AndroidがFIDO2認定を取得、これによりパスワードからの移行がグローバルで加速(国際版の日本語訳)
グローバルで10億台を超えるAndroid 7.0以降のデバイスでモバイルアプリとウェブサイトからシンプルで安全な生体認証によるログインを提供するFIDO標準を活用可能
2019年2月25日、バルセロナ - FIDOアライアンスは本日、AndroidがFIDO2認定を取得し、このプラットフォームが搭載されている10億台以上のデバイス上で、シンプルで堅牢な認証機能が利用可能となったことを発表しました。このニュースを受け、Android 7.0以降を搭載している互換性のあるデバイスは、デバイスを箱から取り出したその時点で、もしくはGoogle Play開発者サービスの自動更新後にFIDO2認定を取得している状態となります。これにより、ユーザーはデバイスに内蔵された指紋センサーを利用して、FIDO2プロトコルをサポートするWebサイトで安全なパスワードレスでのアクセスが可能になりました。
https://fidoalliance.org/?lang=ja
Webおよびアプリ開発者は、既に対象となるAndroidデバイスを利用しているユーザーと将来新型デバイスにアップグレードする予定があるユーザーの両方を含めて急速に拡大しているエンドユーザーの基盤に対し、シンプルなAPIの呼び出しを通してAndroidアプリやWebサイトに堅牢なFIDO認証を追加することで、パスワードレスとフィッシング耐性を有するセキュリティを提供することができます。
Googleのプロダクトマネジャーであるクリスチャーン・ブランドは、「Googleは、FIDOアライアンスおよびW3Cと長い間連携してFIDO2プロトコルを標準化してきました。これにより、あらゆるアプリケーションがフィッシング攻撃に対する保護を提供しながら、パスワード認証から移行することができます。AndroidのFIDO2認定取得に関する本日の発表は、我々のパートナーおよび開発者に対して既に市販されているモデルと今後発売されるモデルの両方のデバイスにわたり、安全なキーストアにアクセスするための標準的な方法を提供することで、ユーザーが便利に生体情報を管理できるようになり、このパスワード認証からの移行の取組みを前進させる一助となります」と述べています。
主要なWebブラウザであるGoogle Chrome、Microsoft Edge、Mozilla Firefox(Apple Safariはプレビュー版でサポート)で既にサポートされているFIDO2は、World Wide Web Consortium(以下、W3C)のWeb認証仕様とそれに対応するFIDOアライアンスのClient to Authenticator Protocol(デバイス間連携仕様。以下、CTAP)で構成されています。すなわち、このような標準化によって、ユーザーは指紋センサー、カメラ、および/またはFIDOセキュリティキーなどのFIDO2準拠のデバイスを利用して、より簡単かつ安全にオンラインサービスにログインがすることができます。
https://blog.chromium.org/2018/09/chrome-70-beta-shape-detection-web.html
https://blogs.windows.com/msedgedev/2018/07/30/introducing-web-authentication-microsoft-edge/
https://blog.mozilla.org/blog/2018/05/09/firefox-gets-down-to-business-and-its-personal/
https://webkit.org/blog/8517/release-notes-for-safari-technology-preview-71/
https://www.w3.org/TR/webauthn/
https://fidoalliance.org/download/
FIDOアライアンスのエグゼクティブディレクターであるブレット・マクドウェルは、「FIDO2は、当初からプラットフォームによって実装されることを想定し、私たちが毎日使うすべてのWebブラウザ、デバイス、およびサービス全体にまたがるユビキタスという最終的な目標を掲げて設計されました。Googleからのこのニュースによって、FIDO認証機能を利用できるユーザーの数が劇的かつ決定的に増えました。既にFIDO2に準拠している主要なWebブラウザと共に、Webサイト開発者がパスワードの危険性と煩わしさからユーザーを解放し、FIDO認証を実装する時が今ようやく来たのです」と述べています。
FIDO2のシンプルなユーザー体験は、ユーザーは意識することなく堅牢な暗号学的セキュリティによって実現され、奪取された資格情報(認証情報)を利用したフィッシングおよび中間者攻撃から保護します。昨年の春にWeb認証仕様を勧告として導入して以来、FIDO2のサポートが拡大しています。ブラウザとプラットフォームのサポートに加えて、いくつかのFIDO2認定製品も既に発表済です。
https://fidoalliance.org/fido-alliance-and-w3c-achieve-major-standards-milestone-in-global-effort-towards-simpler-stronger-authentication-on-the-web/
デバイスを箱から取り出したその時点でFIDO認定がとれていることを示し、AndroidデバイスにFIDO認定ロゴを表示することに関心があるデバイスメーカーは、FIDOアライアンスの新しい商標とサービスマークの使用許諾契約書を参照する必要があります。
https://fidoalliance.org/fido-trademark-and-service-mark-usage-agreement-for-manufacturers-implementing-fido-certified-level-1-authenticators/
FIDO認定について
FIDOアライアンスは、生体認証やセキュリティキー、クライアント、サーバーなどの認証デバイスが、FIDO2を含むFIDO仕様に準拠していること、および特定のセキュリティプロファイルを満たしていることを検証し、その認定を行います。これにより、Webユーザーは、FIDO対応のすべてのWebサービスにわたり、自身のFIDO認定デバイスをシームレスに利用できるようになります。Webサイトと組織は、そのサイトを一度FIDO対応にするという作業が必要ですが、あとは市販されているあらゆるFIDO認定デバイスからアクセスできるようになります。
端末メーカーはセキュリティレベルの試験に参加することで、追加の要求仕様を満たしていることを示し、デバイスをさらに差異化することができます。この試験では、ユーザー認証資格情報がどの程度堅牢に保護されているかが評価されます。
FIDO2に関するより多くの情報やFIDO認定プログラムへの参加に関心のある開発者および製品ベンダーに向けた資料は、FIDOアライアンスWebサイトでご覧いただけます。Mobile World Congressに参加される方は、2番ホールと3番ホールを挟む上部通路にあるFIDOアライアンスメンバーパビリオンにも是非お立ち寄り下さい。
https://fidoalliance.org/fido2/
https://fidoalliance.org/certification/
https://fidoalliance.org/participate/developers/
FIDOアライアンスについて
「高速なオンラインID認証」を意味するFIDO(Fast IDentity Online)アライアンスwww.fidoalliance.orgは、セキュリティと利便性の両立をめざすため、2012年7月に設立されたグローバルな非営利団体です。堅牢な認証技術に相互運用性が確保されていない状況を改善し、ユーザーが多くのIDとパスワードを覚えなければならないという煩わしさを解消することを目的としています。FIDOアライアンスは、認証におけるパスワード依存を軽減するために、オープンで拡張性と相互運用性のあるシンプルで堅牢な「FIDO認証」を標準化することで、オンラインサービスの本質に変革をもたらします。FIDO認証はオンラインサービスの利用時に、堅牢でプライバシーが確保された便利な認証を提供します。
https://prtimes.jp/a/?f=d37279-20190225-2691.pdf
FIDOアライアンス PR担当者
FIDOアライアンス
アジア・パシフィック マーケット開発マネジャー
土屋 敦裕
info@fidoalliance.org
すべての画像