Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

FIDO認証で「あんしんをもっと便利に」

2,660 views

Published on

LINE and intertrust security summit
© 2017 NTT DOCOMO, INC. All Rights Reserved.

Published in: Technology
  • Be the first to comment

FIDO認証で「あんしんをもっと便利に」

  1. 1. LINE and Intertrust Security Summit Tokyo 2017 FIDO認証で「あんしんをもっと便利に」 2017年5月17日 (株)NTTドコモ プロダクト部 プロダクトイノベーション担当部長 FIDOアライアンス ボードメンバー 兼 FIDO Japan WG(作業部会)座長 森山 光一 LINE and Intertrust Security Summit 2017 © 2017 NTT DOCOMO, INC. All Rights Reserved. 1
  2. 2. 本日の内容 • FIDO(ファイド)とは? • NTTドコモのdアカウント FIDO対応~あんしんをもっと便利に~ – モティベーション – ユーザー体験 – 設計指針とセキュリティ 「いつか、あたりまえになることを。」 • FIDOアライアンスとFIDO Japan WGの現在、そして未来 LINE and Intertrust Security Summit 2017 © 2017 NTT DOCOMO, INC. All Rights Reserved. 2
  3. 3. FIDO(ファイド)とは? LINE and Intertrust Security Summit 2017 3 FIDOアライアンス エグゼクティブディレクター ブレット・マクドウェル氏のプレゼンテーションを一部引用して エグゼクティブディレクター ブレット・マクドウェル FIDOアライアンス
  4. 4. All Rights Reserved | FIDO Alliance | Copyright 20174 WHY FIDO? パスワード課題への挑戦 Data breaches in 2016 that involved weak, default, or stolen passwords1 Increase in phishing attacks over the number of attacks recorded in 20152 Breaches in 2016, a 40% increase over 20153 1Verizon 2017 Data Breach Report |2Anti-Phishing Working Group | 3Identity Theft Resource Center 2016 CLUMSY | HARD TO REMEMBER | NEED TO BE CHANGED ALL THE TIME 81% 65% 1,093 パスワードに起因したデータ流出の増加
  5. 5. open standards for simpler, stronger authentication using public key cryptography THE NEW MODEL Fast IDentity Online THE FIDO PARADIGM SECURITY USABILITY Poor Easy WeakStrong authentication HOW OLD AUTHENTICATION WORKS ONLINE CONNECTION The user authenticates themselves online by presenting a human-readable “shared secret” All Rights Reserved | FIDO Alliance | Copyright 20175 HOW FIDO AUTHENTICATION WORKS LOCAL CONNECTION ONLINE CONNECTION The device authenticates the user online using public key cryptography The user authenticates “locally” to their device (by various means) FIDO認証モデル 公開鍵暗号方式を活用した オンライン認証 セキュリティと 使い勝手の両立をめざす 「共有の秘密」は不正アクセスの原因 FIDO認証モデルでは 「秘密」が共有されず、安心 FIDO認証器 例えば、生体情報 秘密鍵 公開鍵 ID・パスワード(“Shared Secret”) FIDO認証器に 秘密鍵を格納 公開鍵で署名検証
  6. 6. 6 FIDO認証の特徴と “プライバシーポリシー” No 3rd Party in the Protocol No Secrets generated/stored on the Server side Biometric Data (if used) Never Leaves Device No Link-ability Between Services and Accounts  FIDO認証プロトコルはend-endであり、第三者の介在はない  サーバー側で秘密情報が生成されたり保存されることはない (FIDO認証の鍵ペアのうち、秘密鍵はFIDO認証器の外に出ない)  生体情報はFIDO認証器に保存され、外に出ない  異なるサービス・アカウントに対して、FIDO認証の鍵ペアは独立 All Rights Reserved | FIDO Alliance | Copyright 2017
