Pay-Ya NEWS.

2022年12月16日8:30

パスワードに代わる新たなオンライン認証のための技術仕様の標準化を提唱する国際的な非営利団体のFIDO（ファイド）アライアンス」は、3年ぶりに国内で記者説明会を開催した。同記者説明会では、マルチデバイス対応FIDO認証資格情報と「Passkeys（パスキー）」を中心としたFIDOアライアンスの最新動向、国内での活動成果および今後の取組みについて紹介した。

2022年12月9日に行われた記者説明会。左からFIDOアライアンス スポンサーメンバー・FIDO Japan WG副座長 楽天グループメンバーシッププラットフォームサービス部 プリンシパルインフォメーションセキュリティスペシャリスト　板倉 景子氏、FIDOアライアンス ボードメンバー・FIDO Japan WG副座長 ヤフー ID本部 本部長 伊藤 雄哉氏、FIDOアライアンス 執行評議会メンバー・ボードメンバー・FIDO Japan WG座長 NTTドコモ チーフセキュリティアーキテクト 経営企画部 セキュリティイノベーション統括 森山 光一氏、FIDOアライアンス エグゼクティブディレクター 兼 CMO（チーフマーケティングオフィサー）のアンドリュー・シキア（Andrew Shikiar）氏、FIDOアライアンス アジアパシフィック・マーケット開発マネジャー 土屋 敦裕氏。恒例の指紋認証ポーズ

パスワードへの依存を解決へ
250を超えるメンバーで活動

新型コロナウィルス感染拡大の影響を受け、FIDOアライアンス エグゼクティブディレクター 兼 CMO（チーフマーケティングオフィサー）のアンドリュー・シキア（Andrew Shikiar）氏にとって、3年ぶりの来日となったが、日本はFIDOの推進に関しても中心的な役割を担っているとした。FIDOアライアンスはオープンな組織だが、パスワードの依存を減らしていくことをミッションに活動してきた。来年はFIDOアライアンスが10年目の節目となるが、これまで成功を収めてきた要因は、パスワードレスを実現するという1つのミッションに突き進んできたからだ。これまでは一元的に格納された秘密鍵に依存した認証の構成だったが、これを脱却し、消費者のスマートフォンなどで簡単に認証ができることを目指している。

FIDOアライアンスでは、2015年にUAF（Universal Authentication Framework）とU2F（Universal 2nd Factor）を発表した。その後、「FIDO2」の標準化が進み、WebAuthnも加わって、2019年に認証が確立された。FIDOはシンプルで堅牢な認証にフォーカスを当てている。これまでの認証の歴史を見ると、認証のテクノロジーは広範囲に導入されることが難しかったという。シキア氏は「我々が究極に成功を収めていくうえで、使い勝手の良さは決定的に重要な要素です。そして、FIDOアライアンスの成功要因となっています」と話す。

FIDOアライアンスのボードメンバーには、グローバルにビジネスを展開するテクノロジー企業など、多種多様な企業が参加している。例えば、Qualcomm（クアルコム）、Samsung（サムスン）、Google（グーグル）、Apple（アップル）、Micorosoft（マイクロソフト）などが名を連ねる。セキュリティやアイデンティティ、生体認証の専門家、サービスプロバイダ、コマース、決済ネットワークの企業なども参加している。この中には、日本のボードメンバーであるLINE、NTTドコモ、ヤフーも含まれる。

250を超えるメンバーの中にはスポンサーメンバー、アソシエイトメンバー、リエゾンメンバーに加え、政府系機関も参加しているそうだ。そのうち、20％の企業が日本でも活動する「FIDO Japan WGメンバー」となっており、6年以上活動を続けている。

