Download as PDF, PPTX
パスワードのいらない世界へ
- 1. パスワードのいらない世界へ ~マルチデバイス対応FIDO認証資格情報(パスキー) を中心とした最新動向~ FIDO Alliance |All Rights Reserved | Copyright 2022 2022年10月6日 楽天グループ(株)板倉景子 FIDOアライアンス FIDO Japan WG 副座長 Security Days Fall 2022 1
- 2. 2 FIDO Alliance| All Rights Reserved | Copyright 2022
- 3. 2019年 FIDO アライアンス JapanLeadership Group/副座長 板倉 景子 2005年 Unisys 総合技術研究所 .NET business development システムエンジニア 2008年 Microsoft Consulting Services 技術コンサルタント 2015年 IBM セキュリティ事業部 Manager 2019年 楽天グループ エコシスエムサービス部 Principal Information Security Specialist FIDO Alliance | All Rights Reserved | Copyright 2022 3
- 4. 4 ユーザビリティ • シンプルなログイン • 高い顧客転換率 セキュリティ •攻撃対策コスト • お客様の声 HIGH LOW HIGH LOW FIDO Alliance | All Rights Reserved | Copyright 2022
- 5. 5 引用:Forty-Two Percent ofIT and Security Managers Say Their Organizations Have Been Breached as a Result of User Password Compromise, According to Enterprise Management Associates Research https://www.businesswire.com/news/home/20200305005188/en/Forty-Two-Percent-of-IT-and-Security-Managers-Say-Their-Organizations-Have-Been-Breached-as-a- Result-of-User-Password-Compromise-According-to-Enterprise-Management-Associates-Research veriff : An update on our security incident https://www.veriff.com/blog/account-takeover-fraud-statistics Verizon, “2021 Data Breach Investigations Report”, 13 May 2021. https://www.verizon.com/business/resources/reports/dbir/2021/masters-guide/ PermeterX : The Cost of Account Fraud on Financial Services Industry https://www.perimeterx.com/resources/blog/2021/the-cost-of-account-fraud-on-financial-services-industry/ Security.org :Account Takeover 2021 Annual Report: Prevalence, Awareness and Prevention https://www.security.org/digital-safety/account-takeover-annual-report/ Sift: Account takeover data, trends, and insights https://em.sift.com/NTI2LVBDQy05NzQAAAGHHuAAyTchiqbUbMtSN_uXlxuCfBACWuIEtTdKI1J0jRguYzbUQMvg8zCYO5kfuvcCjsIgXWg= FIDO Alliance | All Rights Reserved | Copyright 2022 全てのログイン試行の 75-85%がアカウント乗っ取り の試行 (PerimeterX) 85% 侵害の61%は資格情報に関係 (Verizon) 61% 米国内の成人の 22% がアカウン ト乗っ取りの被害者であり、 12,000ドルの金銭的損失 (Security.org) アカウント乗っ取りのコストは 年間11.4億ドル(veriff) $11.4B アカウント乗っ取りの報告数が 前年比131%に(Sift) 131%↑ $12,000 ユーザーパスワードの侵害の結果とし て組織が侵害された(MobileIron) 42%
- 6. 6 順位. 脅威(個人) 1 フィッシングによる個人情報等の詐取 2ネット上の誹謗・中傷・デマ 3 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 4 クレジットカード情報の不正利用 5 スマホ決済の不正利用 6 偽警告によるインターネット詐欺 7 不正アプリによるスマートフォン利用者への被害 8 インターネット上のサービスからの個人情報の窃取 9 インターネットバンキングの不正利用 10 インターネット上のサービスへの不正ログイン FIDO Alliance | All Rights Reserved | Copyright 2022 引用:“情報セキュリティ10大脅威 2022” https://www.ipa.go.jp/security/vuln/10threats2022.html
- 7.
- 8. 8 https://about.yahoo.co.jp/topics/20220207.html FIDO Alliance |All Rights Reserved | Copyright 2022
- 9. お客様からのお問い合わせ(ヤフー/楽天グループ) FIDO Alliance |All Rights Reserved | Copyright 2022 9
- 10. FIDO Alliance |All Rights Reserved | Copyright 2022 10
- 11.