  7. 7. All Rights Reserved | FIDO Alliance | Copyright 20177 Passwordless Experience Second Factor Experience サービス提供者のさまざまな要請に応える 柔軟性ある認証 パスワードレス認証 2段階認証 UAF: Universal Authentication Framework U2F: Universal Second Factor 使い勝手を求めた2種のユーザー体験
  8. 8. FIDO Specifications FIDO 1.1 (FIDO) CTAP* (FIDO) WebAuthn* (FIDO+W3C) UVC* (FIDO+EMVCo) All Rights Reserved | FIDO Alliance | Copyright 20178 *FIDO 2 Project: In Development UAF : パスワードレス認証 U2F : 2段階認証 FIDO認証モデルに基づくFIDO仕様群 (FIDO 2プロジェクトとして、現在仕様策定中)
  9. 9. The Fast IDentity Online Alliance - FIDO ALLIANCE, INC. (A NONPROFIT MUTUAL BENEFIT CORPORATION) - FIDO (ファイド) アライアンス 2012年に設立されて以来、現在約250社で構成される 米国カリフォルニア州法に基づくグローバルな非営利団体(相互利益法人) 認証にまつわる課題解決のため、 • 「FIDO認証モデル」に基づく技術仕様の策定 • 技術仕様を導入展開するためのプログラム運営 • 各標準化団体との協業などを通じたさらなる導入展開を推進 All Rights Reserved | FIDO Alliance | Copyright 20179
  10. 10. NTTドコモのdアカウント FIDO対応 dアカウント ログイン認証 ケータイ払いの決済等に対応 LINE and Intertrust Security Summit 2017 © 2017 NTT DOCOMO, INC. All Rights Reserved. 10
  11. 11. FIDO認証で「あんしんをもっと便利に」 • NTTドコモはネットワーク暗証番号とspモードパスワード(いずれも数字4桁) に加えて、OpenIDベースの を提供 • ドコモとパートナー企業を通じてログインと決済サービスを提供。その使い勝手を より便利にする取組みとして、~あんしんをもっと便利に~ • シンプルで堅牢なオンライン認証の普及をめざすFIDO(ファイド)アライアンス とFIDO認証モデル・標準に出会う ⇒ すみやかなFIDO標準の採用を決定 LINE and Intertrust Security Summit 2017 11© 2017 NTT DOCOMO, INC. All Rights Reserved. https://www.youtube.com/watch?v=kB1GNBk3yME https://www.youtube.com/watch?v=UP0DyYk5IXc
  12. 12. NTTドコモによるFIDO標準導入の概要(1/2) • 2015年5月にdアカウント認証をFIDO UAF 1.0対応。spモード®パスワード にも対応し、ドコモサービスの一部でログインとドコモ ケータイ払いをdアカウント・ FIDO生体認証に対応させました。その後、ネットワーク暗証番号に対応して ドコモサービスでの利用を拡大したことに加え、dケータイ払いプラス、パートナー サイトでの認証やdポイント充当による決済にも対応しました。(2015年9月発表) LINE and Intertrust Security Summit 2017 © 2017 NTT DOCOMO, INC. All Rights Reserved. 12
  13. 13. NTTドコモによるFIDO標準導入の概要(2/2) • FIDO標準の一つ、FIDO UAF 1.0を採用した理由: 1.) 生体情報を活用して便利にオンライン認証を可能にする仕様 2.) セキュリティを十分考慮した仕様 3.) 将来の相互運用を考慮したオープンな標準仕様 • 2015年5月商用導入に際し、FIDO UAF 1.0準拠端末とdアカウントアプリ の開発、dアカウント認証サーバーのFIDO対応を行い、世界で初めて※虹彩と 指紋、異なる生体認証方式をオンライン認証に対応。 通信事業者として、また複数メーカーにより複数のFIDO® Certified(認定)端末を提供したのも世界初 ※ 2015年5月26日現在 NTTドコモ調べ LINE and Intertrust Security Summit 2017 © 2017 NTT DOCOMO, INC. All Rights Reserved. 13
  14. 14. dアカウント・FIDO生体認証対応 ドコモスマートフォン・タブレット(Android)全20機種 • 2015年夏モデル 4機種、2015-16年冬春モデル 6機種、2016年夏モデル 4機種、 2016-17年冬春モデル 6機種、5メーカー・全20機種 LINE and Intertrust Security Summit 2017 © 2017 NTT DOCOMO, INC. All Rights Reserved. 14 SH-01H SO-03H SO-01H SO-02HF-02HSC-05G SH-04HF-04H SO-04HSC-02H F-04G SC-04G F-01HSH-03G SO-02JF-01J SH-02J DM-01JSO-01J L-01J
