Post on 11-Oct-2020
All Rights Reserved | FIDO Alliance | Copyright 20171
パスワードのいらない世界へ〜オンライン認証を変えるFIDOとは〜
FIDO JAPAN WORKING GROUPNOK NOK LABS, INC.
宮園 充
All Rights Reserved | FIDO Alliance | Copyright 20172
内容• FIDO認証が出現した背景• FIDOアライアンス概要• FIDO認証の考え⽅• FIDO認証の技術と適⽤• ⽇本での活動• まとめ
All Rights Reserved | FIDO Alliance | Copyright 20173
パスワード認証における課題
Data breaches in 2016 that involved weak, default, or stolen passwords1
Increase in phishing attacks over the number of attacks recorded in 20152
Breaches in 2016, a 40% increase over 20153
1Verizon 2017 Data Breach Report |2Anti-Phishing Working Group | 3Identity Theft Resource Center 2016
CLUMSY | HARD TO REMEMBER | NEED TO BE CHANGED ALL THE TIME
81% 65%
1,093
パスワードに起因したデータ流出の増加
煩雑 覚えるのが⼤変 ⽇々パスワードの変更も求められる
All Rights Reserved | FIDO Alliance | Copyright 20174
パスワードの問題:リスト型攻撃同じパスワードを使い回すと、漏れた場合、なりすましや不正アクセスが発⽣
サービスA
サービスB
サービスC
被害者
ID パスワード
yamada.taro taro01234
… …
ID パスワード
yamada.taro taro01234
… …
ID パスワード
yamada.taro taro01234
… …
漏えい 攻撃者
パスワード
なりすまし不正アクセス
共通のパスワードを設定
パスワード
パスワード
パスワード
⾃社サーバーのセキュリティ管理に問題がなくても、利⽤者のリテラシーや他社サーバーの管理に影響を受け、不正アクセスを受ける可能性あり
All Rights Reserved | FIDO Alliance | Copyright 20175
パスワードの強化と課題
パスワードとは異なり携帯などのデバイスを所持していなければログインできない→パスワードの安全性を強化しつつも(※)、利便性に課題が残っている
ご利⽤中の携帯電話に送信した4桁のコードを⼊⼒して下さい
次へ
0 1 2 3
PC上のログイン画⾯ 携帯電話に送信されたコード
帯域外認証(Out of Band認証)の⼀例
コード⽣成器(HW/SW)
登録電話番号への⾳声案内通知
その他の⼿段
488212
(※)近年では⽶国NISTより「SMSを利⽤した帯域外認証については⾮推奨」というアナウンスもされてきている(悪意のあるアプリケーションや攻撃者から⽐較的容易に参照可能な情報であるため、と推測される)
サービスにログインするためのコードを送信します。0123このコードは絶対に他⼈には知らせないで下さい。
SMS
⼊⼒
All Rights Reserved | FIDO Alliance | Copyright 20176
パスワード⼊⼒におけるチャレンジ
画⾯が⼩さく打ちづらい、間違える、
めんどうくさい…
たくさんのサービスと
パスワードがあり覚えていられない…
ログイン画⾯info@fidoalliance.org
● ● ● ● ● ● ● ●
ID:
パスワード:
ログイン
q w e r t y u i o p @ [
a s d f g h j k l ; : ]
z x c v b n m , . / _123
shift
<
周りで⼈に⾒られていないか不安…
All Rights Reserved | FIDO Alliance | Copyright 20177
内容• FIDO認証が出現した背景• FIDOアライアンス概要• FIDO認証の考え⽅• FIDO認証の技術と適⽤• ⽇本での活動• まとめ
All Rights Reserved | FIDO Alliance | Copyright 20178
