12月8日、東京・港区の虎ノ門ヒルズフォーラムにてFIDO(ファイド)アライアンスの第3回東京セミナーが開催され、多数の関係者が参加した。「パスワードのいらない世界」の実現を掲げる同団体の活動内容や対応製品の紹介、今後の計画などが報告されたほか、講演会の終了後には懇親会も催され、活発な情報交換が行われた。[2016-12-08]
●会員数は250社を突破、仕組みのキモは「認証器」の存在に
FIDOアライアンスでエグゼクティブディレクターを務めるブレット・マクダーウェル氏(写真①)は、FIDOの位置付けや役割、FIDO準拠製品の認定状況など、最近のアップデート情報を報告した。
FIDO(Fast IDentity Online)はユーザーがオンライン環境において、ID・パスワードなどの事前登録や都度の入力などを経ずに、簡便かつ安全に本人としてログインできるようにする手順を定めた規格。この策定を目的として2012年に設立された世界的な組織がFIDOアライアンスだ。
グーグル、マイクロソフト、Visa、MasterCard、American Express、PayPal、アリババ、クアルコム、NXPなどのグローバル企業をはじめとして現在までに250社以上が加盟しており、日本からはNTTドコモ(ボードメンバー)、大日本印刷、ディー・ディー・エス、富士通、ヤフージャパン、楽天らが参加する。
まずFIDOでは、ユーザーと、ネットワーク越しに存在する認証サーバの間に「認証器(AUTHENTICATOR)」と呼ぶ機器を置く。そしてこの認証器の内部にユーザーの生体認証情報、および、生成した秘密鍵を保存する。一方の認証サーバ側には認証器で生成した公開鍵のみを保存しておくことで、ユーザーと認証器の間(ユーザー認証)、認証器と認証サーバの間(デバイス認証)の2つの認証を組み合わせて利用する。これにより高い安全性と、仕組みに準拠した製品やサービス間での利用互換性を確立している(写真②)。
生体認証情報を格納したり、サーバとのやり取りを担う認証器だが、実際の製品としてはスマートフォンやタブレットなどの機器が主流であり、これらを用いた現在のFIDOの規格を「FIDO UAF(Universal Authentication Framework)」と呼ぶ。基本的に、FIDO UAFに準拠した機器や認証サーバの間には相互互換性があるため、組み合わせて利用することができる。FIDOでは規格の策定だけでなく製品認定プログラムを用意しており、認定されたFIDO認定製品は多岐に渡っている(写真③)。
現行のFIDOでは、多要素認証や2段階認証の用途に用いられるセキュリティ専用デバイス(USBキーホルダなど)についてもサポートしており、こちらの規格を「FIDO U2F(Universal Second Factor)」と定めて両者を区別している(写真④)。FIDOでは精力的に規格の更新に注力しており(写真⑤)、将来的には「FIDO 2.0」として両規格を完全に統合していく計画。
●実はFIDO非準拠の「Touch ID」も同一プラットフォームで運用可能に
FIDOのボードメンバーを務めるNTTドコモ・プロダクト部プロダクトイノベーション担当部長の森山光一氏(写真⑥)は、ドコモの利用者が持つ「dアカウント」をFIDO UAF準拠に対応させたことにより、同社製スマートフォンの生体認証機能を使って、同社の提供するdミュージック、dゲームなど同社のコンテンツサービスや、決済サービスである「ケータイ払い」などをパスワードレスで利用できる環境を整えたことを紹介した。
特筆すべきは、それぞれFIDO認定を取得済みのAndroidスマートフォンだけでなく、iPhone、iPadなどのiOS端末が装備する「Touch ID」にも同一のプラットフォームで対応していることだ(写真⑦)。iOS端末のTouch IDはFIDOに準拠していないが、Touch IDが利用している「Secure Enclave」の評価と、開発した専用アプリへのFIDOプロトコルの実装によって実現した(写真⑧)。同様の仕組みはドコモのほか、バンクオブアメリカ、eBayでも提供済みという。
* * * * * * * *
セミナーではこのほか、グーグルのアイデンティティ&セキュリティ部門プロダクトマネジャーのクリスチャン・ブランド氏によるU2F準拠セキュリティキー製品の紹介や、韓国KICA (Korea Information Certificate Authority Inc.)のジェジュン・キム氏による韓国におけるFIDO導入事例の紹介など、多数の講演が続いた。
[2016-12-08]