YJTC18 D-1 安心安全な次世代認証を目指して〜社会に溶け込む認証技術〜

安心安全な次世代認証を目指して
〜社会に溶け込む認証技術〜
大神渉
Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.

大神渉
Yahoo! JAPAN研究所
セキュリティ・プライバシ
研究開発: 安全で使いやすい技術
おおがみわたる

安心安全な次世代認証を目指して
時代にあった
パスワードが
不要な標準技術
使いやすい
自然な認証体験
不安のない
認証後も
安心・安全
脅威：パスワードの危険性

はじめに: パスワードの危険性

パスワード設定の難しさ
ID
PW
ID
PW
ID
PW
ID
PW
各サイト・アプリで
別々のパスワードを
設定できていますか？

48
→ブラウザのパスワードマネージャーが管理するアカウント

なりすましの危険性
リスト型攻撃
→自社のみの防御で防げない
覚えられないから、
同じIDとPWに・・
流出
同じIDとPWが
他でも使えるぞ

良いとされてきた定期変更
定期的に
変更を強制
PW変更推測しやすく
覚えられない・・
auc123から
auc124にしよう
古いPW(auc123)が
手に入った。数字を
ずらして使っている？
→定期変更をNISTが非推奨
アメリカ国立標準技術研究所

スマートフォンでのパスワード
入力が難しい・・
passwordに
何回も聞かれるから
passにしとこう

あなたの生活は守れますか？
→便利な反面、管理がパスワード
○○pay ヘルスケア SNS FinTech

パスワードがいらない認証技術

認証の3要素
•記憶本人のみが記憶するデータ
→パスワード
•所持本人のみが所持している物
→ ワンタイムパスワードのトークン
•生体本人の特徴
→ 指紋、虹彩、顔
オンラインで安全に使いたい

FIDO (Fast IDentity Online) 認証
オンライン認証時のセキュアな通信仕様
ファイド
Universal
2nd
Factor
Universal
Authentication
Framework
パスワードを
置き換える
パスワードに
付け加える

UAF: パスワードに代わる認証プロトコル
出典： https://fidoalliance.org
指紋など強固な
認証を施す
決済の認証を
強固にしたい

FIDO Alliance | All Rights Reserved | Copyright 2017
U2F: パスワード + α
15
機器を接続し、
ボタンを押すなどの
簡単な動作
パスワード以外の
認証だけだと
急に変えられない

従来の認証方法との違い
1. ローカルのみでの認証
2. 公開鍵暗号の使用
3. プライバシー保護
4. 幅広い認証方法を適用出来る

1. ローカルのみでの認証
自分の生体情報は
端末だけに保存され
その外に出ない
(例)
保存してある
指紋と照合が
できました
この文書は
信頼出来る
→認証OK
発行
送信

2. 公開鍵暗号の使用
端末内で生成した
秘密鍵で署名
(例)
保存してある
指紋と照合が
できました
正しい秘密鍵で
作られた署名だ
→認証OK
発行
送信
Aさんの
公開鍵
(Aさんの
秘密鍵と
ペア)
Aさんの
秘密鍵

3. プライバシー保護
信頼できる第三者 → 必要ではない
サーバー → 秘密情報を置かない
サービス/アカウント間でlink-ablityをもたない
• 必要以上にトラッキングされない

4. 幅広い認証方法を適用できる
20
FIDOサーバーFIDOクライアントFIDO認証器
指紋
虹彩
顔
USBキー
スマートカード
新認証手段
FIDO標準メッセージ
サービス 3
サービス 1
サービス 2
サービス N
FIDO認証に対応した認証器をシステムに追加可能

安全なのはわかったが・・・
どうやって
FIDO認証を
使ったら
いいの？
ユーザー

認定制度
FIDO仕様が適切に実装されていることを認定
FIDO®Certified (認定)ロゴ
サービスや
端末の
ロゴをみて
判別

認定1: 相互接続性を確認
異なる企業間・サーバー間でも疎通を確認
サーバー
認証器
クライアント

認定2: 認証器のセキュリティレベル
レベル4
レベル3
レベル2
レベル1 ソフトウェアだけで
実装可能
ハードウェアによる
鍵の保護
・
・
・

FIDO認証は既に浸透し始めている
386の製品が認定を取得
→製品やサービスの提供も活発に
UAF アプリケーション提供者
例: Docomo、DNPなど
U2F Webサービス提供者
例: Google、Facebookなど

