2016年12月8日（木）東京都港区の虎ノ門ヒルズフォーラムにて、米国の団体 FIDO Alliance が主催する「第3回FIDOアライアンス東京セミナー」が開かれた。本セミナーは「パスワードのいらない世界へ 〜加速するFIDO導入・応用事例の拡大〜」をテーマに、多数のセミナーやプレゼンテーションを実施し、約250名の参加者を集めた。

また、会場内ではスポンサー各社のブースも展開され、株式会社ディー・ディー・エス、飛天ジャパン株式会社、Egis Technology Inc. Nok Nok Labs, Inc. GOTrust Tecnology Inc. Yahoo! JAPAN株式会社、ジェムアルト株式会社、株式会社インターナショナルシステムリサーチ、Aware inc.の9社が、それぞれFIDO認証に関する自社のソリューションを紹介した。

■ レポート目次
• ≫ 開催のご挨拶
• ≫ FIDO Allianceのご紹介および最新状況のアップデート
• ≫ NTT DOCOMOにおけるFIDO UAFの導入事例のご紹介：「あんしんをもっと便利に」
• ≫ GoogleにおけるFIDO U2Fの導入事例のご紹介：“Towards Simpler, Stronger Authentication”
• ≫ 韓国におけるFIDO導入事例のご紹介：“Bio-Authentication(FIDO) and PKI Trends in Korea”
• ≫ Fast Pitch presentations
• ≫ W3C presentation
• ≫ FIDO技術仕様の最新状況のアップデート
• ≫ FIDO認証の進化とさらなる応用展開
• ≫ FIDO Allianceの日本での活動について
• ≫ 閉会のご挨拶

まず初めに、FIDO Alliance Sr. Director of MarketingのAndrew Shikiarより、開催の挨拶がされた。

東京で3回目となる本セミナーを開催できることに対する喜びを述べるとともに、近時日本で発生した芸能人のパスワードハッキング事件を引用し、FIDOの普及によってこのようなデータセキュリティ侵害を過去のものとしていきたいと語った。

客席に対しても、ツイッターハッシュタグ#FIDOSEMINARを紹介し、積極的な発信やエンゲージメント形成をしてほしいと呼びかけた。

　挨拶に引き続き、「FIDO Allianceのご紹介および最新状況のアップデート」として、FIDO Alliance　Executive Director の Brett McDowellより講演が行われた。

　McDowell氏は、まずFIDO Allianceの紹介として、設立の経緯およびビジョンについて言及した。近年増加の一途をたどるデータ流出問題の原因として、パスワードによる認証の脆弱性を指摘し、その問題に対する根本的な解決手段として、パスワードに代わる新たな認証技術の普及を目的としていることを説明。特に、生体認証に関するオープンの業界標準を開発し、あらゆるソリューションややデバイスにおける相互運用性を確保することで、パスワードによらないユビキタスな世界を実現することがミッションであると強調した。

　次に、FIDOの特徴について紹介。FIDOの暗号方式の仕組みについて、旧来のパスワード方式と異なり認証キーがユーザーのデバイス上にとどまるため、極めて安全であることを紹介した。また、FIDO標準を採用することにより、企業は低コストで安全なシステムを導入することができ、ユーザーは一度認証登録をするだけでFIDOに準拠したあらゆるサービス・デバイスで認証を活用できることを説明した。

　続いて、この一年の進捗状況として、技術仕様の進展について紹介。W3Cと協力しブラウザでのFIDO認証をサポートするためのAPIを作成したこと、トークンの無線化を実現したことなどを挙げたほか、セミナー当日にFIDO1.1を発表し、最新のアンドロイドデバイスをサポートすることを報告した。一方、市場における進展として、認定された製品の数がわずか1年半のあいだに250を超えたこと、それに伴う各社との協力関係について紹介した。

　最後に、今後の動きとして、2017年にはW3CによるWEB認証仕様が完成予定であること、決済業界におけるEMVCoとの協力関係が進展していること、2017年にセキュリティの認定テストを提供開始し、市場に流通する大量の製品に対して、第三者の立場から認定試験を行うことを述べ、2017年は飛躍の年になるだろうとまとめた。

