Download as PDF, PPTX
More Related Content
Fido認証概要説明
- 1. FIDO認証の概要説明 FIDO Japan TechnologySub WG FIDO Alliance | All Rights Reserved | Copyright 2017
- 2. パスワードの問題 • 認証⼿段として広く浸透したパスワードには、利便性と安全性の両⾯で課題があること が知られている。 • 利便性の⾯では、例えば、多くのサービスに登録すると、それぞれのIDとパスワードを 覚えるのは困難で忘れやすい。また、携帯電話やスマートフォンなど⼩型の機器では⼊ ⼒が不便なことが多い。 •また、安全性の⾯では、例えば、近年のサイバー攻撃の⼀つであるリスト型攻撃を受け やすい。リスト型攻撃では、何らかの⼿段で漏えいしたIDとパスワードの組み合わせの リストを使って、いろいろなサイトに対し、本当の利⽤者になりすまして不正アクセス を試みる。この場合、サイトの認証サーバーは適切に管理されていても、漏洩したパス ワードは再利⽤できてしまうため、利⽤者が同じパスワードを複数のサイトで使い回し ていれば、不正アクセスを防⽌することは⾮常に難しい。 • このような課題を解決し、パスワードへの依存度を減らしながら、利便性と安全性を同 時に満たすのが「FIDO認証」の技術だ。 FIDO Alliance | All Rights Reserved | Copyright 2017 2
- 3. FIDO認証のビジョン FIDO Alliance |All Rights Reserved | Copyright 2017 3 Poor Easy WeakStrong USABILITY SECURITY (出所:FIDOアライアンス) FIDOアライアンスは、安全性と利便性の両⽴を⽬指している。
- 4. 従来の認証モデル(リモート認証) • 認証⼿段に関わらず、利⽤者は、IDとクレデンシャル情報(パス ワードや⽣体情報など)を通信路を介して認証サーバーに対して送 付し、⼀⽅、認証サーバーは受け取ったIDを識別し、クレデンシャ ル情報が先のIDに紐付いた適切な情報であるか否かを検証する。 • この場合、利⽤者のクレデンシャル情報は、あらかじめ認証サー バーが保管し、識別と検証の処理は認証サーバーで⾏う。 FIDOAlliance | All Rights Reserved | Copyright 2017 4 パスワード:12345 クレデンシャル情報の⼊⼒ クレデンシャル 情報 認証サーバー利⽤者 ID パスワード 利⽤者A 12345 利⽤者B abcde 利⽤者C password 利⽤者A
- 5. FIDO認証モデル • 利⽤者のデバイスなど⼿元にある「認証器」(Authenticator) が、利⽤者の本 ⼈性を検証する機能を持つ。認証器による利⽤者の検証結果は認証サーバー に送付され、認証サーバーは検証結果の妥当性を確認し、認証が完結する。 •すなわち、FIDO認証では、ネットワーク上にクレデンシャル情報が流れるこ とはない。偽サイトに誘導して利⽤者のパスワードを盗み出すようなフィッ シング攻撃に耐性がある。 FIDO Alliance | All Rights Reserved | Copyright 2017 5 認証サーバー利⽤者 秘密鍵 クレデンシャル情報の⼊⼒ 公開鍵 検証結果(署名) 検証結果の妥当性確認
- 6. 公開鍵暗号⽅式の応⽤ • FIDO認証の⼤きな特徴は、利⽤者の検証結果の妥当性確認のために公開鍵暗号⽅式を活 ⽤している点にある。利⽤者は、認証のために⽤いる認証器を、FIDO認証に対応した認 証サーバー(FIDOサーバー)に事前に登録する。この際に、認証器は認証⽤の秘密鍵と公 開鍵のペアを⽣成し、秘密鍵は認証器において厳正に保管し、公開鍵は認証サーバーに 送られる。秘密鍵は、TEE(Trusted ExecutionEnvironment) など、通常の動作領域とハー ドウェア的にも隔離された安全な領域に保管することが想定されている。つまり、秘密 鍵は認証器から外に出ることはないように管理する。⼀⽅、認証サーバーは認証器から 受信した公開鍵を利⽤者のIDと関連づけて保管し、以降、認証器から送られてくる署名 の検証に⽤いる。 • 認証の際には、認証サーバーは、⼀度だけ有効なランダムな⽂字列 (チャレンジ) を認証 器に送付する。認証器は、利⽤者の本⼈性を検証できた場合に、このチャレンジに対し て保管していた秘密鍵で署名を⽣成し、署名付きのチャレンジをレスポンスとして認証 サーバーに返送する。 • 認証サーバーは、秘密鍵に対応した先の公開鍵を⽤いて署名検証を⾏い、適切な署名で ある場合のみ認証を成功とする。即ち、公開鍵を⽤いて適正な署名であることを認証 サーバーが検証できれば、その公開鍵とペアの秘密鍵を確かに認証器が所持していると いうことを暗号学的に確かめられるので、認証器からのレスポンスを信頼できるとする のである。 FIDO Alliance | All Rights Reserved | Copyright 2017 6
