Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜

1,319 views

Published on

Yahoo! JAPAN Tech Conference 2018 D-1 セッションのスライドです。

Published in: Technology
  • Be the first to comment

YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜

  1. 1. 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜 大神 渉 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
  2. 2. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. 大神 渉 Yahoo! JAPAN研究所 セキュリティ・プライバシ 研究開発: 安全で使いやすい技術 おおがみ わたる
  3. 3. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. 安心安全な次世代認証を目指して 時代にあった パスワードが 不要な標準技術 使いやすい 自然な認証体験 不安のない 認証後も 安心・安全 脅威: パスワードの危険性
  4. 4. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. はじめに: パスワードの危険性
  5. 5. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. パスワード設定の難しさ ID PW ID PW ID PW ID PW 各サイト・アプリで 別々のパスワードを 設定できていますか?
  6. 6. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. 48 →ブラウザのパスワードマネージャーが管理するアカウント
  7. 7. なりすましの危険性 リスト型攻撃 →自社のみの防御で防げない 覚えられないから、 同じIDとPWに・・ 流出 同じIDとPWが 他でも使えるぞ
  8. 8. 良いとされてきた定期変更 定期的に 変更を強制 PW変更 推測しやすく 覚えられない・・ auc123から auc124にしよう 古いPW(auc123)が 手に入った。数字を ずらして使っている? →定期変更をNISTが非推奨 アメリカ国立標準技術研究所
  9. 9. スマートフォンでのパスワード 入力が難しい・・ passwordに 何回も聞かれるから passにしとこう
  10. 10. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. あなたの生活は守れますか? →便利な反面、管理がパスワード ○○pay ヘルスケア SNS FinTech
  11. 11. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. パスワードがいらない認証技術
  12. 12. 認証の3要素 •記憶 本人のみが記憶するデータ →パスワード •所持 本人のみが所持している物 → ワンタイムパスワードのトークン •生体 本人の特徴 → 指紋、虹彩、顔 オンラインで安全に使いたい
  13. 13. FIDO (Fast IDentity Online) 認証 オンライン認証時のセキュアな通信仕様 ファイド Universal 2nd Factor Universal Authentication Framework パスワードを 置き換える パスワードに 付け加える
  14. 14. UAF: パスワードに代わる認証プロトコル 出典: https://fidoalliance.org 指紋など強固な 認証を施す 決済の認証を 強固にしたい
  15. 15. FIDO Alliance | All Rights Reserved | Copyright 2017 U2F: パスワード + α 15 機器を接続し、 ボタンを押すなどの 簡単な動作 パスワード以外の 認証だけだと 急に変えられない 出典: https://fidoalliance.org
  16. 16. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. 従来の認証方法との違い 1. ローカルのみでの認証 2. 公開鍵暗号の使用 3. プライバシー保護 4. 幅広い認証方法を適用出来る
  17. 17. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. 1. ローカルのみでの認証 自分の生体情報は 端末だけに保存され その外に出ない (例) 保存してある 指紋と照合が できました この文書は 信頼出来る →認証OK 発行 送信
  18. 18. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. 2. 公開鍵暗号の使用 端末内で生成した 秘密鍵で署名 (例) 保存してある 指紋と照合が できました 正しい秘密鍵で 作られた署名だ →認証OK 発行 送信 Aさんの 公開鍵 (Aさんの 秘密鍵と ペア) Aさんの 秘密鍵
  19. 19. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. 3. プライバシー保護 信頼できる第三者 → 必要ではない サーバー → 秘密情報を置かない サービス/アカウント間でlink-ablityをもたない • 必要以上にトラッキングされない
  20. 20. 4. 幅広い認証方法を適用できる 20 FIDOサーバーFIDOクライアントFIDO認証器 指紋 虹彩 顔 USBキー スマートカード 新認証手段 FIDO標準メッセージ サービス 3 サービス 1 サービス 2 サービス N FIDO認証に対応した認証器をシステムに追加可能 出典: https://fidoalliance.org