  15. 15. ビデオクリップ 簡単! 生体認証を設定してみよう 使ってみよう LINE and Intertrust Security Summit 2017 © 2017 NTT DOCOMO, INC. All Rights Reserved. 15
  16. 16. NTTドコモのdアカウント FIDO対応 設計指針とセキュリティ 「いつか、あたりまえになることを。」 LINE and Intertrust Security Summit 2017 © 2017 NTT DOCOMO, INC. All Rights Reserved. 16
  17. 17. FIDO標準の導入検討時に設定した設計指針 • FIDO標準仕様をそのまま活用すること – 変更などして活用すると今後の発展において断片化する恐れもあるため、FIDOエコシステム との整合性確保を優先 • FIDO標準の良さを出来るだけ活用すること – 例えば、虹彩と指紋など異なる生体認証に対応するなどFIDOの良さを活かす • セキュリティ重視、お客様とパートナー企業様を守ること – FIDO標準のプライバシーポリシー “Biometric data and private keys never leave devices” に基づき、お客様の大切な情報は端末の外に出ないようにする – FIDO認証器が真に正当なものであることをサーバーで確認する – 異なるメーカーによるFIDO認証器のセキュリティレベルを一定以上に保つ – 市場においてセキュリティでご心配をお掛けするようなアプローチはとらない • FIDO導入コストは最小・最適化すること(時間・費用) – dアカウントとFIDO UAF仕様におけるASM層で結合インターフェースを一元化 LINE and Intertrust Security Summit 2017 © 2017 NTT DOCOMO, INC. All Rights Reserved. 17
  18. 18. FIDO UAFのdアカウント認証基盤への適用 (導入前) • 端末(ドコモスマートフォン)は端末メーカー様にご協力頂いて共同開発、ドコモとして 要件を満たすことでお客様の「あんしん」を確保。dアカウント設定アプリもプリイン LINE and Intertrust Security Summit 2017 18© 2017 NTT DOCOMO, INC. All Rights Reserved. … ドコモスマートフォン 設定アプリ(プリイン) … ブラウザ (プリイン)サービスアプリ 認証サーバー … ドコモサービス ケータイ払い パートナーサービス ケータイ払い 決済サーバー サービスアプリ、または ブラウザによって起動 dアカウントのパスワードまたは 4桁の暗証番号で認証ID/パスワード • かんたんログイン
  19. 19. FIDO UAFのdアカウント認証基盤への適用 (導入後) • 端末(ドコモスマートフォン)は端末メーカー様にご協力頂き、FIDO UAF仕様準拠 対応。ドコモとしてdアカウント設定アプリのFIDO UAFプロトコル対応を行い、プリイン LINE and Intertrust Security Summit 2017 19© 2017 NTT DOCOMO, INC. All Rights Reserved. … ドコモスマートフォン 設定アプリ(プリイン) … ブラウザ (プリイン)サービスアプリ 認証サーバー … ドコモサービス ケータイ払い パートナーサービス ケータイ払い 決済サーバー• かんたんログイン • 生体認証 FIDO® Certified xxxx クライアントSDK FIDO® Certified xxxxx サーバー FIDO UAF準拠端末 dアカウント認証要件を具備 ID・パスワードに加えて FIDO認証を追加
  20. 20. FIDOを適用:生体情報でオンライン認証 ~生体情報と秘密鍵は端末の安全な領域に格納~ LINE and Intertrust Security Summit 2017 20© 2017 NTT DOCOMO, INC. All Rights Reserved. 端末 サーバー 生体認証装置 安全な特別領域(*) ユーザー照合アプリ 安全なアプリ 安全なフォルダ 照合 生体情報 FIDOクライアント 照合 結果 認証モジュール FIDOサーバー チャレンジ(ランダムな文字列) 登録済み 生体情報 秘密鍵 署名されたチャレンジを 公開鍵で検証出来れば、 認証OK チャレンジを 秘密鍵で署名 ✓ ✓ 公開鍵暗号方式 セキュアなプロトコル サービスの対応は順次拡大 (*) TEE (Trusted Execution Environment) 署名されたチャレンジ dアカウント サーバー dアカウント アプリ FIDO UAF 仕様規定範囲 ✓ ✓
  21. 21. FIDOを適用:FIDO認証器の実装 ~異なるFIDO® Certified(認定)ソリューションによる実現~ • 複数あるFIDO認証器を構成するソリューション~端末に適した実装が可能 LINE and Intertrust Security Summit 2017 © 2017 NTT DOCOMO, INC. All Rights Reserved. 21 設定アプリ(プリイン) FIDO® Certified xxxx クライアントSDK 認証サーバー FIDO® Certified xxxxx サーバー FIDO標準