　続いて、NTTドコモにおけるFIDO UAFの導入事例のご紹介として、「あんしんをもっと便利に」と題し、株式会社NTTドコモ プロダクト部 プロダクトイノベーション担当部長 森山 光一より講演が行われた。森山氏はまず、NTTドコモがパスワードに関する課題を抱えていたことに触れ、より簡単な認証を実現させようとするなかで、同様のビジョンを持つFIDOの採用を決定したことを説明した。

　さらに、NTTドコモが2015年5月よりUAF1.0 方式でのFIDO認証を各種サービスおよび端末で順次採用していったことに触れ、対応サービスや端末の詳細を紹介するとともに、その具体的なユーザーエクスペリエンスとして、端末上での生体認証の登録方法および、登録した認証の使用方法を、ビデオを用いて紹介した。

　また、ドコモにおけるFIDO導入の具体的な事例として、導入の流れについて説明。dアカウントへの認証導入時に①FIDOの標準仕様をそのまま活用、②FIDO標準の良さをできるだけ活用、③セキュリティを重視、④導入コストを最適化、等の指針を設定したこと、実際にFIDO UAFを適用するにあたっての技術的な手順について説明した。あわせて、2016年3月にiOS端末上でもdアカウントのFIDO認証が実装されたことを紹介した。

　最後に、2015年5月のFIDO Alliance ボードメンバーとしての取り組みや、作業部会としての取り組みを紹介し、「いつか、あたりまえになることを」というスローガンに沿い、パスワードをタイプしなくてもいい世界を実現していくことを改めて強調した。

　続いて、GoogleにおけるFIDO U2Fの導入事例のご紹介として「Towards Simpler, Stronger Authentication」と題し、Google Identity and Security product Manager, Christiaan Brand より講演が行われた。

　Brand氏はまず、セキュリティに関するGoogleの考え方を説明。近年クラウドの浸透が急速に進んでいることに触れ、それに伴いセキュリティや認証のシステムも進化すべきであると述べた。

　次に、Googleにおける取り組みの前提として、Googleが持っていたアドバンテージ ①ゼロから導入ができたこと、②ソリューションの均質性を保てたこと、③高度な演算能力によりスパムメールを解決できたことの3点を紹介。さらにもう一点、周辺のテクノロジーストック全体をGoogle自身がコントロールできていたことを大きなメリットとして紹介した。

　続いてBrand氏は、ワンタイムパスワードを含め、パスワードでの認証がはらむセキュリティ上の問題をGoogleが数年前に認識していたこと、それを解決するための手段として、フィッシングに対応ができるU2F形式のFIDOのプロトコルを採用したことを説明した。

　さらに、Google社内でのFIDO導入のエクスペリエンスについて報告。認証に必要な時間が約半分になったほか、サポートが必要なインシデント数も減少し、コストが抑えられたことを説明した。セキュリティキーをモバイルでどう使うのか、大量に企業内で展開するにはどうしたらいいのか、紛失した際の対応はどうすればいいのか等の問題をクリアし、プロダクトを他社にも展開予定と発表した。

　最後に、実際にFIDO U2F1.1を使用したデモを実施。セキュリティーキーで保護されたGoogleアカウントのiPhoneへの追加を実演し、FIDOへの取り組みの最初の一歩としてぜひトライしてみてほしいと呼びかけた。

　続いて、韓国におけるFIDO導入事例のご紹介として、「Bio-Authentication(FIDO) and PKI Trends in Korea」と題し、Korean Information Certification Authority, Inc. Dr. Jaejung Kimより講演が行われた。

　Kim氏はまず、韓国のIDシステムについて説明。韓国では出生と同時に個人情報と紐づいたユニークID（NID）が割り当てられることに触れ、NIDはインターネット環境ではi-PINと呼ばれる番号で管理されているが、そのi-PINの発行や各種サービスの利用においては、公認認証書の番号やモバイルでの認証が必要となっていることを述べた。韓国では、番号入力による認証の簡便化が課題であったことを指摘し、FIDOの採用によって、認証環境を改善できることを述べた。