- 12. DARKReadling:Top 5 TechniquesAttackers Use to Bypass MFA https://www.darkreading.com/endpoint/top-5-techniques-attackers-use-to-bypass- mfa Crypto.com confirms $34 million hack caused by 2FA bypass exploit https://www.itpro.co.uk/technology/cryptocurrencies/362037/cryptocom-confirms- 34-million-hack-caused-by-2fa-bypass-exploit 二要素認証の突破やSMSへのメッセージ混入--2019年サイバー犯罪総括 (トレンドマイクロ) https://scan.netsecurity.ne.jp/article/2020/01/10/43512.html IT media : 狙われるワンタイムパスワード、多要素認証を破る闇サービスが浮上 https://www.itmedia.co.jp/news/articles/2111/05/news052.html 二段階認証を突破する攻撃 12 FIDO Alliance | All Rights Reserved | Copyright 2022
- 13.
- 14. 14 公開鍵暗号方式を活用したオンライン認証 open standards for simpler,stronger authentication using public key cryptography THE NEW MODEL Fast IDentity Online FIDO Alliance | All Rights Reserved | Copyright 2022 引用:Introduction to FIDO Alliance https://www.slideshare.net/FIDOAlliance/introduction-to-fido-alliance?qid=e6a7d01d-0690-484f-8a18-ebbe7d740be9&v=&b=&from_search=5
- 15. 15 利用者が「認証器」(Authenticator)に適切な秘密鍵を保有することを確認 (検証)することによって認証を実現しており、認証器の簡単な操作だけで多要素認証 1 2 34 5 (ローカルパスコード) 利用者 オンライン認証 検証 FIDOクライアント FIDOサーバー 認証器 署名付き 検証結果 秘密鍵 利用者を検証し 秘密鍵で署名 公開鍵 ID 利用者情報 公開鍵で 署名を検証 本人性の検証を ローカルで実施 オンラインでは 公開鍵暗号を活用 FIDO Alliance | All Rights Reserved | Copyright 2022
- 16. 16 FIDO UAF FIDOU2F FIDO2 WebAuthn CTAP UAF : Universal Authentication Framework(パスワードレス認証) U2F : Universal Second Factor(二段階認証) WebAuthn:Web Authentication(ウェブ認証) CTAP:Client to Authenticator Protocol(デバイス間連携仕様) FIDO認証モデルに基づくFIDO仕様群 FIDO Alliance | All Rights Reserved | Copyright 2022
- 17. 17 ID/Password 生体情報など 本人確認の検証結果 ユーザー ユーザー 認証器 サーバー サーバー 攻撃者 FIDOAlliance | All Rights Reserved | Copyright 2022
- 18. 18 生体情報など 本人確認の検証結果 ユーザー 認証器 サーバー 信頼関係 RP(サービス提供者)サ ーバーの識別子に対して署 名したもの FIDOAlliance | All Rights Reserved | Copyright 2022
- 19. ①FIDOサーバーがチャレンジを生成 ③ユーザー検証 • 指紋 • PINコード •顔認証 ④秘密鍵、公開鍵の ペアを作成し、チャレン ジに署名 ②チャレンジを認証器へ送付 ⑤署名されたチャレンジを公 開鍵とともに送信 ⑥署名されたチャレンジを検証し、公開 鍵を保存 ユーザー 認証器 19 FIDO Alliance | All Rights Reserved | Copyright 2022
- 20. * 失敗時のPINを含む 引用: 山口, 他.“クラウドソーシングを用いたWebAuthnベース生体認証のユーザビリティ調査,” CSS ’21. (CSS 2021優秀論文賞受賞) 平均8秒 21秒 27秒 * 認証時間の比較 (FIDO2ベースの生体認証、パスワード、SMS認証) 20 FIDO Alliance | All Rights Reserved | Copyright 2022
- 21.