  22. 22. dアカウントFIDO認証をiOS端末にも対応 © 2017 NTT DOCOMO, INC. All Rights Reserved. 22 • iOS端末用dアカウントアプリを提供開始(2016年3月~)。Touch IDの セキュリティを活用し、FIDO® Certified SDKでFIDOプロトコルを実装 LINE and Intertrust Security Summit 2017 https://support.apple.com/en-us/HT204587 – 「iPhoneおよびiPadのTouch IDのセキュリティについて」に より、Touch IDではSecure Enclaveによって指紋データ (数学的表現)をiOS端末内に保持し、また端末の外に 出ることがないなど、FIDOプライバシーポリシーと同等と判断 – iOS 9からの仕様なども活用し、dアカウント認証に必要な 要件を達成 dアカウント アプリ FIDOクライアント Touch ID Secure Enclave
  23. 23. iOS端末 Touch IDでログイン認証 LINE and Intertrust Security Summit 2017 © 2017 NTT DOCOMO, INC. All Rights Reserved. 23 • iOS端末もドコモスマートフォン(Android)同様に「生体認証でログイン」を 選択すると生体認証、すなわちTouch IDで認証 ドコモおよびパートナーサイトから dアカウントにログイン Touch IDで認証 dアカウント設定アプリをインストールしていない お客様にはApp Storeからダウンロードして頂く
  24. 24. iOS端末Touch IDでお買いもの(決済) © 2017 NTT DOCOMO, INC. All Rights Reserved. 24 • iOS端末もドコモスマートフォン(Android)同様にケータイ払い等決済でも 生体認証、すなわちTouch IDを利用可能 Touch IDで認証 (iOSの場合) ご注文の確認 (決済完了) 「レジに進む」 「Touch IDで確認」 LINE and Intertrust Security Summit 2017 dショッピングのサイトで「カートに入れる」
  25. 25. FIDOを適用:異なる生体認証端末に対応 ~将来の相互運用を考慮したオープンな標準仕様~ LINE and Intertrust Security Summit 2017 25© 2017 NTT DOCOMO, INC. All Rights Reserved. FIDO標準 ドコモサービス サーバー A社サービス サーバー B社サービス サーバー C社サービス サーバー SH-01H SO-03H SO-01H SO-02HF-02H F-01H F-04H SH-04HSO-04H SC-02H SO-02J F-01J SH-02J DM-01JSO-01J L-01J 2015年夏モデル 2015-16年冬春モデル 2016年夏モデル 2016-17年冬春モデル
  26. 26. iOS端末も同じサーバーでFIDO認証 © 2017 NTT DOCOMO, INC. All Rights Reserved. 26LINE and Intertrust Security Summit 2017 … ドコモサービス ケータイ払い パートナーサービス iOS Android 認証サーバー ケータイ払い 決済サーバー SH-01H SO-03H SO-01H SO-02HF-02H F-01H F-04H SH-04HSO-04H SC-02H SO-02J F-01J SH-02J DM-01JSO-01J L-01J
  27. 27. 将来の目標 モバイルデバイスがくらしの鍵(キー)になる 27 NTT DOCOMO x FIDO Alliance 記者説明会(2015年5月26日) LINE and Intertrust Security Summit 2017 27
  28. 28. PCなどからも生体情報で「スマホ認証」 • 新たな使い勝手を提供開始(2017年2月~) LINE and Intertrust Security Summit 2017 © 2017 NTT DOCOMO, INC. All Rights Reserved. 28 iOS端末 ドコモスマートフォン Android スマホへ認証要求 スマホで認証 これまで これから XXXXXX
  29. 29. スマホ認証(2nd デバイス認証)のしくみ 29 1st デバイス (FIDO未対応) 2nd デバイス (既存のFIDO UAFデバイス) 常時接続 ID・パスワード 2nd デバイス認証 認証(FIDO UAF) 認証 & ログイン ログイン 1st デバイス (FIDO未対応) LINE and Intertrust Security Summit 2017 © 2017 NTT DOCOMO, INC. All Rights Reserved. 認証サーバー FIDO® Certified xxxxx サーバー 認証サーバー ※ 既存FIDO UAF仕様を拡張・変更せずに実現
  30. 30. パスワードのいらない世界へ Creating a World without Passwords いつか、あたりまえになることを。 “The new of today, the norm of tomorrow.” • FIDOアライアンスと連携して、 「あんしんをもっと便利に」をさらに具現化していく Through collaboration with the FIDO Alliance, NTT DOCOMO will further deliver “Your Security, More Simple.” 30LINE and Intertrust Security Summit 2017 https://www.youtube.com/watch?v=NOHkCXH9tj4 https://www.youtube.com/watch?v=QzM4PpXEqP8 © 2017 NTT DOCOMO, INC. All Rights Reserved.
