FIDOアライアンスが本人確認とIoTに関する新たな取り組みを発表 FIDO認証の適用領域を拡大へ(国際版の日本語訳)
本人性(アイデンティティ)に関するエンドツーエンドでのライフサイクル管理上不可欠で密接に関連する技術を確保すべく新たな作業部会を結成
2019年6月26日、『IDENTIVERSE 2019』、ワシントンDC発 - FIDOアライアンスは、本人確認とモノのインターネット(Internet of Things:以下、IoT)における2つの新たな技術標準と認定に関する取り組みを発表しました。これらは、FIDO認証と隣接しながらセキュリティ課題が残っている技術分野にも取り組むことによって、FIDOアライアンスが注力しているFIDO認証の有効性を示し、市場導入の推進をさらに加速させるものです。
具体的には、FIDOアライアンスは、より優れたアカウントリカバリーをサポートするための本人性の確認レベルを強化し、IoTからパスワードの使用を排除するための安全なデバイスオンボーディング(初期設定)を自動化することを目指しています。FIDOアライアンスは、これらの分野でガイドラインと認定基準を確立するために、“Identity Verification and Binding Working Group”(以下、 IDWG。本人確認と認証に必要な紐づけに関する作業部会)と“IoT Technical Working Group”(以下、IoT TWG。IoTに関する技術作業部会)の2つの新しい作業部会を設立しました。FIDOアライアンスは、メンバー企業・団体からの貢献によって成し遂げて来たことを特徴としており、現時点のメンバー企業・団体と新たに業界から参加するであろうメンバー企業・団体が共に、ユーザー認証に関する技術標準および関連プログラムの開発とその導入への注力を継続し、その成果をこの拡張作業にも活用して行きます。
FIDOアライアンスのエグゼクティブディレクター兼最高マーケティング責任者であるアンドリュー・シキアー氏は、「FIDOアライアンスは、FIDO認証の標準化を通じて、パスワード問題に対処するために協力してきたさまざまな業界関係者に働きかけてきました。わずか7年間で、それは、コンセプトから主要なブラウザやプラットフォームでサポートされるグローバルWeb標準へと成長しました。市場における脅威の要因を見てみると、FIDO認証標準によって提供される高い保証と、アカウントリカバリーのための本人確認やIoTで使用される認証方法との間にはギャップがあることが明らかになりました。このギャップは、サイロ化された独自のアプローチではなく、業界の連携と標準化によって最も効果的に対処できます」と述べています。
IDWG(本人確認と認証に必要な紐づけに関する作業部会)の概要
FIDO認証の利用によりフィッシング攻撃やパスワードなどの認証情報に基づく攻撃からアカウントを保護する場合、ユーザーのアカウントの完全性(Integrity)を維持するために、FIDOデバイスが紛失または盗難にあったときのアカウント復旧プロセスが重要になります。ユーザーの本人性を高い確度を持って検証することは、このプロセスの重要な側面です。アカウントの作成プロセス、顧客確認(KYC: Know Your Customer)およびマネーロンダリング防止(AML: Anti-Money Laundering)の要件への適合も同様です。
FIDOアライアンスは、生体情報を用いた「自撮り」マッチングや政府発行の本人確認書類による認証などを含む、リモートで実現可能な所持物ベースの本人確認手法が、新しいアカウントの作成およびアカウントの回復に対する本人確認の品質を大幅に向上させる可能性があると認識しました。FIDOアライアンスはまた、正式なガイダンス、性能評価、およびそれらの使用における認定に関する市場ニーズを確認しました。
FIDOアライアンスは、このニーズを満たすためにIDWGを設立しました。IDWGは、リモートでの本人確認のための基準を定義し、その基準の適用を支援するための認定プログラムと教材を開発します。
IDWGは、共同座長としてMastercardのロブ・カーター氏、およびOnfido Ltd.のパーカー・クロック・フォード氏がリードし、その他の参加団体としてAetna、Google、Idemia、Lenovo、Microsoft、Nok Nok Labs、
NTTドコモ、OneSpan、Phoenix Technologies Ltd.、Visa Inc.、Yahoo! JAPAN、Yubico、そして英国内閣府が含まれています。
IoT TWG(IoT技術作業部会)の概要
ガートナーは、2020年までに204億個もの接続されたモノが利用されるようになると予測しており、業界全体の効率化と技術革新の機会が広がっています。しかし、IoTのセキュリティ標準の欠如、デフォルトのパスワード情報設定のままで出荷すること、手動による脆弱な設定などの典型的な利用方法などが原因で、デバイスやデバイスが動作するネットワークが大規模な攻撃にさらされています。
IoT TWGは、FIDOアライアンスの基本的な使命、つまりパスワードレス認証に合わせて、IoTデバイスに包括的な認証フレームワークを提供することで、この問題に取り組むことを目指しています。
本ワーキンググループは、以下をカバーするユースケース、アーキテクチャ、および仕様を策定します:
- サービスプロバイダとIoTデバイス間の相互運用性を可能にするためのIoTデバイス証明書/認証プロファイル
- 自動設定での利用、およびアプリケーションやユーザーのIoTデバイスへの紐づけ
- スマートルーターとIoTハブを介したIoTデバイスの認証とプロビジョニング
IoT TWGは、共同座長としてARM Holdingsのマーク・カネル氏およびQualcomm、Inc.のギリダール・マンディアム氏がリードし、その他の参加団体としてGoogle、Idemia、Infineon Technologies、Intel Corporation、Lenovo、Microsoft、Nok Nok Labs、OneSpan、Phoenix Technologies Ltd.、Yahoo! JAPAN、そしてYubicoが含まれています。
作業部会への参加にあたって
IDWGとIoT TWGは現在、業界からの参加に開かれています。FIDOアライアンスのすべてのボードおよびスポンサーレベルのメンバーがFIDOアライアンスの作業部会に参加することができます。FIDOアライアンスへの参加の詳細については、以下を参照してください。
https://www.fidoalliance.org/members/membership-benefits/
FIDOアライアンスについて
「高速なオンラインID認証」を意味するFIDO(Fast IDentity Online)アライアンスwww.fidoalliance.orgは、セキュリティと利便性の両立をめざすため、2012年7月に設立されたグローバルな非営利団体です。堅牢な認証技術に相互運用性が確保されていない状況を改善し、ユーザーが多くのIDとパスワードを覚えなければならないという煩わしさを解消することを目的としています。FIDOアライアンスは、認証におけるパスワード依存を軽減するために、オープンで拡張性と相互運用性のあるシンプルで堅牢な「FIDO認証」を標準化することで、オンラインサービスの本質に変革をもたらします。FIDO認証はオンラインサービスの利用時に、堅牢でプライバシーが確保された便利な認証を提供します。
https://prtimes.jp/a/?f=d37279-20190704-4543.pdf
FIDOアライアンスPR担当者
アジア・パシフィック マーケット開発マネジャー
土屋 敦裕
press@fidoalliance.org
すべての画像