Contenu connexe Similaire à YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜 (20) Plus de Yahoo!デベロッパーネットワーク (20) YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜2. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
大神 渉
Yahoo! JAPAN研究所
セキュリティ・プライバシ
研究開発: 安全で使いやすい技術
おおがみ わたる
3. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
安心安全な次世代認証を目指して
時代にあった
パスワードが
不要な標準技術
使いやすい
自然な認証体験
不安のない
認証後も
安心・安全
脅威: パスワードの危険性
5. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
パスワード設定の難しさ
ID
PW
ID
PW
ID
PW
ID
PW
各サイト・アプリで
別々のパスワードを
設定できていますか?
10. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
あなたの生活は守れますか?
→便利な反面、管理がパスワード
○○pay ヘルスケア SNS FinTech
13. FIDO (Fast IDentity Online) 認証
オンライン認証時のセキュアな通信仕様
ファイド
Universal
2nd
Factor
Universal
Authentication
Framework
パスワードを
置き換える
パスワードに
付け加える
15. FIDO Alliance | All Rights Reserved | Copyright 2017
U2F: パスワード + α
15
機器を接続し、
ボタンを押すなどの
簡単な動作
パスワード以外の
認証だけだと
急に変えられない
出典: https://fidoalliance.org
16. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
従来の認証方法との違い
1. ローカルのみでの認証
2. 公開鍵暗号の使用
3. プライバシー保護
4. 幅広い認証方法を適用出来る
17. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
1. ローカルのみでの認証
自分の生体情報は
端末だけに保存され
その外に出ない
(例)
保存してある
指紋と照合が
できました
この文書は
信頼出来る
→認証OK
発行
送信
18. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
2. 公開鍵暗号の使用
端末内で生成した
秘密鍵で署名
(例)
保存してある
指紋と照合が
できました
正しい秘密鍵で
作られた署名だ
→認証OK
発行
送信
Aさんの
公開鍵
(Aさんの
秘密鍵と
ペア)
Aさんの
秘密鍵
19. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
3. プライバシー保護
信頼できる第三者 → 必要ではない
サーバー → 秘密情報を置かない
サービス/アカウント間でlink-ablityをもたない
• 必要以上にトラッキングされない
21. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
安全なのはわかったが・・・
どうやって
FIDO認証を
使ったら
いいの?
ユーザー
22. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
認定制度
FIDO仕様が適切に実装されていることを認定
FIDO®Certified (認定)ロゴ
出典: https://fidoalliance.org
サービスや
端末の
ロゴをみて
判別
23. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
認定1: 相互接続性を確認
異なる企業間・サーバー間でも疎通を確認
サーバー
認証器
クライアント
出典: https://fidoalliance.org
24. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
認定2: 認証器のセキュリティレベル
レベル4
レベル3
レベル2
レベル1 ソフトウェアだけで
実装可能
ハードウェアによる
鍵の保護
・
・
・
25. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
FIDO認証は既に浸透し始めている
386の製品が認定を取得
→製品やサービスの提供も活発に
UAF アプリケーション提供者
例: Docomo、DNPなど
U2F Webサービス提供者
例: Google、Facebookなど
出典: https://fidoalliance.org
26. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
アプリ以外でもUAFを使いたい
UAFの安全性をブラウザ経由で利用可能にする仕様
FIDO2
28. FIDO Alliance | All Rights Reserved | Copyright 2017
Web認証 (W3Cとの連携)
• Webの標準化団体であるW3C (World Wide Web Consortium)内で新設されたWeb認証
WG (Web Authentication Working Group) では、FIDOアライアンスと連携しながら、同ア
ライアンスが提案したドラフト仕様を元にした「Web認証(Web Authentication) 仕様」の
策定が進んでいる(近々、正式版としてリリース予定)。FIDOアライアンスでは、この活
動をFIDO 2 と位置づけ、2015年11月に初期ドラフトを提案した。
• 主要なWebプラットフォーム(OSやWebブラウザなど)にFIDO認証を組み込み、利用者が
デバイスを購入すれば直ちに利用できる環境にしていく方針だ。既にChrome、Edge、
Firefoxで実装が進められており、今後の普及が見込まれる。
• FIDO UAFやU2Fと同様にFIDO認証モデルを踏襲しており、同様の公開鍵暗号方式を
採用しているが、改めてWebブラウザからも汎用的にアクセスするための方式を規定し
た。
• Web認証で外部の認証器をBLEなどで接続して使う場合のプロトコルの標準化(CTAP
仕様)は、W3CのWeb認証WGではなく、FIDOアライアンスが実施している。
28
出典: https://fidoalliance.org
ブラウザの標準機能を決定する
団体(W3C)にて仕様を策定中
29. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
ブラウザを持つ機器が
必ずしも認証器をもたないのでは・・?
外付けの認証器を使う → CTAP
例 スマホの指紋
認証機能を利用
30. FIDO Alliance | All Rights Reserved | Copyright 2017
認証器の多様性に対応
30
認証器
内蔵認証器 外部認証器
無線型
着脱型
クライアント
Web認証API
CTAP (Client To Authenticator Protocol)
ユーザーデバイス
認証器 クライアントWeb認証API
C
T
A
P
C
T
A
P
認証器 クライアントWeb認証API
出典: https://fidoalliance.org
31. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
パスワードがいらない認証技術
次世代デファクトスタンダード:FIDO認証
パスワードにかわり、アプリやブラウザで
様々な認証方法が安全に利用可能に
→Yahoo! JAPAN IDの認証方法として検討中
※会場内「Yahoo! ID連携」ブースもどうぞ
39. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
既にマルチユーザー判別が可能
例: Google Homeでは設定後に話者を判別
→自分のユーザー情報に触れることなく
スピーカーの機能を共有
40. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
将来的に認証機会・体験が溶け込む
話して家電を操作 → あなたの実在を認証
ID:Wataru.Ogami
何もしなくても
認証されている 指紋で決済
部屋の中 誰か入ってきたら
50. 国内: デジタルwatashi
経済産業省 ID連携トラストフレームワーク検討会
• 個人番号カードで身元確認した結果をアプリに格納
• 強固な認証を行い、利便性高く情報活用
個人番号
カード
・税務処理の負担軽減
・予約・領収書の電子化
・Webサービス上でも
参考:デジタルwatashiアプリを利用したユースケースの御紹介
http://www.meti.go.jp/policy/it_policy/id_renkei/160317_02.pdf
格納
51. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
まとめ: 「パスワード」→意識しない認証へ
パスワードがいらない世界へ: FIDO認証
FIDO Allianceへ参加して標準化活動に貢献
認証体験の改善
研究開発を進行中
認証後
公的な機関とも連携できる未来へ
52. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
さいごに
認証行為が社会に溶け込んでいく未来へ
• 安全性が向上し、パスワードは必要ない
• 認証の機会は減り、体験はさらに簡単に
• 本人性の高いサービスが安全に受けられる