  31. 31. 新作 ビデオクリップ あんしんをもっと便利に~ドコモの生体認証 LINE and Intertrust Security Summit 2017 © 2017 NTT DOCOMO, INC. All Rights Reserved. 31 https://www.youtube.com/watch?v=GFAZRELT-Mo
  32. 32. All Rights Reserved | FIDO Alliance | Copyright 201732 ようこそ LINE株式会社 様 ~FIDOアライアンスにボードメンバーとして参画~ FIDOアライアンス FIDO JAPAN WG 2017年5月17日
  33. 33. FIDO JAPAN WGのミッションと主な活動 All Rights Reserved | FIDO Alliance | Copyright 201733 ミッション FIDOアライアンスのミッション ~パスワードに代わるシンプルで堅牢な FIDO認証モデルの展開・推進~ を日本国内でより効果的に実践する。 ▸ 2016年10月発足・運営開始、2016年12月8日発表 コミュニケーションの相互支援 (FIDOアライアンス内で) • 言語とコミュニケーションスタイル • 時差 • FIDO標準の理解促進と検討 日本語による情報発信 (FIDOアライアンス外へ) • ウェブサイト~主なメッセージ • FIDO標準の導入事例 • 仕様概要や技術用語の対照表 マーケティングSWG翻訳SWG 技術SWG デプロイメント @ スケール SWG 座長・副座長 プログラムマネジャー
  34. 34. All Rights Reserved | FIDO Alliance | Copyright 201734 国内から参加しているFIDOアライアンスメンバー • Cybertrust Japan • Internet of Thing, Inc. • Passlogy Co., Ltd ボードレベル スポンサーレベル アソシエイトレベル • SECIOSS, Inc. • sMedio, Inc. • Technoglobal Inc. 2017年5月17日現在 19社(FIDO Japan WG(作業部会)調べ) • Ubiquitous Corporation
  35. 35. All Rights Reserved | FIDO Alliance | Copyright 201735 FIDO JAPAN WG 定例参加メンバー 発足・運営開始時 10社、発足発表時 11社、2017年5月17日現在 17社 座長・副座長、SWGリード 副座長、SWGリード SWGリード
  36. 36. All Rights Reserved | FIDO Alliance | Copyright 201736 250+のメンバーでグローバルに運営 グローバルなブランドとテクノロジー企業を中心に構成するFIDOボード 34社 + スポンサーメンバー + アソシエイトメンバー + リエゾンメンバー
  37. 37. 37 Changing the World Requires an Ecosystem Principles A new industry standard needed Must support multiple types of authentication Adoption at scale requires an interoperable ecosystem ようこそ FIDOアライアンスへ LINE and Intertrust Security Summit 2017
  38. 38. ご清聴、ありがとうございました! KOICHI.MORIYAMA.XR@NTTDOCOMO.COM | INFO@FIDOALLIANCE.ORG 38 (株)NTTドコモ プロダクト部 プロダクトイノベーション担当部長 FIDOアライアンス ボードメンバー 兼 FIDO Japan WG(作業部会)座長 森山 光一

×