- 22. 22 FIDO Alliance| All Rights Reserved | Copyright 2022
- 23. 23 FIDO Alliance| All Rights Reserved | Copyright 2022
- 24. 24 FIDO Alliance| All Rights Reserved | Copyright 2022 背景:GIGAスクール構想の推進 FIDOアライアンス APAC Market Dev Manager 土屋氏撮影 教育市場でのFIDO導入
- 25. 25 FIDO Alliance| All Rights Reserved | Copyright 2022
- 26. デバイスの 紛失 デバイスの 故障 26 FIDO Alliance| All Rights Reserved | Copyright 2022
- 27. ユーザー デバイス登録完了 認証エラー 27 FIDO Alliance| All Rights Reserved | Copyright 2022
- 28. 28 FIDO Alliance| All Rights Reserved | Copyright 2022
- 29. Apple、Google、MicrosoftがFIDO標準のサポート拡大にコミット、 パスワードレス認証の普及を促進 2022年5月5日、カリフォルニア州マウンテンビュー – すべての人にとって ウェブをより安全で使いやすいものにするための共同の取り組みとして、 Apple、Google、Microsoftは本日、FIDOアライアンスとWorldWide Web Consortium(以下、W3C) が策定した共通のパスワードレス認証のサポートを拡大する計画を発表しました。 この新機能により、ウェブサイトやアプリケーションは、コンシューマーに対してデバイスや プラットフォームを問わず一貫して、安全かつ容易なパスワードレス認証を提供できるように なります。 https://fidoalliance.org/charting-an-accelerated-path-forward-for-passwordless-authentication-adoption-jp/?lang=ja 29 FIDO Alliance | All Rights Reserved | Copyright 2022
- 30. メディア各社による報道 FIDO Alliance |All Rights Reserved | Copyright 2022 30 引用:NHK Web (2022年5月7日アクセス)https://www3.nhk.or.jp/news/ 日本経済新聞(2022年5月7日アクセス)https://www.nikkei.com/article/DGXZQOGN053OM0V00C22A5000000/
- 31. 古いデバイス 新しいデバイ ス バックアップ リカバリ 保有しているデバイス (同一プラットフォー ムユーザーアカウント) * 詳細な実装は、プラットフォームプロバイダーごとに異なる場合があります。 FIDO Alliance | All Rights Reserved | Copyright 2022 31
- 32.
- 33. サービス提供者視点 ユーザー視点 新しいデバイスを購入したときに、(すべてのサ イトに対して) FIDO 資格情報を登録する必要 がない。 資格情報の有無が事前にわかる/同期されている 再登録処理による顧客離脱の懸念を低減できる。 別手段やFAQでのフォローの手間が軽減できる。 アカウントリカバリーが容易 全てのFIDO デバイスを紛失した場合でも、ア カウントのロックアウトを心配する必要がない。 複雑なリカバリー手段による顧客離脱の懸念を 低減できる。別手段を用意しなくてよい。 パスワードをオプションとして残す必要性が低減 最終手段としてパスワードを覚えておく必要性 がない。 パスワードに起因するセキュリティの脅威から 解放される。 FIDO Alliance | All Rights Reserved | Copyright 2022 33
- 34. DPK* DPKを要求 (作成時) DPKを要求 (認証時) * DPK の拡張について(議論中): https://github.com/w3c/webauthn/pull/1663 DPKs (never leave the device”デバイスに保存される”) サービス FIDO Alliance | All Rights Reserved | Copyright 2022 34
- 35.
- 36. バックアップの適格性/バックアップ状態 BE BS Authenticator Data (authData)layout 各RP(サービス提供者)はバックアップの適格性/バックアップ状態をみてアカウントの状態を知る ことが可能 * Backup eligibility (WD): https://github.com/w3c/webauthn/pull/1695 Backup Eligibility 0 バックアップの適格性がない(シングルデバイス対応FIDO認証資格情報) 1 バックアップの適格性がある(マルチデバイス対応FIDO認証資格情報) Backup State 0 バックアップされていない 1 バックアップされている FIDO Alliance | All Rights Reserved | Copyright 2022 36
- 37. * Conditional mediationUI (WIP): https://github.com/w3c/webauthn/pull/1576 FIDO Alliance | All Rights Reserved | Copyright 2022 37
- 38. 3. QRコード読み取り 4. BLEアドバー タイズ 2. BLEスキャン 1. QRコー ドの表示 5. トンネルの確立 (wss) * Add “hybrid” as a transport (WIP): https://github.com/w3c/webauthn/pull/1755 デスクトップPCで サインイン → 認証用QRコードを スマートフォンで読み取り → スマートフォンで本人 確認を行い、認証成功 FIDO Alliance | All Rights Reserved | Copyright 2022 38
- 39. * 本資料作成時点(2022年9月10日時点)では、Google社は同等機能について発表なし FIDO Alliance| All Rights Reserved | Copyright 2022 39
- 40.