アプリ以外でもUAFを使いたい
UAFの安全性をブラウザ経由で利用可能にする仕様
FIDO2

ブラウザを通して認証器にアクセス
JavaScriptのAPIを通じて認証器を呼び出す
利用者
認証器
ブラウザー
1. 認証要求
3. 以下のデータを生成
秘密鍵の情報
アサーション（検証
結果の証明書）
署名
4. アサーションを含めた
署名付きデータを返信 5. 署名検証
ID
サーバー
認証用
公開鍵
認証用
秘密鍵
Web認証API
2. 利用者の本人性確認
6. 利用者IDの抽出

Web認証 (W3Cとの連携)
• Webの標準化団体であるW3C (World Wide Web Consortium)内で新設されたWeb認証
WG (Web Authentication Working Group) では、FIDOアライアンスと連携しながら、同ア
ライアンスが提案したドラフト仕様を元にした「Web認証(Web Authentication) 仕様」の
策定が進んでいる(近々、正式版としてリリース予定)。FIDOアライアンスでは、この活
動をFIDO 2 と位置づけ、2015年11月に初期ドラフトを提案した。
• 主要なWebプラットフォーム(OSやWebブラウザなど)にFIDO認証を組み込み、利用者が
デバイスを購入すれば直ちに利用できる環境にしていく方針だ。既にChrome、Edge、
Firefoxで実装が進められており、今後の普及が見込まれる。
• FIDO UAFやU2Fと同様にFIDO認証モデルを踏襲しており、同様の公開鍵暗号方式を
採用しているが、改めてWebブラウザからも汎用的にアクセスするための方式を規定し
た。
• Web認証で外部の認証器をBLEなどで接続して使う場合のプロトコルの標準化（CTAP
仕様）は、W3CのWeb認証WGではなく、FIDOアライアンスが実施している。
28
ブラウザの標準機能を決定する
団体(W3C)にて仕様を策定中

ブラウザを持つ機器が
必ずしも認証器をもたないのでは・・？
外付けの認証器を使う → CTAP
例スマホの指紋
認証機能を利用

認証器の多様性に対応
30
認証器
内蔵認証器外部認証器
無線型
着脱型
クライアント
Web認証API
CTAP (Client To Authenticator Protocol)
ユーザーデバイス
認証器クライアントWeb認証API
Ｃ
Ｔ
Ａ
Ｐ
Ｃ
Ｔ
Ａ
Ｐ
認証器クライアントWeb認証API

パスワードがいらない認証技術
次世代デファクトスタンダード：FIDO認証
パスワードにかわり、アプリやブラウザで
様々な認証方法が安全に利用可能に
→Yahoo! JAPAN IDの認証方法として検討中
※会場内「Yahoo! ID連携」ブースもどうぞ

パスワードさえなくせば全て解決・・？
認証時の体験

こんなことありませんか
認証の機会
多すぎ、少なすぎ
認証行為の難しさ
• 入力
• 場所や環境に適さない
また
認証！？
え、もう
注文完了！？
寒いのに
指紋・・
(周りの人に
見られる・・)

ユーザー毎に認証する環境が異なる
個々のユーザーの環境に応じた適切な認証方法を提
供したい (コンテキストアウェアネス)
家族と一緒にいる一人で在宅飛行機に乗っている
子供を抱いており
パターンロックでも
大変・・
自宅に1人でいるけど
何度も認証が必要と
言われる
周囲に人がいるのに
声紋認証を
求められる

自然な認証体験
コンテキストを判断し、適切な認証方法を提供
他の家族が
プッシュで
内容を確認
帰宅時だけ
認証し、以後
認証しない
虹彩や
指紋で認証

実現の可能性
IoT: 小型の接続機器の普及により、ユーザーの
「今」の状況を知る手段が増えた
いつもつないでいる
Wi-Fiだから自宅だな
すごい速さで
移動しているから
飛行機の中だな
以前データを中継した
端末があるから近くに
いるのは家族だな
様々な要素との組み合わせ→状況を更に知ることが可能に