Apple、Google、Microsoftがパスキーをサポート
日本でもヤフー、KDDI、NTTドコモがサポート表明

FIDOアライアンスは毎年さまざまなアップデートがあるが、2022年は「パスキー（Passkey）」が大きな進展を見せた。パスキー自体は新たなテクノロジーではないが、WebAuthnを導入する新たな方法として非常に重要であるとした。パスキーにより、特にコンシューマーへのFIDO導入の加速化が期待できる。例えば、機種変更時に必要となるサービス提供者ごとのクレデンシャル（FIDO認証資格）情報は再登録に懸念があるが、FIDOクレデンシャルをOSクラウドに保存し、FIDO認証に関する設定も移行可能とした（デバイスに紐づいた暗号鍵を使うオプションも可能）。

FIDOクレデンシャル情報を複数デバイスに対応させることで、ユーザーの持つさまざまなOS、デバイスでクレデンシャル情報を容易に利用できるようにする。これにより、サービス提供者は、暗号学的に安全なパスワードレス認証をコンシューマーに本格的に導入する際の主要な障壁であったアカウントリカバリーの問題を解決できるとしている。

パスキーのコンセプトは2022年3月にFIDOアライアンスより発表し、日本語版も4月22日に出ている。また、Apple、Google、Microsoftが5月22日にパスキーへサポートすることを発表している。パスキーは現在、iOS 16、macOS Ventura、Android、ChromeOSでサポートされており、Windowsは近日中にサポートされる予定だ。

シキア氏は「パスキーは、今まで抱えていた使い勝手の良さの問題、展開の難しさを対処してくれるキーワードとなっています。プライベートキー、秘密鍵がセキュアな形でOS、クラウドの全体を通じて同期を取ることが可能になります」と話す。これにより消費者はローカルデバイスを使ってロックの解除ができ、何度もデバイスを再登録する手間がなくなるという。ユーザーフロー、UX（ユーザーエクスペリエンス）、ユーザーの認知面などもプラスとなる。現在、主要なマーケットでパスキーの導入が加速している。

国内をみると、ヤフーでは、2015年からFIDOによるパスワードレスの取り組みを行っているが、2022年には3,800万人以上のアクティブユーザーがパスワードレスでサインインしている。Yahoo! JAPANはiOS、iPadOS、MacOSを対象にパスキーのサポートを開始している。KDDIはiOS上でのau IDに関してパスキーを導入している。NTTドコモはdアカウントのユーザーに対して、2023年2月にパスキーの導入をサポートすると発表している。FIDOアライアンスでは、企業や開発者がパスキーを展開していくうえで、必要なリソースを提供する活動を行っている。

認定製品は約1,000に
UXガイドラインも策定

パスキー以外のニュースとして、FIDO認定では約1,000の認定を受けた製品が出ているという。また、2つの追加の認定プログラムについても今後構築していくそうだ。まず、「FIDO認定プロフェッショナル」というプログラムをローンチし、今年最初に認定を終了する事例が出てくる。また、ドキュメントの真正性要件に準拠しているかをテストする「DocAuth認定」をスタートした。さらに、ユーザーエクスペリエンスを強化するため、6月にセキュリティキーの展開にフォーカスした「ユーザーエクスペリエンス （UX）ガイドライン」をFIDO アライアンスが、調査会社の Blink UXと作成し、発表している。また、「UXコミュニティ」をFIDOアライアンス内で立ち上げた。

2023年にFIDOアライアンスは、次の10年に入っていくが、従来と変わらず、FIDO認証に関するイノベーション、業界の連携、導入促進を強化していくという。そして、こういった活動からフィードバックを取り込み、開発者にそれを役立ててもらう。

国内で展開するPayPalもパスキーをサポート
NTTドコモはdアカウントロック数がゼロに

続いて、日本での活動について、FIDOアライアンス 執行評議会メンバー・ボードメンバー・FIDO Japan WG座長を務める、NTTドコモ チーフセキュリティアーキテクトの森山光一氏が、国内での活動および、同社の取り組みについて紹介した。日本では、2016年にFIDO Japan WGが10社で立ち上がり、2022年12月に58社まで参加企業が増えている。