- 7. プライバシー保護 • ある特定の秘密鍵と公開鍵のペアは、登録時に認証器で⽣成される。この鍵ペアは、利 ⽤者と登録した認証サーバーにだけ有効な情報となり、利⽤者の他のアカウントや他の サーバー間では共有されない。認証器は、異なる認証サーバーには異なる鍵ペアを発⾏ するので、他のサーバーから利⽤者の⾏動を追跡することが困難であり、利⽤者のプラ イバシーにも配慮した⽅式になっている。 • このように、FIDO認証は、認証器による本⼈性のローカルな検証と、その検証結果の通 知プロセスとを分離し、公開鍵暗号を使った1つの標準化プロトコルとしてまとめて提供 したところが⾰新的であり、秘密を共有する従来の認証とは原理的に異なる。 FIDOAlliance | All Rights Reserved | Copyright 2017 7
- 8. ⽣体認証の導⼊ • 認証器による本⼈性を確認するための⼿段は、どのようなものであってもよいが、有⼒ な⼿段として想定されているのが⽣体認証であり、FIDO認証との親和性は⾼い。実際に、 FIDOアライアンスには、指紋、虹彩、顔、声紋など様々な⽣体認証技術に関係する企業 が参画している。 • ここで重要なことは、前述の通り、利⽤者の⽣体情報と秘密鍵は、認証サーバーに保管 する必要はないということだ。従来の認証のように、⽣体情報を認証サーバーにて保管 する限りは漏洩することがないように厳正に管理する必要があったが、FIDO認証に⽣体 認証を適⽤すれば、その管理コストを軽減できる。 •既存サービスに⽣体認証を導⼊する場合にも、特定の⽣体認証技術やその技術を取り⼊ れたシステムの形態に縛られることがない点もメリットだ。既に⽣体認証を導⼊済みの 認証サービス提供企業も、新たな技術を実装した認証器を導⼊すれば、今までの資産を 無駄にすることなくFIDO認証に移⾏できるだろう。 FIDO Alliance | All Rights Reserved | Copyright 2017 8
- 9. 認証の部品化 FIDO Alliance |All Rights Reserved | Copyright 2017 9 FIDOサーバーFIDOクライアントFIDO認証器 指紋 虹彩 顔 USBキー スマートカード 新認証⼿段 FIDO標準メッセージ サービス 3 サービス 1 サービス 2 サービス N FIDO認証に対応した認証器であれば、認証システムにプラグイン的に追加できる。
- 10. 多要素認証のアプローチ • FIDO認証プロセスは利⽤者が認証器に対するローカル認証と認証器がサーバーに対する認証 の2つのプロセスに分離されてプロトコル標準化されている。この分離と標準化により、 サーバー側の処理を変えずに、多様なローカル認証⽅式を選択や差し替え可能な実装ができ るようになっている。 • PIN、USBセキュリティキー、TPM(TrustedPlatform Module)、スマートカードなど • 指紋、顔、虹彩、静脈、声紋、ならびにそれら複数の⽣体認証の組み合わせによるマルチモーダル⽣体認証など • FIDO認証プロセスにおいて、チャレンジを署名する秘密鍵を持つこと(something you have)と、ローカルでPINや⽣体認証に⽤いた情報(something you know / something you are)が複数要求される。つまり、仕様上は多要素認証のアプローチとなって認証をより堅牢 にすることができる。 • 単要素のパスワード認証の課題に対する解決策として強⼒な認証製品は⻑年にわたって存在 してきたが、コストの問題や相互運⽤性の⽋如、ベンダーのロックイン*問題、利⽤者の利便 性が悪いなど、⾦融分野以外の幅広い分野での採⽤を妨げている。FIDOの多要素認証の仕組 みが前述のプロトコル標準化によって、相互運⽤性と利便性が向上され、ベンダーのロック イン問題も解消されている。 FIDO Alliance | All Rights Reserved | Copyright 2017 10 *ベンダーロックイン(英: vendor lock-in)とは、特定ベンダー(メーカー)の独⾃技術に⼤きく依存した製品、サービス、システム等を採⽤した際に、他ベンダーの提供す る同種の製品、サービス、システム等への乗り換えが困難になる現象のこと。(Wikipedia)