  21. 21. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. 安全なのはわかったが・・・ どうやって FIDO認証を 使ったら いいの? ユーザー
  22. 22. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. 認定制度 FIDO仕様が適切に実装されていることを認定 FIDO®Certified (認定)ロゴ 出典: https://fidoalliance.org サービスや 端末の ロゴをみて 判別
  23. 23. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. 認定1: 相互接続性を確認 異なる企業間・サーバー間でも疎通を確認 サーバー 認証器 クライアント 出典: https://fidoalliance.org
  24. 24. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. 認定2: 認証器のセキュリティレベル レベル4 レベル3 レベル2 レベル1 ソフトウェアだけで 実装可能 ハードウェアによる 鍵の保護 ・ ・ ・
  25. 25. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. FIDO認証は既に浸透し始めている 386の製品が認定を取得 →製品やサービスの提供も活発に UAF アプリケーション提供者 例: Docomo、DNPなど U2F Webサービス提供者 例: Google、Facebookなど 出典: https://fidoalliance.org
  26. 26. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. アプリ以外でもUAFを使いたい UAFの安全性をブラウザ経由で利用可能にする仕様 FIDO2
  27. 27. ブラウザを通して認証器にアクセス JavaScriptのAPIを通じて認証器を呼び出す 利用者 認証器 ブラウザー 1. 認証要求 3. 以下のデータを生成 秘密鍵の情報 アサーション(検証 結果の証明書) 署名 4. アサーションを含めた 署名付きデータを返信 5. 署名検証 ID サーバー 認証用 公開鍵 認証用 秘密鍵 Web認証API 2. 利用者の本人性確認 6. 利用者IDの抽出
  28. 28. FIDO Alliance | All Rights Reserved | Copyright 2017 Web認証 (W3Cとの連携) • Webの標準化団体であるW3C (World Wide Web Consortium)内で新設されたWeb認証 WG (Web Authentication Working Group) では、FIDOアライアンスと連携しながら、同ア ライアンスが提案したドラフト仕様を元にした「Web認証(Web Authentication) 仕様」の 策定が進んでいる(近々、正式版としてリリース予定)。FIDOアライアンスでは、この活 動をFIDO 2 と位置づけ、2015年11月に初期ドラフトを提案した。 • 主要なWebプラットフォーム(OSやWebブラウザなど)にFIDO認証を組み込み、利用者が デバイスを購入すれば直ちに利用できる環境にしていく方針だ。既にChrome、Edge、 Firefoxで実装が進められており、今後の普及が見込まれる。 • FIDO UAFやU2Fと同様にFIDO認証モデルを踏襲しており、同様の公開鍵暗号方式を 採用しているが、改めてWebブラウザからも汎用的にアクセスするための方式を規定し た。 • Web認証で外部の認証器をBLEなどで接続して使う場合のプロトコルの標準化(CTAP 仕様)は、W3CのWeb認証WGではなく、FIDOアライアンスが実施している。 28 出典: https://fidoalliance.org ブラウザの標準機能を決定する 団体(W3C)にて仕様を策定中
  29. 29. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. ブラウザを持つ機器が 必ずしも認証器をもたないのでは・・? 外付けの認証器を使う → CTAP 例 スマホの指紋 認証機能を利用
  30. 30. FIDO Alliance | All Rights Reserved | Copyright 2017 認証器の多様性に対応 30 認証器 内蔵認証器 外部認証器 無線型 着脱型 クライアント Web認証API CTAP (Client To Authenticator Protocol) ユーザーデバイス 認証器 クライアントWeb認証API C T A P C T A P 認証器 クライアントWeb認証API 出典: https://fidoalliance.org
  31. 31. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. パスワードがいらない認証技術 次世代デファクトスタンダード:FIDO認証 パスワードにかわり、アプリやブラウザで 様々な認証方法が安全に利用可能に →Yahoo! JAPAN IDの認証方法として検討中 ※会場内「Yahoo! ID連携」ブースもどうぞ
  32. 32. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. パスワードさえなくせば全て解決・・? 認証時の体験
  33. 33. こんなことありませんか 認証の機会 多すぎ、少なすぎ 認証行為の難しさ • 入力 • 場所や環境に適さない また 認証!? え、もう 注文完了!? 寒いのに 指紋・・ (周りの人に 見られる・・)
  34. 34. ユーザー毎に認証する環境が異なる 個々のユーザーの環境に応じた適切な認証方法を提 供したい (コンテキストアウェアネス) 家族と一緒にいる 一人で在宅 飛行機に乗っている 子供を抱いており パターンロックでも 大変・・ 自宅に1人でいるけど 何度も認証が必要と 言われる 周囲に人がいるのに 声紋認証を 求められる