- 41. FIDO(ファイド)アライアンス 41 FIDO Alliance| All Rights Reserved | Copyright 2022 The Fast IDentity Online Alliance - FIDO ALLIANCE, INC. (A NONPROFIT MUTUAL BENEFIT CORPORATION) - 2012年に設立されて以来、現在約250社で構成される 米国カリフォルニア州法に基づくグローバルな非営利団体(相互利益法人) パスワードと認証にまつわる課題解決のため、 • 「FIDO認証モデル」に基づく技術仕様の策定 • 技術仕様を導入展開するためのプログラム運営 • 各標準化団体との協業などを通じたさらなる導入展開を推進
- 42. 42 コミュニケーションの相互支援 (FIDOアライアンス内で) • 言語とコミュニケーションスタイル • 時差 •FIDO認証の理解促進と検討 日本語による情報発信 (FIDOアライアンス外へ) • ウェブサイト~主なメッセージ • FIDO認証の導入事例 • 仕様概要や技術用語の対照表 技術・導入SWG マーケティングSWG 翻訳TF アカウントリカバリTF 座長・副座長 プログラムマネジャー 2020年6月現在の体制 FIDO Alliance | All Rights Reserved | Copyright 2022
- 43. 43 + スポンサーメンバー +アソシエイトメンバー + リエゾンメンバー + 政府系機関メンバー FIDO Alliance | All Rights Reserved | Copyright 2022
- 44. 44 2022年10月6日現在、57社 AuthenTrend Technology,Inc. 株式会社アクセル Capy株式会社 大日本印刷株式会社 株式会社イードクトル エクスジェン・ネットワークス株式会社 ジェイズ・コミュニケーション株式会社 F i n g e r p r i n t C a r d s A B 株 式 会 社 イ ン タ ー ナ シ ョ ナ ル シ ス テ ム リ サ ー チ 株 式 会 社 ア イ ピ ー キ ュ ー ブ 日 本 情 報 シ ス テ ム 株 式 会 社 株 式 会 社 ヌ ー ラ ボ O S S T e c h 株 式 会 社 株式会社Quado 株式会社セシオス 株式会社ステラクラフト 株式会社TRUSTDOCK WiSECURE Technologies Corporation WinMagic, Inc. xID株式会社 FIDO Alliance | All Rights Reserved | Copyright 2022
- 45. 45 FIDO Alliance| All Rights Reserved | Copyright 2022
- 46. 46 https://fidoalliance.org/faqs/?lang=ja FIDO Alliance |All Rights Reserved | Copyright 2022
- 47. 47 https://fidoalliance.org/category/intro-fido-jp/?lang=ja FIDO Alliance |All Rights Reserved | Copyright 2022
- 48. 日本語によるマルチデバイス対応FIDO資格情報 関連情報発信 3月 4月 5月 プレスリリース:“Apple,Google and Microsoft Commit to Expanded Support for FIDO Standard to Accelerate Availability of Passwordless Sign- Ins” FIDOブログ: Charting an Accelerated Path Forward for Passwordless Authentication Adoption ホワイトペーパー: How FIDO Addresses a Full Range of Use Cases FIDO Alliance | All Rights Reserved | Copyright 2022 48
- 49. 49 FIDO Alliance| All Rights Reserved | Copyright 2022 White Paper: Multiple Authenticators for Reducing Account-Recovery Needs for FIDO-Enabled Consumer Accounts https://fidoalliance.org/white-paper-multiple-authenticators-for-reducing-account-recovery-needs-for-fido- enabled-consumer-accounts/ Running FIDO2 Server tests https://github.com/fido-alliance/conformance-test-tools-resources/tree/master/docs/FIDO2/Server Multi Device FIDO Credentials https://fidoalliance.org/multi-device-fido-credentials/?lang=ja#faq
- 50. 50 https://fidoalliance.org/newsletter- sign-up/ ・毎月発行されるFIDOアライアンスからの最新 のニュースを購読いただけます。 FIDO Alliance |All Rights Reserved | Copyright 2022
- 51. 51 https://www.youtube.com/channel/UCFEBS esA5GSi9Vz-ESTopiQ FIDO Alliance |All Rights Reserved | Copyright 2022
- 52.
- 53. ご清聴、 ありがとうございました! Mail to: info@fidoalliance.org keiko.Itakura@rakuten.com 53 FIDOAlliance | All Rights Reserved | Copyright 2022