- 11. 認証器を指定・選択できるポリシー • 認証器の多様性 • 現在多くの製品が認証器としてFIDO認定を受けている。認証器にはサポートしている仕様の種類(UAFかU2Fか) や提供可能なローカル認証の⽅式、情報保護の⽅式、PC/携帯デバイスとの接続⽅式、拡張機能への対応など、 さまざまな特性がありそれに伴い多様な種類の製品が存在している。 •認証器の選択 • FIDO認証においては、 サービスの提供者 が ⾃⼰のサービスで利⽤者が使⽤してもよい認証器、あるいは、使⽤ してはいけない認証器を、⾃⼰のセキュリティポリシーやサービスポリシーに沿う形で、柔軟に指定・選択でき ることが必要である。そこで、FIDOプロトコルではサービス提供者が受け⼊れ可能/不可能な認証器の種類を規定 し、登録や認証時に認証器を選択するポリシーの仕組みが標準化されている。 • 認証器ポリシーの効果 • サービス提供者はサーバー側でポリシーを設定する。ポリシー設定の例として、 受け⼊れ可能な特定の認証器や 認証⽅式(指紋や虹彩等)を指定したり、 受け⼊れ拒否する認証器の条件を指定したりすることができる。この ような標準化された仕組みにより、サービス提供者は⾃⼰の求める認証ポリシーを、異なるベンダーの認証器に 対しても共通的に規定して実⾏し、相互運⽤性を担保した異ベンダー製品の組み合わせによる認証サービスを構 築・運⽤することが出来る。 FIDO Alliance | All Rights Reserved | Copyright 2017 11
- 12. 認証器の信頼性 • FIDO認証では、認証器がクレデンシャルをセキュアに保管し、利⽤者の本⼈性検証、鍵ペアの⽣成、秘 密鍵での署名を⾏う。認証サーバーは認証器からの検証結果の妥当性を確認し、認証が完結する。 • この仕組みが機能するには、認証サーバーが認証器からの結果を信頼できることが不可⽋である。その ため、FIDO認証器には⾃⼰の正統性を認証サーバーに表明できる各種のアテステーション(Attestation、 端末/認証器の証明)機能が仕様化されている。 •利⽤者によって認証器が認証サーバーに最初に登録(Registration)される時、認証器は利⽤者の認証に⽤ いる認証⽤秘密鍵・公開鍵ペアを⽣成する。この認証⽤鍵ペアは当該認証サーバーとの間のみに使われ る固有のものである。 • 登録時、認証器はこの認証⽤公開鍵と同時に、認証鍵とは異なるアテステーション⽤秘密鍵で署名され た証明書を認証サーバーに送信する。アテステーション⽤秘密鍵はその認証器に対応したものであり、 その認証器の出⽣証明の役割を果たす。認証サーバーはその認証器を受け付けるかどうかを証明書や認 証器の性能値等から判断し、受け⼊れ可否を決定する。即ち、認証サーバーが受け⼊れ可能と判断した 認証器のみで利⽤者の認証が実施されることになる。 • アテステーション仕様では、各種の⽅式が規定されているが、例として「基本アテステーション (Basic Attestation)」を紹介する。 • 基本アテステーションでは、認証器の⼯場出荷時に同⼀認証器モデルに対応した秘密鍵とその証明書を TEE(Trusted Execution Environment)等に格納する。同⼀鍵は10万台以上で使⽤することとし、鍵ペア から個別の端末(即ち、利⽤者)が特定できないよう配慮している。認証器の正統性は証明書のルート 認証局への証明書連鎖を辿り、ルート認証局の信頼性に依って検証できる。 FIDO Alliance | All Rights Reserved | Copyright 2017 12
- 13. 基本アテステーションによる登録・認証の流れ (認証の流れは他のアテステーション⽅式でも同じ) FIDO Alliance |All Rights Reserved | Copyright 2017 13 認証器 クライアント サーバー 登録 登録開始 チャレンジ+ポリシー レスポンス+アテステーション+認証公開鍵 認証 認証開始 チャレンジ+ポリシー レスポンス 利⽤者 利⽤者エンロール+ 認証⽤公開鍵ペア⽣成 認証⽤鍵ペア (このサーバーに固有) アテステーション鍵+証明書 認証器埋込 アテステーション 秘密鍵で署名 アテステーション公開鍵で検証、 ポリシーへの適正チェック ルート認証局 信頼性検証 ① ②③ ④ ⑤ ① ②③ ④ ⑤ 利⽤者確認 認証⽤ 秘密鍵で署名 認証⽤ 公開鍵で検証 登録 完了 認証 完了 UAF1.1仕様書、FIDO UAF Architectural Overview FIDO Alliance Review Draft 05 October 2016 Fig. 2, Fig.3等をベースに作成 MDS (Metadata Service) メタデータ
