More Related Content Similar to パスワードのいらない世界へ FIDO認証の最新状況 (20) More from FIDO Alliance (20) パスワードのいらない世界へ FIDO認証の最新状況1. All Rights Reserved | FIDO Alliance | Copyright 2019
パスワードのいらない世界へ
FIDO認証の最新状況
2019年10月3日
FIDOアライアンス FIDO Japan WG
1
2. All Rights Reserved | FIDO Alliance | Copyright 2019
本日の内容
• FIDO認証が出現した背景
• FIDOアライアンス概要
• FIDO(ファイド)認証について
• FIDO認定プログラムについて
• FIDO認証の最新状況
• FIDO Japan WGの活動と日本におけるFIDOの展開状況
• 金融業界における導入事例
• まとめ
2
4. All Rights Reserved | FIDO Alliance | Copyright 2019
パスワードの問題:リスト型攻撃
•同じパスワードを使い回すと、漏れた場合、なりすましや不正アクセスが発生
サービスA
サービスB
サービスC
被害者
ID パスワード
yamada.taro taro01234
… …
ID パスワード
yamada.taro taro01234
… …
ID パスワード
yamada.taro taro01234
… …
漏えい 攻撃者
パスワード
なりすまし
不正アクセス
共通のパスワードを設定
パスワード
パスワード
パスワード
自社サーバーのセキュリティ管理に問題がなくても、利用者のリテラシーや
他社サーバーの管理に影響を受け、不正アクセスを受ける可能性あり
4
5. All Rights Reserved | FIDO Alliance | Copyright 2019
パスワードの使い回し
複数IDを持つ利用者の約8割がパスワードを使い回している
(パスワードをサイトごとに変えているかアンケート)
(出典) IPA 「 2018年度情報セキュリティの脅威に対する意識調査」調査報告書
https://www.ipa.go.jp/files/000070256.pdf
1種類,
18.80%
2種類以上,
77.40%
自分で管理しているものはない, 3.80%
Q15.あなたが現在所有、管理しているインターネットサービス
利用のためのアカウント数についてあてはまるものを選択して
ください。(パソコンの場合)
5
6. All Rights Reserved | FIDO Alliance | Copyright 2019
パスワードの強化と課題
パスワードとは異なり携帯などのデバイスを所持していなければログインできない
→パスワードの安全性を強化しつつも(※)、利便性に課題が残っている
ご利用中の携帯電話に送信した
4桁のコードを入力して下さい
次へ
0 1 2 3
PC上のログイン画面 携帯電話に送信されたコード
二経路認証の一例
コード生成器
(HW/SW)
登録電話番号への音
声案内通知
その他の手段
488212
(※)近年では米国NISTより「SMSを利用した帯域外認証については非推奨」というアナウンスもされてきている
(悪意のあるアプリケーションや攻撃者から比較的容易に参照可能な情報であるため、と推測される)
サービスにログ
インするための
コードを送信し
ます。
0123
このコードは絶
対に他人には知
らせないで下さ
い。
SMS
入力
6
8. The Fast IDentity Online Alliance
- FIDO ALLIANCE, INC. (A NONPROFIT MUTUAL BENEFIT CORPORATION) -
FIDO(ファイド)アライアンス
2012年に設立されて以来、現在約250社で構成される
米国カリフォルニア州法に基づくグローバルな非営利団体(相互利益法人)
パスワードと認証にまつわる課題解決のため、
• 「FIDO認証モデル」に基づく技術仕様の策定
• 技術仕様を導入展開するためのプログラム運営
• 各標準化団体との協業などを通じたさらなる導入展開を推進
All Rights Reserved | FIDO Alliance | Copyright 20198
9. All Rights Reserved | FIDO Alliance | Copyright 2019
250+のメンバーでグローバルに運営
グローバルなブランドとテクノロジー企業を中心に構成するFIDOボードメンバー 40社
+ スポンサーメンバー + アソシエイトメンバー + リエゾンメンバー
9
10. All Rights Reserved | FIDO Alliance | Copyright 2019
FIDOアライアンスは、パスワード課題の解決に注力する
グローバルな業界の連携であり、その特徴は
「共有の秘密」に依存しないことです。
FIDO Alliance is the global industry
collaboration dedicated to solving the password
problem
…with no dependency on “shared secrets”
10
12. All Rights Reserved | FIDO Alliance | Copyright 2019
FIDOアライアンスの目指す認証とは
覚えられない
入力不便 漏えいしやすい
再利用可能
安全性(Security)
パスワードの課題
利便性(Usability)
パスワードへの依存度を減らしつつ、利便性と安全性の両面を向上させる
12
13. All Rights Reserved | FIDO Alliance | Copyright 2019
FIDO認証のビジョン
Poor Easy
WeakStrong
USABILITY
SECURITY
(出所:FIDOアライアンス)
FIDOアライアンスは、安全性と利便性の両立を目指している
13
14. All Rights Reserved | FIDO Alliance | Copyright 2019