認証方法の変更で適切なユーザー保護
ユーザーの状況で、セキュリティレベルを変更
中継した機器が付近に
あるが、最後の検知は
2年前だから怪しい
自宅付近にはいるが
家の中にいることは
わからないから
振り込みはさせない
飛行機での移動中に
決済はさせない
アクションの制限や取引の留保で不正な攻撃リスクを
少なくする効果が見込める

実現例: スマートスピーカー
続々と製品を発表

既にマルチユーザー判別が可能
例: Google Homeでは設定後に話者を判別
→自分のユーザー情報に触れることなく
スピーカーの機能を共有

将来的に認証機会・体験が溶け込む
話して家電を操作 → あなたの実在を認証
ID:Wataru.Ogami
何もしなくても
認証されている指紋で決済
部屋の中誰か入ってきたら

強固で使いやすい認証でもう大丈夫・・・？
認証”後”

課題1: 改竄の危険性
強固な認証の裏で、ユーザーが騙される
• フィッシングやMiTB
• 振り込み先や金額は正しい？
Bさんに
1万円送ろう
振込
Bさん
1万円
振込
攻撃者
100万円
実際の取引内容
BANK
内容を
改竄
Aさんが指定した
攻撃者に
100万円送金
Aさん

取引認証transaction confirmation
通信内容が、ユーザーが真に同意をしたもので
あることをサーバーが確認する機能
※FIDO仕様: 秘密鍵で取引内容に署名し、
サーバーが公開鍵で検証可能
秘密鍵
公開鍵Aさんに
10万円
正しい指紋
のみ
アクセス
サーバーへ
検証
サーバーが
保管
署名

取引認証をしても完璧ではない
ユーザーがだまされる攻撃は防御が難しい
例: WYSIWYSの担保
• What You See Is What You Sign
• ユーザーが意図した内容にのみ署名を打てること
見たもの = 署名したもの

攻撃の例：Overlay アタック
攻撃者が署名させたい
取引内容
ユーザーが確認する
取引内容
マルウェアによりユーザーが騙されて署名を打ってしまう
端末の画面ユーザー

デバイスの機能やUIの工夫で対策可
ハード
ウェア上の
安全な領域
ここで表示
内容を生成
overlayできない
デバイス
Overlayがある場合
この上から操作できない

課題2: 認証対象の本人確認
認証だけでは「悪い」人を弾けない
ID:Wataru.Ogami
普通の人に見えても実は悪い人かも・・？

海外: エストニア(1/2)
エストニアは政府発行の国民IDで本人確認を
オンラインで行っており。その普及率も高い
人口：約135万人
有効：約126万枚(93%)
参考：http://id.ee/?lang=en&id=
e-Residency(電子居住)カード
誰でも登録でき、以下が可能
• 署名
• 署名検証
• 暗号化・送信
• 会社登記
• 銀行口座の管理
• 決済システムへの
アクセス
• 税務処理

海外: エストニア(2/2)
ICカードだけではなく、モバイルで
使いやすいSIMカードでの提供も
行っている(Mobile-ID)
所定のPINコードとユーザーIDを
入力すれば銀行などのログインが
でき、他のデバイスのログインも
SMSを使って安全に行う
参考：http://id.ee/index.php?id=36882

国内: デジタルwatashi
経済産業省 ID連携トラストフレームワーク検討会
• 個人番号カードで身元確認した結果をアプリに格納
• 強固な認証を行い、利便性高く情報活用
個人番号
カード
・税務処理の負担軽減
・予約・領収書の電子化
・Webサービス上でも
参考：デジタルwatashiアプリを利用したユースケースの御紹介
http://www.meti.go.jp/policy/it_policy/id_renkei/160317_02.pdf
格納

まとめ: 「パスワード」→意識しない認証へ
パスワードがいらない世界へ: FIDO認証
FIDO Allianceへ参加して標準化活動に貢献
認証体験の改善
研究開発を進行中
認証後
公的な機関とも連携できる未来へ

さいごに
認証行為が社会に溶け込んでいく未来へ
• 安全性が向上し、パスワードは必要ない
• 認証の機会は減り、体験はさらに簡単に
• 本人性の高いサービスが安全に受けられる

YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜

More Related Content

What's hot

Similar to YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜

More from Yahoo!デベロッパーネットワーク

Recently uploaded