- 14. MDS(Metadata Service) • 認証サーバーが認証器の受け⼊れを判断するには認証器の信頼 性に関する様々な情報(メタデータ)が必要である。 •FIDOアライアンスではMDS(Metadata Service)を運⽤している。 機器ベンダーは⾃社の認証器メタデータをMDSにUploadし、広 く利⽤してもらうことができるサービスである。またサービス 提供者はMDSから各種メタデータをダウンロードして利⽤する ことができる。 • MDSでは、アテステーション証明書のルートCAの証明書(root of trust)、認証器の性能・セキュリティ情報に加えて、MDSか らのメタデータを使って様々なFIDO認証サービスを展開する際、 機器ベンダーとサービス提供者の利⽤契約も提供し、FIDO認証 のエコシステムの普及促進を図っている。 FIDO Alliance | All Rights Reserved | Copyright 2017 14
- 15. FIDO認証の技術仕様 • FIDO認証モデルとコンセプトを備える⼆つの技術仕様を策定 • UAF(Universal Authentication Framework) • U2F(Universal 2nd Factor) • 経緯 • 2014年12⽉:1.0版公開 • 2016年12⽉:1.1版公開 • ダウンロード • https://fidoalliance.org/download/ FIDO Alliance | All Rights Reserved | Copyright 2017 15 ENABLES MANY AUTHENTICATION OPTIONS | EACH SERVICE PROVIDER REGISTERS UNIQUE FIDO CREDENTIALS (出所:FIDO アライアンス)
- 16. FIDO UAF仕様:パスワードレス型 FIDO Alliance| All Rights Reserved | Copyright 2017 16 • 主にスマートフォン端末の利⽤を想定し、⽣体認証などの認証⼿段を⽤い て、パスワードは全く使わない認証(パスワードレス)シナリオを実現する。 • NTTドコモがいち早く端末・商⽤サービスに採⽤したほか、⽶国ではBank of Americaが商⽤サービスで採⽤したり、韓国の公的な個⼈認証や決済 サービスで広く使われている。
- 17. FIDO U2F仕様:パスワード補完型 • 主にPC上でWebブラウザの利⽤を想定した⼆要素認証(2FA:two-factor authentication)をサポートする。パスワードで第⼀認証をした後、セ キュリティキーに触れるなどの簡単な動作を第⼆認証とする認証シナリオ である。 • USBキーやスマートカードのように着脱⽅式と、BLE (Bluetooth Low Energy) や NFC (Near Field Communication) の無線⽅式に対応している。 これは、Google、Dropbox、GitHub、Facebook などで採⽤されており、 フィッシング対策として有効であると報告されている。 FIDO Alliance | All Rights Reserved | Copyright 2017 17
- 18. FIDO認定(Certification)プログラム • FIDO認証では、サーバー、クライアント、認証器という各ロールが、それぞれ異なる事業者で提供され る可能性があり、実際のビジネスで利⽤可能なものとして普及させるためには、仕様への適合性 (Compliance) と、FIDO仕様に準拠する製品やサービス間の相互接続性(Interoperability) の確保は⾮常 に重要だ。 • そこで、従来からFIDOアライアンスでは、上記各ロールの仕様への適合性と相互接続性を検証する機能 認定(Functional Certification)の試験を実施し、合格すると、FIDO®Certified (認定)ロゴを交付して きている。 • 加えて、認証器は、秘密鍵の保管、署名の実⾏、⽣体等の照合情報の保管と照合実⾏などを⾏うので、 認証サーバーが信頼できる⾼いセキュリティが要求される。 • そこで認証器については、従来から実施している仕様への適合性・相互接続性という機能認定に、認証 器のセキュリティ評価(Security Evaluation)を加えて、認証器認定(Authenticator Certification)を 開始した。 • 認証器認定では、認証器が提供できるセキュリティのレベルによって、複数のレベルが⽤意されている。 現在、レベル1とレベル2が提供されている。レベルの数字は⼤きいほどより⾼度なセキュリティを提 供できる認証器であることを⽰す。今後、より⾼いレベルの認証器認定も提供する予定である。 • 即ち、 • 認証器認定 レベル1=機能認定(Functional Certification)+ レベル1のセキュリティ評価 • 認証器認定 レベル2=機能認定(Functional Certification)+ レベル2のセキュリティ評価 FIDO Alliance | All Rights Reserved | Copyright 2017 18 FIDO®Certified (認定)ロゴ
- 19. 適合性(Compliance)試験 • 認定試験の参加者はまずはFIDOアライアンスの提供する専⽤の⾃ ⼰診断ツールで、技術仕様への適合性を検証する。 FIDO Alliance| All Rights Reserved | Copyright 2017 19
- 20. 相互接続(Interoperability)試験 • 次に、各参加者がFIDO認証の実装を持ち寄って集まる試験イベントにおいて 相互接続試験が⾏われる。各参加者の3つのロールからなる組み合わせの元で、 所定の認証シナリオに応じて接続し、その動作の適切性を逐⼀確認する。 • これは機能的検証であり、製品例としてはクライアントと認証器が1つのデバ イスに実装されているような場合も含む。 FIDOAlliance | All Rights Reserved | Copyright 2017 20 サーバー 認証器 クライアント
- 21. 認証器認定(Authenticator Certification)レベル • 現在レベル1と2が提供されており、より⾼いレベルを今後追加予定である。 •認証器認定を受けるには、認証器が、従来の機能認定と、FIDOアライアンスが規定する 各レベルに対応したセキュリティ要件を第3者の評価や試験で満⾜することを証明する 必要がある。 • レベル2は、レベル1のすべての要件に、さらに⾼度なセキュリティ要件が追加されて いる。即ち、より⾼いレベルは低いレベルの要件を包含している。よって、レベル2合 格の可能性がある認証器はレベル1を取ることが可能であり、製品によってはレベル2 が取得できるものでも、レベル1のみを取得している場合もある。どのレベルまで取得 するかは各認証器ベンダーの⾃由である。 • レベル1:ソフトウェアのみの認証器でも規定された要件を満たせば取得できる最も ベーシックなセキュリティレベルを提供できる認証器。FIDOアライアンスが認証器の評 価を⾏う。 • レベル2:TEE(Trusted Execution Environment)等ハードウェアによって認証器のセ キュリティが全て担保されていること等が必須である。マルウェア等スケーラブルなソ フトウェア攻撃への耐性が強固であり、指紋や虹彩などプライバシー情報もハードウェ アで守られている認証器。FIDOアライアンスが認定したセキュリティラボが評価を⾏う。 • 認証器認定は、2018年11⽉末以降はレベル1とレベル2のみとなるが、それまでは移⾏ 期間として従来の機能認定(Functional Certification)のみのものも取得可能である。 FIDO Alliance | All Rights Reserved | Copyright 2017 21
- 22. FIDO® Certified(認定)製品 • 2017年11⽉現在、世界中で386の製品が機能認定(Functional Certification)を受けている。 •https://fidoalliance.org/certification/fido-certified-products/ • 継続的に認定試験を開催しており、認定製品も増加している。 FIDO Alliance | All Rights Reserved | Copyright 2017 22