従来の認証モデル(リモート認証)
• 利用者はIDとクレデンシャル=資格情報(認証情報:パスワードなど)を通信路を介し
て認証サーバーに対して送付する。認証サーバーは受け取ったIDを識別し、資格情報が
IDに紐付いた適切な情報であるか否かを検証する。
• この場合、利用者の資格情報はあらかじめ認証サーバーが保管し、識別と検証の処理は
認証サーバーで行う。(利用者・端末とサーバーで「秘密」を共有する)
パスワード:12345
パスワードの入力 資格情報
認証サーバー利用者
ID パスワード
利用者A 12345
利用者B abcde
利用者C password
利用者A
14
18. All Rights Reserved | FIDO Alliance | Copyright 2019
FIDO認証の特徴と “プライバシーポリシー”
No 3rd Party in the Protocol
No Secrets generated/stored on the Server side
Biometric Data (if used) Never Leaves Device
No Link-ability Between Services and Accounts
✓ FIDO認証プロトコルはend-endであり、第三者の介在はない
✓ サーバー側で秘密情報が生成されたり保存されることはない
(FIDO認証の鍵ペアのうち、秘密鍵はFIDO認証器の外に出ない)
✓ 生体情報はFIDO認証器に保存され、外に出ない
✓ 異なるサービス・アカウントに対して、FIDO認証の鍵ペアは独立
18
19. FIDO Specifications
FIDO UAF FIDO U2F FIDO2
WebAuthn*
(W3C)
CTAP
* FIDOアライアンスから仕様(案)を開示し、W3Cとして仕様化
UAF : Universal Authentication Framework(パスワードレス認証)
U2F : Universal Second Factor(2段階認証)
WebAuthn:Web Authentication(ウェブ認証)
CTAP:Client to Authenticator Protocol(デバイス間連携仕様)
FIDO認証モデルに基づくFIDO仕様群
All Rights Reserved | FIDO Alliance | Copyright 201919
20. FIDO認証の仕様化(2014 – 2018)
パスワードレスの体験(UAF:Universal Authentication Framework)
認証成功(オンライン)
3
生体情報によるユーザーの検証*
21
?
認証開始(チャレンジ) 認証成功(オンライン)
3
2要素目の認証開始(チャレンジ) セキュリティキーを挿入* /
ボタンを押す
2段階認証の体験(U2F : Universal Second Factor)
*他タイプの認証器もある
21
All Rights Reserved | FIDO Alliance | Copyright 201920
23. All Rights Reserved | FIDO Alliance | Copyright 2019
FIDO認定プログラム
• 機能認定(エンド・エンド):
• 適合性テスト
• 相互接続性テスト
• FIDO認証器のセキュリティ認定:
• 秘密鍵保護がどれだけ優れているか?
• 第三者ラボによる検証
• 新設されたバイオメトリクス部品認定でさらに充実
• ユニバーサルサーバー:
• FIDO認定された全ての認証器との適合性を確保
23
24. All Rights Reserved | FIDO Alliance | Copyright 2019
FIDO認証器のセキュリティ認証:さまざまなユースケースに
対応するセキュリティレベル
ハード・ソフトの要求条件の例 防衛の対象
チップへの故障利用攻撃と
侵入型攻撃に対する保護機能等 L3+
捕捉されたデバイス
(チップレベルの攻撃)
基板のポッティング、パッケージ・オン・パッケージ
(PoP)、RAM暗号化等
L3
捕捉されたデバイス
(基板レベルの攻撃)
デバイスは機密動作環境(ROE: TEE、Secure
Element等)が必須、
或は、本質的に機密動作環境のデバイス(USB
トークン、スマートカード等)
L2+
デバイスのOSの危殆化(きたいか)
(ROEで防衛)
L2
どんなHWやSWでもよい
L1+
デバイスのOSの危殆化(きたいか)
(ホワイト・ボックス暗号化で防衛)
L1
フィッシング、サーバーのクレデンシャル流失、中間者攻撃
(パスワードよりベター)
24
26. All Rights Reserved | FIDO Alliance | Copyright 2019
FIDOアライアンス 2019年上半期 ハイライト
初のFIDOバイオメトリクス部品認定
(2月20日)
Android 7+ デバイスの
FIDO2認定
(2月25日)
Windows 10 デバイス
Windows HelloのFIDO2認定
(5月6日)
W3C:EMVCo、FIDOアライアンスとWebペイメントの
セキュリティと相互運用性を強化するためのグループ設立(4月17日)
W3C:FIDO2の主たる構成要素
Web認証APIを正式勧告化
(3月4日)
Google:Android 7+デバイスが
Googleアカウントにログインする際の
FIDO2セキュリティキーに(4月10日)
26
27. All Rights Reserved | FIDO Alliance | Copyright 2019
初のFIDOバイオメトリクス部品認定
• Samsung Galaxyの指紋認証システムが初のFIDO
バイオメトリクス部品認定を取得
FIDOアライアンスが新たに策定したバイオメトリクス部品認定
プログラムにおいて、Samsung Galaxy S10・S10+搭載の
超音波指紋センサーがFIDOバイオメトリクス部品認定を取得しま
した。(2019年2月20日)
27
28. All Rights Reserved | FIDO Alliance | Copyright 2019
Android 7+ – FIDO2認定を取得