FIDOアライアンスとはThe Fast IDentity Online All iance(FIDO)
2012年に設⽴されて以来、現在約250社で構成される⽶国カリフォルニア州法に基づくグローバルな⾮営利団体(相互利益法⼈)
パスワードと認証にまつわる課題解決のため、• 「FIDO認証モデル」に基づく技術仕様の策定• 技術仕様を導⼊展開するためのプログラム運営• 各標準化団体との協業などを通じたさらなる導⼊展開を推進
250+のメンバーでグローバルに運営
All Rights Reserved | FIDO Alliance | Copyright 20179
グローバルなブランドとテクノロジー企業を中⼼に構成するFIDOボードメンバー
+ スポンサーメンバー + アソシエイトメンバー + リエゾンメンバー
All Rights Reserved | FIDO Alliance | Copyright 201710
FIDOアライアンスとパートナーシップを組むリエゾンメンバー〜連携する標準化団体など
リエゾンメンバー
All Rights Reserved | FIDO Alliance | Copyright 201711
内容• FIDO認証が出現した背景• FIDOアライアンス概要• FIDO認証の考え⽅• FIDO認証の技術と適⽤• ⽇本での活動• まとめ
All Rights Reserved | FIDO Alliance | Copyright 201712
FIDOアライアンスの⽬指す認証とは
覚えられない
⼊⼒不便 漏えいしやすい
再利⽤可能安全性(Security)
パスワードの課題
利便性(Usability)
パスワードへの依存度を減らしつつ、利便性と安全性の両⾯を向上させる
All Rights Reserved | FIDO Alliance | Copyright 201713
FIDO認証のビジョン
Poor Easy
Wea
kSt
rong
USABILITY
SECU
RITY
(出所:FIDOアライアンス)
FIDOアライアンスは、安全性と利便性の両⽴を⽬指している
All Rights Reserved | FIDO Alliance | Copyright 201714
公開鍵の利⽤利⽤者
FIDO認証検証
FIDOクライアント FIDOサーバー
認証器署名つき検証結果秘密鍵
利⽤者を検証し、秘密鍵で署名
公開鍵
ID
利⽤者情報
公開鍵で署名を検証
利⽤者が適切な秘密鍵を保有することを確認(検証)することによって認証を実現
All Rights Reserved | FIDO Alliance | Copyright 201715
従来の認証モデル(リモート認証)リモート認証
ID パスワード
利用者A 12345
利用者B abcde
利用者C password
パスワード:12345
パスワードの⼊⼒ ID・パスワード
認証サーバー利⽤者
利⽤者A
All Rights Reserved | FIDO Alliance | Copyright 201716
リモート認証の流れ
2.ログインの要求秘密情報の送信
3.秘密情報の検証ログインの受⼊
0.秘密情報の事前登録
認証サーバ
PCなどのデバイス
利⽤者攻撃者1.秘密情報の
⼊⼒
パスワード:12345
ID パスワード
利用者A 12345
利用者B abcde
利用者C password ID・パスワード
リモート認証
All Rights Reserved | FIDO Alliance | Copyright 201717
FIDO認証モデルFIDO認証モデル
認証サーバー利⽤者
秘密鍵クレデンシャル情報(⽣体情報など)の⼊⼒
公開鍵
検証結果(署名)検証結果の妥当性確認
認証器
認証器PCや携帯などに付属したものや、外付け型式が存在
All Rights Reserved | FIDO Alliance | Copyright 201718
FIDO認証の流れ
2. チャレンジコードをつけて認証を依頼
1.ログインの要求
4.チャレンジコードに対し秘密鍵で署名
3.クレデンシャル情報(⽣体情報など)の⼊⼒
0.公開鍵の事前登録
認証サーバ
秘密鍵 公開鍵
利⽤者
5.事前登録された公開鍵による検証ログインの受⼊ 攻撃者
FIDO認証モデル
All Rights Reserved | FIDO Alliance | Copyright 201719
FIDO認証: ほかの認証プロトコルと何が違うのか!?1. サーバに秘密、⽣体情報を持たなくて良い!