- 23. Web認証 (W3Cとの連携) • Webの標準化団体であるW3C(World Wide Web Consortium)内で新設され たWeb認証WG (Web Authentication Working Group) では、FIDOアライア ンスと連携しながら、同アライアンスが提案したドラフト仕様を元にした 「Web認証(Web Authentication) 仕様」の策定が進んでいる(近々、正式版 としてリリース予定)。FIDOアライアンスでは、この活動をFIDO 2 と位置 づけ、2015年11⽉に初期ドラフトを提案した。 • 主要なWebプラットフォーム(OSやWebブラウザなど)にFIDO認証を組み込 み、利⽤者がデバイスを購⼊すれば直ちに利⽤できる環境にしていく⽅針 だ。既にChrome、Edge、Firefoxで実装が進められており、今後の普及が ⾒込まれる。 • FIDO UAFやU2Fと同様にFIDO認証モデルを踏襲しており、同様の公開鍵暗 号⽅式を採⽤しているが、改めてWebブラウザからも汎⽤的にアクセスす るための⽅式を規定した。 • Web認証で外部の認証器をBLEなどで接続して使う場合のプロトコルの標 準化(CTAP仕様)は、W3CのWeb認証WGではなく、FIDOアライアンスが 実施している。 FIDO Alliance | All Rights Reserved | Copyright 2017 23
- 24. Web認証におけるクレデンシャル FIDO Alliance |All Rights Reserved | Copyright 2017 24 サーバー利⽤者 認証器 公開鍵 Webアプリケーション向け「暗号学的」クレデンシャル • 認証器に保管される利⽤者の秘密鍵は、サーバーで、利⽤者の公開鍵と関連づけられるように管理する。 • ローカルの認証器が利⽤者の本⼈性を検証できた場合、秘密鍵を⽤いてサーバーからのチャレンジに署 名して返送する。 秘密鍵 (クレデンシャル) 特定の認証器とサーバー向け特定の利⽤者向け ID トラスト(信頼)の鎖 他の利⽤者 他のサーバー 他の利⽤者がなりすまして利⽤したり、他のサーバーでの認証に利⽤することはできない。利⽤者と認証器と サーバーにトラスト (信頼)の鎖が構築される。
- 25. Web認証API FIDO Alliance |All Rights Reserved | Copyright 2017 25 利⽤者 認証器 ブラウザー 1. 認証要求 3. 以下のデータを⽣成 秘密鍵の情報 アサーション(検証 結果の証明書) 署名 4. アサーションを含めた 署名付きデータを返信 5. 署名検証 ID サーバー 認証⽤ 公開鍵 認証⽤ 秘密鍵 Web認証API 2. 利⽤者の本⼈性確認 6. 利⽤者IDの抽出 「Web認証API (Application Programming Interface)」を規格化することで、 利⽤者のWebブラウザはJavaScript⾔語でFIDO認証器を呼び出し、認証サーバーと通 信のやり取りができるようになる。
- 26. 認証デバイス連携: CTAP • W3CでのWeb認証APIと並⾏して、FIDOアライアンスにおいて注 ⼒しているのが、デバイス間連携仕様CTAP (Client To Authenticator Protocol)の策定である。 • この仕様は、ローカルのデバイスの認証器に対して、認証処理 を委ねるためのBluetooth, NFC, USBを⽤いた通信プロトコルを 規定する。 FIDO Alliance | All Rights Reserved | Copyright 2017 26
- 27. CTAPのユースケース例 • PCのWebブラウザ上で動作するアプリケーションで認証が必要となった場合、利⽤者は スマートフォンで指紋認証すればよくなる。この場合、物理的に異なるPCとスマート フォンが、BLE またはNFCを⽤いてローカル連携することで、スマートフォンでの認証結 果をWebブラウザのアプリケーションに送付してくれる。 •FIDO U2Fと同様に、PCにUSBキーを挿⼊し、直接に連携することもできる。 • 利⽤者はいろいろなサービスで認証が必要になった際に、⾃分の保有する特定のデバイ スに認証処理を集約させ、共通の認証器として利⽤できるようになる。 FIDO Alliance | All Rights Reserved | Copyright 2017 27 BLE/NFC サーバー PC (クライアント) スマートフォン (外部認証器) 利用者 秘密鍵 公開鍵 FIDO認証
- 28. 認証器のバリエーション FIDO Alliance |All Rights Reserved | Copyright 2017 28 認証器 内蔵認証器 外部認証器 無線型 着脱型 クライアント Web認証API CTAP (Client To Authenticator Protocol) ユーザーデバイス 認証器 クライアントWeb認証API C T A P C T A P 認証器 クライアントWeb認証API