　次に、FIDOの導入に際し、公認認証書とFIDOをどのように組み合わせたかについて紹介した。韓国では主に金融サービスにおいて公認認証書のパスワード認証が必要となるが、セキュリティよりも便利さを追求してきたため、安全な環境とはいえなかったことを指摘。PKIトークンの採用を推進し、タッチセンサーもしくは虹彩センサーの提供により、パスワードの入力が不要になったとを述べた。

　また、導入に際してはFIDOのプロトコルを変更せずに取り組んだことを紹介。FIDO認証キーのなかにセキュアに生体情報をとりこむために、キーストアやトラストゾーン　キーチェーンを推奨していることを述べた。これはソフトウェアベースの認証キーである。一方、ソフトより安全なものとして、デバイスのなかに認証キーを設けるパターンとして、サムソンのノート7の例を挙げた。

　最後に、FIDO認証の具体的な登録方法についてのデモを行うとともに、ケースタディとして、サムソンペイやサムソンカードをはじめとするいくつかのサービスモデルの紹介を行った。いずれの場合も、FIDOの採用により簡便さとセキュリティの両面を実現できたことを強調した。

　続いて、Fast Pitch presentationsのコーナーとして、本セミナーのスポンサー企業がプレゼンテーションを行った。

　続いて、WEBの標準化団体であるW3Cからのプレゼンテーションとして、慶應義塾大学 大学院政策・メディア研究科 特任教授 SFC研究所W3C 技術常務取締役 Michael Smithより講演が行われた。

　Smith氏はまず、パスワードの問題を解決するという共通の目的のために、FIDOが認証の標準化を進め、自身が所属するW3CがWEBの標準化を進めていることを説明した。そのうえで、現在のWEBブラウザは問題点を抱えており、一つはWEB上での決済におけるユーザーエクスペリエンスが悪い点、もう一つはパスワードや機密性の高いユーザー情報がフィッシングで盗まれてしまう可能性が高い点と指摘した。フィッシングに関しては、ユーザー自身のリテラシーに期待をすることは難しく、そもそも情報の入力が不要であるインフラが必要だと指摘した。

　続いて、これらの課題を解決するにあたり、モバイルのユースケースが大切であることを述べ、モバイルショッピングのユーザーエクスペリエンスを改善するために試みている仕様についてデモで紹介を行った。まず、従来通りの方法として、ショッピングの際には大量の個人情報の入力が必要であったこと、現在は若干の改善は進んでいるものの、ベストな状態にはなっていないことを説明。そこから短期的に改善可能なアイディアとして、個人情報がブラウザ側から入力された状態で提供されるシステムを説明した。

　このシステムの特徴として、決済リクエストをどのサイトに送るのか、一見して確認可能であること。デフォルトの送付情報を設定できることなど、ユーザーエクスペリエンスが大きく改善されていることをアピールした。

　Smith氏は、W3CでWEB標準にかかわるきっかけは「世界を変えたい」と思ったことであると述べ、目前の大きな問題である「ユーザーが機密情報を外にもらさない世界の実現」のために、ぜひ力を貸してほしいと呼びかけた。

　続いて、「FIDO技術仕様の最新状況のアップデート」として、Microsoft Chief Security Architect, Anthony Nadalin より講演が行われた。

　Nadalin氏は、アカウントの盗難、ハッキング等、Microsoftがこれまで抱えてきた様々な課題ついて触れ、それらの解決のために、近年開発を進めているOSにおいては、パスワードを取り除こうと考えるようになり、FIDO Allianceに参画したことを説明。今後の取り組みとして、認証の問題について、OSやブラウザといったプラットフォームでの対応をしていきたいと発表した。

　次に、今日までのFIDOの状況として、クライアントで提供しているFIDO認証に関し、アプリやWEBエクステンションの追加が必要なほか、プラットフォームにも何かインストールする必要があり、好ましくない状況であることを指摘。今後の取り組みとして、どのようにFIDO認証システムをプラットフォームの中に入り込ませるかを考えなければならないと述べ、それが実現できれば、FIDOの普及を加速化することができると訴えた。