  35. 35. 自然な認証体験 コンテキストを判断し、適切な認証方法を提供 他の家族が プッシュで 内容を確認 帰宅時だけ 認証し、以後 認証しない 虹彩や 指紋で認証
  36. 36. 実現の可能性 IoT: 小型の接続機器の普及により、ユーザーの 「今」の状況を知る手段が増えた いつもつないでいる Wi-Fiだから自宅だな すごい速さで 移動しているから 飛行機の中だな 以前データを中継した 端末があるから近くに いるのは家族だな 様々な要素との組み合わせ→状況を更に知ることが可能に
  37. 37. 認証方法の変更で適切なユーザー保護 ユーザーの状況で、セキュリティレベルを変更 中継した機器が付近に あるが、最後の検知は 2年前だから怪しい 自宅付近にはいるが 家の中にいることは わからないから 振り込みはさせない 飛行機での移動中に 決済はさせない アクションの制限や取引の留保で不正な攻撃リスクを 少なくする効果が見込める
  38. 38. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. 実現例: スマートスピーカー 続々と製品を発表
  39. 39. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. 既にマルチユーザー判別が可能 例: Google Homeでは設定後に話者を判別 →自分のユーザー情報に触れることなく スピーカーの機能を共有
  40. 40. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. 将来的に認証機会・体験が溶け込む 話して家電を操作 → あなたの実在を認証 ID:Wataru.Ogami 何もしなくても 認証されている 指紋で決済 部屋の中 誰か入ってきたら
  41. 41. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. 強固で使いやすい認証でもう大丈夫・・・? 認証”後”
  42. 42. 課題1: 改竄の危険性 強固な認証の裏で、ユーザーが騙される • フィッシングやMiTB • 振り込み先や金額は正しい? Bさんに 1万円送ろう 振込 Bさん 1万円 振込 攻撃者 100万円 実際の取引内容 BANK 内容を 改竄 Aさんが指定した 攻撃者に 100万円送金 Aさん
  43. 43. 取引認証transaction confirmation 通信内容が、ユーザーが真に同意をしたもので あることをサーバーが確認する機能 ※FIDO仕様: 秘密鍵で取引内容に署名し、 サーバーが公開鍵で検証可能 秘密鍵 公開鍵Aさんに 10万円 正しい指紋 のみ アクセス サーバーへ 検証 サーバーが 保管 署名
  44. 44. 取引認証をしても完璧ではない ユーザーがだまされる攻撃は防御が難しい 例: WYSIWYSの担保 • What You See Is What You Sign • ユーザーが意図した内容にのみ署名を打てること 見たもの = 署名したもの
  45. 45. 攻撃の例:Overlay アタック 攻撃者が署名させたい 取引内容 ユーザーが確認する 取引内容 マルウェアによりユーザーが騙されて署名を打ってしまう 端末の画面 ユーザー
  46. 46. デバイスの機能やUIの工夫で対策可 ハード ウェア上の 安全な領域 ここで表示 内容を生成 overlayできない デバイス Overlayがある場合 この上から操作できない
  47. 47. 課題2: 認証対象の本人確認 認証だけでは「悪い」人を弾けない ID:Wataru.Ogami 普通の人に見えても 実は悪い人かも・・?
  48. 48. 海外: エストニア(1/2) エストニアは政府発行の国民IDで本人確認を オンラインで行っており。その普及率も高い 人口:約135万人 有効:約126万枚(93%) 参考:http://id.ee/?lang=en&id= e-Residency(電子居住)カード 誰でも登録でき、以下が可能 • 署名 • 署名検証 • 暗号化・送信 • 会社登記 • 銀行口座の管理 • 決済システムへの アクセス • 税務処理
  49. 49. 海外: エストニア(2/2) ICカードだけではなく、モバイルで 使いやすいSIMカードでの提供も 行っている(Mobile-ID) 所定のPINコードとユーザーIDを 入力すれば銀行などのログインが でき、他のデバイスのログインも SMSを使って安全に行う 参考:http://id.ee/index.php?id=36882
  50. 50. 国内: デジタルwatashi 経済産業省 ID連携トラストフレームワーク検討会 • 個人番号カードで身元確認した結果をアプリに格納 • 強固な認証を行い、利便性高く情報活用 個人番号 カード ・税務処理の負担軽減 ・予約・領収書の電子化 ・Webサービス上でも 参考:デジタルwatashiアプリを利用したユースケースの御紹介 http://www.meti.go.jp/policy/it_policy/id_renkei/160317_02.pdf 格納
  51. 51. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. まとめ: 「パスワード」→意識しない認証へ パスワードがいらない世界へ: FIDO認証 FIDO Allianceへ参加して標準化活動に貢献 認証体験の改善 研究開発を進行中 認証後 公的な機関とも連携できる未来へ
  52. 52. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. さいごに 認証行為が社会に溶け込んでいく未来へ • 安全性が向上し、パスワードは必要ない • 認証の機会は減り、体験はさらに簡単に • 本人性の高いサービスが安全に受けられる
  53. 53. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.

×