、提供開始
2019年9月23日
https://jp.techcrunch.com/2019/09/18/merpay-conference-2019_sep-4/
世界初のFIDO2を実装した
モバイルペイメントアプリ
57. All Rights Reserved | FIDO Alliance | Copyright 2020
おわりに
• 2020年、国内からのさらなるFIDO認証の活用・事例に期待
• 大阪・関西の皆さまのFIDOアライアンスへの参加と貢献にも期待
• 2025年 大阪・関西万博に向けて、
パスワードのいらない世界を実現してまいりましょう!
57
今年のFIDOアライアンス アジア全体会合(メンバー対象)の開催は
FIDOアライアンス発足以来、初めて日本での開催となります!
大 阪 @ 10月