　続いて、Windows Hello のエクスペリエンスの紹介として、デモを実施。FIDOを使ったサインイン方法を実践し、これをWEBの標準にしていきたいと紹介した。目標は、すべてのブラウザ・OSに対応していくこととであり、各プラットフォームが適切なAPIを提供できるようにする必要があると述べた。

　さらに、FIDOの認証システムについて全体図を示し、FIDO認証における登録リクエストのフローについて、また登録完了後のリクエストのフローについて、どのような流れとなっているのかを紹介し、そのうえで技術面から詳細の説明を行った。具体的には、ブラウザの責任範囲、認証キーの責任範囲を明らかにしつつ、作成中のAPIのプログラムを実際に紹介した。

　最後に、今後について、W3Cと共同で開発しているFIDOのWEB標準については、2017年のファーストクオーターには完成を予定していることを発表。その後実装に入ることを紹介した。

　続いて、「FIDO認証の進化とさらなる応用展開」と題し、ヤフー株式会社　Yahoo! JAPAN研究所 上席研究員 五味 秀仁より講演が行われた。五味氏はまず、近年の認証モデルに関する潮流として、正確でリアルタイムなコンテキストデータの活用をベースとする認証モデルについて触れ、パスワードを使用する従来モデル（リモート）とFIDOの新しいモデル（ローカル）との違いを説明した。あわせて、FIDOの優れている点として、認証器を部品のように組み合わせることができ、拡張性が高い点を指摘した。

　次に、W3CのWEB認証とCTAPのポイントを紹介。Web認証における範囲限定のクレデンシャル（秘密鍵）は特定のユーザーに対してのみ有効であり、セキュアな認証が実現できると指摘。認証器を用いたWeb認証の技術的な側面について説明を行った。また、スマートフォンがひとつの認証器になることもポイントであり、認証の拡張性がさらに向上すると添えた。

　続いて、FIDO認証を用いた応用ソリューションに言及。前提として「認証」がセキュアな環境の構築に際しシステム上きわめて重要であることを指摘、FIDO認証がいかに応用性の高いものであるか、FIDO認証を通して「本人確認」以外にも証明可能な項目があることを訴えた。システムインテグレーターには、新規の認証方式を実装した新たな展開を期待。例として、KICAの取り組みを紹介した。

　更に具体的な応用展開として、FIDO認証を新しく実装し、ID連携を使うことにより、ユーザーコンテキストに関する証明を、インターネット規模で安全に伝搬することができると紹介。取引認証による取引データ改ざん攻撃からの保護や、オフラインでの本人確認等のソリューションに触れ、最後に、現在進行形の新たな取り組みとして、ユーザー検証によるキャッシングの仕様開発を紹介した。

　国内加盟企業代表者として、NTTドコモ 森山氏が登壇した。まず、国内から参加しているFIDOアライアンスメンバー16社について紹介。FIDOメンバーによる国内での主な取り組み、2014年秋以降の、日本でのFIDOの歴史について紹介した。また、FIDOアライアンスから見た日本として、FIDO標準の商用導入で、世界の中で元も先行している国・地域の一つであると紹介した。

　さらに、FIDO JAPAN WORKING GROUP（以下FJWG）が立ち上がったこと、あわせて日本事務局が発足したことを発表。日本での問い合わせ窓口ができ、英語でのコミュニケーションや時差の問題等、これまで課題となっていた部分がクリアされたことを発表した。また、FJWGのミッションは、パスワードに代わるシンプルで堅牢なFIDO認証モデルの推進を日本から開始することであり、今後日本語によるコミュニケーションと情報発信を積極的に進めていくことを発表した。

　セミナーの締めくくりに、ふたたびShikiar氏が登壇した。Shikiar氏は、本日のセミナー全体を有意義なものとして振り返り、講演者をはじめ関係各社に謝意を述べるとともに、2017年のFIDOのさらなる飛躍を約束した。