• Android 7.0以降のAndroid OS端末 FIDO2認定
特別な生体認証装置を組み込む、またはさらにセキュリティ強度を
高める等追加の差異化要素を盛り込まない限り、端末メーカーは
個別にFIDO認定を受ける必要がなくなり、今後のさらなるFIDO
認証の普及に弾みがつきました。(2019年2月25日)
28
29. All Rights Reserved | FIDO Alliance | Copyright 2019
Web認証API:W3C 正式勧告化
• パスワード不要の安全なログインを可能にする
WebAuthn(Web認証)APIが正式勧告化
FIDO2を構成するWebAuthn(Web認証)APIを
W3Cが正式に勧告化したことにより、シンプルで堅牢な
認証を実現するブラウザ・プラットフォームの標準が確立
しました。(2019年3月4日)
29
30. All Rights Reserved | FIDO Alliance | Copyright 2019
Android 7+:FIDO2 Security Key
• Android 7.0以降のAndroid OS端末がFIDO2
Security Keyに
Android7.0以降のAndroid OS端末がWindowsや
Chrome OS、macOSデバイスからGoogleアカウントに
ログインする際Security Keyとして活用可能になりました。
(2019年4月10日)
30
31. All Rights Reserved | FIDO Alliance | Copyright 2019
W3C:EMVCo、FIDOアライアンスとWebペイメントの
セキュリティと相互運用性の強化のためにグループ設立
• W3Cは、FIDOアライアンス、EMVCoとともに、
Webペイメントセキュリティのビジョンと相互運用性
を議論する新しいグループ 「Web Payment
Security Interest Group」 の設立を発表
既存のEMV Secure Remote Commerce(SRC)
およびEMV 3D Secure(3DS)とFIDOアライアンスの
FIDO2 仕 様 、 W3C の Web 認 証 API と Payment
Request APIの各仕様レベルの議論を補完します。さらに、
将来の技術仕様に関するコラボレーションの基盤も提供し
ていきます。(2019年4月17日)
31
32. All Rights Reserved | FIDO Alliance | Copyright 2019
Windows Hello – FIDO2認定を取得
• Microsoft Windows 10デバイスがFIDO2認定
グローバルで8億台を超えるアクティブなWindows 10デバイスに
安全なパスワードレス認証をもたらします。Windows Helloは
FIDO2標準に準拠するように構築されているため、Windows
10デバイスを正式に認定されたFIDO認証のためのデバイスとして
使うことができるようになりました。(2019年5月6日)
32
34. All Rights Reserved | FIDO Alliance | Copyright 2019
FIDO Japan WGのミッションと主な活動
ミッション
FIDOアライアンスのミッション ~パスワードに代わるシンプルで堅牢なFIDO認証モデル
の展開・推進~ を日本国内でより効果的に実践する。(2016年10月~)
コミュニケーションの相互支援
(FIDOアライアンス内で)
• 言語とコミュニケーションスタイル
• 時差
• FIDO認証の理解促進と検討
日本語による情報発信
(FIDOアライアンス外へ)
• ウェブサイト~主なメッセージ
• FIDO認証の導入事例
• 仕様概要や技術用語の対照表
マーケティングSWG翻訳SWG 技術SWG
デプロイメント @
スケール SWG
座長・副座長
プログラムマネジャー
2016年11月発足発表時の体制
34
35. All Rights Reserved | FIDO Alliance | Copyright 2019
FIDO Japan WG活動の一つ~東京セミナー
• 第5回FIDO東京セミナー(2018年12月7日開催)には国内外から11名による講演に
300名超の聴衆を集め、FIDO2の最新状況、FIDOセキュリティ認定、GDPR(EU一般
データ保護規則)とFIDO標準について、そして実際のFIDO導入事例を広く紹介しました。
第6回FIDO東京セミナーを秋葉原コンベンションホールに於いて2019年12月5日(木)に開催予定
35
36. All Rights Reserved | FIDO Alliance | Copyright 2019
名称:第6回 FIDOアライアンス東京セミナー
日時:2019年12月5日 (木) セミナー 13:00~18:00(受付開始12:15~)/ 懇親会 (有料) 18:15~19:40
会場:秋葉原コンベンションホール 〒101-0021 東京都千代田区外神田1-18-13 秋葉原ダイビル
対象:企業の経営層、経営企画部門、事業部門、ITシステム部門等で、自社サービスにおける認証システムのしくみの改善に
興味をお持ちの皆様
定員:セミナー 300名(上限に達した時点で締切とさせて頂きます)、
懇親会 100名(上限に達した時点で締切とさせて頂きます)
受講料:無料(事前登録制)懇親会のみ有料となります(参加費2,000円)
主催:FIDO Alliance
2019年12月5日(木)
秋葉原コンベンションホール
FIDOアライアンス東京セミナー
パスワードのいらない世界へ(仮)
事前登録|受講無料
セミナー登録サイトは近日公開予定
36
37. All Rights Reserved | FIDO Alliance | Copyright 2019
FIDO Japan WG参加メンバー
発足・運営開始時 10社、発足発表時 11社、2019年8月22日現在 39社
Capy, Inc. eDoktor Co, Ltd. Passlogy Co., Ltd PixelPin Quado, Inc. SECIOSS, Inc. Singular Key, Inc.