パスワードで問題となったなりすましを原理的に防⽌。機密情報の管理にかかるコストを低減。
2. 必要な認証⼿段を後から容易に追加可能!異なる⼿段の認証⼿段を追加してもパッケージの再導⼊は不要、⽅式選定に迷う必要はなく、スピーディな⽴上げが可能。
3. 充実した認定制度と多数の製品ラインナップ!FIDO標準仕様への準拠が担保された製品を利⽤することにより、導⼊時の構築コストは最低限、品質も担保される。
FIDO® Certified (認定)ロゴ
FIDO認証:3つのポイント
All Rights Reserved | FIDO Alliance | Copyright 201720
内容• FIDO認証が出現した背景• FIDOアライアンス概要• FIDO認証の考え⽅• FIDO認証の技術と適⽤• ⽇本での活動• まとめ
All Rights Reserved | FIDO Alliance | Copyright 201721
認証器を⽤いた認証(FIDO認証)認証のフローを順番にご説明します。
ID
利⽤者情報
サーバー利⽤者 認証器(1) 利⽤者認証要求(2) 利⽤者検証
(3) 認証⽤の鍵ペア⽣成利⽤者の検証結果を認証秘密鍵で署名
認証秘密鍵
(5) 認証公開鍵で署名検証
認証公開鍵
(4) 利⽤者検証結果と署名を送付
(6) 検証できれば、利⽤者のIDを抽出
All Rights Reserved | FIDO Alliance | Copyright 201722
FIDO認証の技術仕様FIDO認証モデルとコンセプトを備える⼆つの技術仕様を策定
▸ パスワードレス型:UAF (Universal Authentication Framework) ▸ パスワード補完型:U2F (Universal 2nd Factor)
経緯▸ 2014年12⽉:1.0版公開▸ 2016年12⽉:1.1版公開
サービス提供者のさまざまな要請に応える柔軟性ある認証
All Rights Reserved | FIDO Alliance | Copyright 201723
FIDO U2F仕様:パスワード補完型主にPC上でWebブラウザの利⽤を想定した⼆段階認証(Second Fac to r au then t i ca t i on)をサポートする。パスワードで第⼀認証をした後、セキュリティキーに触れるなどの簡単な動作を第⼆認証とする認証シナリオである。USBキーやスマートカードのように着脱⽅式と、BLE (B lue too th Low Energy ) や NFC (Nea r F i e l d Commun i ca t i on ) の無線⽅式に対応している。これは、Goog le、Dropbox、Gi tHub、Facebook などで採⽤されており、フィッシング対策として有効であると報告されている。
All Rights Reserved | FIDO Alliance | Copyright 201724
U2Fの導⼊事例• FacebookがU2F対応(2017年1⽉)• “ Facebook Makes FIDO Authentication
Available to 1.7 Billion Users”(17億ユーザ)
(出典) https://www.facebook.com/notes/facebook-security/security-key-for-safer-logins-with-a-touch/10154125089265766
(ユースケース)PC上のアプリケーション利⽤時1要素⽬の認証をパスワード2要素⽬の認証をU2F対応ドングルで⾏う
秘密鍵公開鍵
サーバーPC (クライアント)FIDO 認証
All Rights Reserved | FIDO Alliance | Copyright 201725
FIDO UAF仕様:パスワードレス型主にスマートフォン端末の利⽤を想定し、⽣体認証などの認証⼿段を⽤いて、パスワードは全く使わない認証(パスワードレス)シナリオを実現する。NTTドコモがいち早く端末・商⽤サービスに採⽤したほか、⽶国ではBank of Amer icaが商⽤サービスで採⽤したり、韓国の公的な個⼈認証や決済サービスで広く使われている。
All Rights Reserved | FIDO Alliance | Copyright 201726
UAFの導⼊事例• NTTドコモ「dアカウント」• ⽣体認証FIDO UAF対応端末発売• FIDO UAF対応認証サービス開始 (2015/5/27〜)
(出典) https://www.nttdocomo.co.jp/service/bio/
(ユースケース)スマートフォンのアプリケーション利⽤時の認証をUAF対応の指紋認証器で⾏う
秘密鍵公開鍵
サーバー
スマートフォン(認証器)
FIDO 認証
FIDO Alliance | All Rights Reserved | Copyright 201727
振込先銀⾏: AAA 銀⾏⼝座番号: 123456⾦額: 10000 円
振込先銀⾏: XXX 銀⾏⼝座番号: 7654321⾦額: 1000000 円
MITM (Man-in-the-Middle) 攻撃から取引データの改ざんを保護(既にUAF仕様でサポート)
銀⾏マルウェア
利⽤者
利⽤者のデバイス
認証器
改ざんされた取引データ
元の取引データクライアント
提⽰された取引データを確認秘密鍵を使って署名を⽣成
元の取引データの署名
署名付き取引データを改ざんしても、署名検証により改ざんを検出し、不正送⾦を防⽌可能
署名
秘密鍵
取引(トランザクション)認証
(参考) 「 FIDO認証の進化とさらなる応⽤展開」第3回FIDO東京セミナー 講演 https://fidoalliance.org/wp-content/uploads/FIDOTokyo-gomi-120816-ja.pdf