37
38. All Rights Reserved | FIDO Alliance | Copyright 2019
国内におけるFIDO認証の導入状況
※ FIDO認定製品またはFIDO認定製品を活用するソリューション製品の提供企業、またはそれらを導入済または導入予定時期公表済の企業
38
39. All Rights Reserved | FIDO Alliance | Copyright 2019
最新のFIDOの商用導入(2019年9月)
39
LINE株式会社が第一弾として、
LINE PayにおけるFIDO認証を展開
まずは「iOS版LINE Payアプリ」でFIDO認証が利用可能に。
41. All Rights Reserved | FIDO Alliance | Copyright 2019
国内金融業界における主なFIDOの商用導入
2017年10月 2018年11月 2018年12月 2019年7月
41
42. All Rights Reserved | FIDO Alliance | Copyright 2019
みずほ銀行の事例
• 従来の「お客様番号」および「ログインパスワード」を入力することなくログイン可能。
• 営業店での印鑑による本人認証手段の代替(印鑑レス)など、お客様の安全性
ならびに利便性向上に取り組む。
スマートフォン用モバイルバンキングアプリ「みずほダイレクト」への導入
みずほダイレクト
業務システム
FIDOサーバ
インターネット
生体認証
ログインパスワード
**********
(2017年10月にサービス開始)
42
46. All Rights Reserved | FIDO Alliance | Copyright 2019
アフラックの事例
• がん保険の一部の保障で開始した「即時支払いサービス」に導入。
• 生存確認の手段として新たに生体認証を導入することで、
お客様へのがん保険の診断給付年金の迅速な支払いが可能に。
生命保険とITを融合したインシュアテック向けソリューションにFIDOを導入
生体認証で生存確認
即時お支払い
堅牢で確実な
生存確認
生体認証で
生存確認が完結 郵送による
書類提出が不要
(2018年12月にサービス開始)
46
48. All Rights Reserved | FIDO Alliance | Copyright 2019
導入事例:ゆうちょ銀行
• ハードウェアトークンが不要になり、利便性も向上。
• スマートフォンだけではなくパソコン画面でのゆうちょダイレクトの認証にも、QRコードで
連携することによってスマートフォンによる認証が可能。
• 送金内容をトランザクション認証で保護
ゆうちょダイレクトへのログイン時および送金時の本人認証への導入
モバイルサイト
パソコンサイト
ゆ
う
ち
ょ
ダ
イ
レ
ク
ト
ログイン
送金
✔
PIN
送金時のHWトークン
が不要に
(2019年7月にサービス開始)
48
51. All Rights Reserved | FIDO Alliance | Copyright 2019
まとめ
• FIDO認証モデル
• パスワードへの依存度を軽減する公開鍵暗号を用いた認証
• FIDO認定プログラムにて、高い相互運用性を確保、
認証器のセキュリティ認定やバイオメトリクス部品認定で選択規準を提供
• FIDO認証最新状況
• UAF、U2Fに加え、FIDO2の展開により、順調にFIDO認証導入のための
環境整備が進んでいる
• FIDOアライアンスの日本での活動と導入事例の増加
• 東京セミナーや説明会・講演、記事寄稿など幅広く活動、商用展開を推進
• 金融業界で進む導入:みずほ銀行、三菱UFJ銀行、アフラック、ゆうちょ銀行等
51
52. All Rights Reserved | FIDO Alliance | Copyright 2019
ご清聴、ありがとうございました!
FIDOアライアンス FIDO Japan WG
52