FIDO Specifications
FIDO 1.1(FIDO)
CTAP*(FIDO)
WebAuthn*(FIDO+W3C)
UVC* (FIDO+EMVCo)
All Rights Reserved | FIDO Alliance | Copyright 201728
*FIDO 2 Project: In DevelopmentUAF : パスワードレス認証U2F : 2段階認証
FIDO認証モデルに基づくFIDO仕様群
(FIDO 2プロジェクトとして、現在仕様策定中)
All Rights Reserved | FIDO Alliance | Copyright 201729
内容• FIDO認証が出現した背景• FIDOアライアンス概要• FIDO認証の考え⽅• FIDO認証の技術と適⽤• ⽇本での活動• まとめ
FIDO Alliance | All Rights Reserved | Copyright 201730
2016/11/10
2016/7/14
2016/3/7
2015/7/27
2015/5/262014/9/24
2014/10/102015/2/16
2015/5/21
EgisTec主催、Nok Nok Labs参加による国内初のFIDOセミナー
DDS協賛・開催⽀援によるFIDOアライアンスとして初の東京セミナーと「FIDO⽇本上陸」発表などのマーケティング活動
Yahoo! JAPAN五味博⼠による各種講演。第47回電⼦情報利活⽤セミナーなど
NTTドコモによるFIDO UAF 1.0を活⽤したdアカウントFIDO⽣体認証の商⽤導⼊・世界初の虹彩認証スマホ対応などの発表
ISRによるFIDO U2F 1.0活⽤に関するプライベートセミナー
dアカウントFIDO UAF⽣体対応機種が累計38機種にまで拡⼤
https://fidoalliance.org/fido-alliance-welcomes-ntt-docomo-to-board/
NTTドコモ dアカウントFIDO認証をiOS対応https://fidoalliance.org/ntt-docomo-rolls-out-fido-biometric-authentication-to-ios-customers/
DNPによるFIDO仕様に準拠した本⼈認証サービス開発着⼿の発表
第4回FIDO東京セミナー
Yahoo! JAPAN、⽇本マイクロソフトのイベントで「“Windows Hello” にYahoo! JAPANのログインも対応する」と表明
FIDOメンバーの国内での主な取組み・発表
2017/12/8
2016/12/8
FIDO Japan WG設⽴発表
2017/5/17
ボードメンバーとして加盟、FIDO導⼊の意思を表明
2017/10/18
NEC、モバイルサービスの本⼈確認に顔認証を利⽤可能な基盤ソフトウェアでFIDOに対応
富⼠通、「Finplex オンライン認証サービス for FIDO」を提供開始。「みずほダイレクトアプリ」ログインへ導⼊(2017/10/11)
2017/4/11
2017/4/20
FIDO JAPAN WGのミッションと主な活動
All Rights Reserved | FIDO Alliance | Copyright 201731
ミッションFIDOアライアンスのミッション 〜パスワードに代わるシンプルで堅牢なFIDO認証モデルの展開・推進〜 を⽇本国内でより効果的に実践する。
▸ 2016年10⽉発⾜・運営開始、2016年12⽉8⽇発表
コミュニケーションの相互⽀援(FIDOアライアンス内で)•⾔語とコミュニケーションスタイル•時差• FIDO標準の理解促進と検討
⽇本語による情報発信(FIDOアライアンス外へ)•ウェブサイト〜主なメッセージ• FIDO標準の導⼊事例•仕様概要や技術⽤語の対照表
マーケティングSWG翻訳SWG 技術SWG
デプロイメント@
スケール SWG
座⻑・副座⻑プログラムマネ
ジャー
FIDO JAPAN WG 定例参加メンバー
All Rights Reserved | FIDO Alliance | Copyright 201732発⾜・運営開始時 10社、発⾜発表時 11社、2017年11⽉8⽇現在 21社
座⻑・副座⻑、SWGリード
副座⻑、SWGリード
副座⻑
SWGリード
All Rights Reserved | FIDO Alliance | Copyright 201733
まとめ• FIDO認証モデル• パスワードへの依存度を減らす、公開鍵暗号を⽤いた認証• 部品化した認証器によるローカル認証
• FIDO認証の技術仕様• UAF:パスワードレス型• U2F:パスワード補完型
• FIDO認証の応⽤• グローバル・⽇本での事例が増加中
• ⽇本での活動• 東京セミナー、記事寄稿など積極的に展開中
All Rights Reserved | FIDO Alliance | Copyright 201734
第4回 FIDOアライアンス東京セミナーのご案内■開催⽇: 2017年12⽉8⽇(⾦) 13:00~18:00 (受付開始 12:30~) ■参加費: 無料 ※事前登録制(懇親会は有料)■定員 : 300名■URL : https://www.sbbit.jp/eventinfo/42434 ■会場: ⻁ノ⾨ヒルスフォーラム 4FホールB
東京都港区⻁ノ⾨1-23-3
All Rights Reserved | FIDO Alliance | Copyright 201735
ご静聴ありがとうございました。
お問い合わせ先• info@fidoalliance.org
FIDOアライアンスへの参加などに関するお問い合わせ先• press@fidoalliance.org
FIDOアライアンスへの取材に関するお問い合わせ先