ニュース
FIDO Alliance、新仕様「FIDO 1.1」とJapan WG設置を発表
2016年12月8日 17:22
FIDO Allianceは8日、生体認証のための新たな技術仕様である「FIDO 1.1」をリリースするとともに、日本国内でワーキンググループ(WG)を発足することを発表した。
FIDO 1.1は、スマートフォンなどのモバイルデバイスで生体認証を実装する上での仕様である「UAF」と、USB接続などのキーチェーンタイプデバイス向けで、PCにパスワードシステムに追加して認証を実現する「U2F」の2つに分かれている。UAFでは、AndroidとiOSの最新アップデートに対応したほか、スマートカードにも対応している。一方、U2Fでは、新たにBLE(Bluetooth Low Energy)とNFCをサポートする。
FIDO Allianceは、パスワード認証に代わる新たなオンライン認証のための技術仕様の標準化を提唱する国際的な非営利団体として、2012年7月に設立された。FIDO Allianceエグゼクティブディレクターのブレッド・マクドウェル氏は、「世界中でデータ漏えい事件が頻発しており、2017年にはこれまで最も多かった2016年の件数をさらに上回ると予測されている。この背景には、本来アカウントを守るべきパスワードが、弱かったり盗まれたりすることがある」と述べ、FIDO Allianceの設立は、「こうしたパスワードの問題を解決することが目的」とした。
加えて、「こうしたトレンドの悪化を食い止めるためには、新たな認証技術が必要」と述べた。FIDO Allianceでは、認証技術の標準を開発し、準拠する製品に対しての承認を行っている。これにより生体認証機能をシンプルなインターフェースを、より多くの製品に提供することで、セキュリティとユーザー体験の改善を提供するとした。
FIDO Allianceのボードメンバーには、Google、Microsoft、Qualcomm、Samsungなど、PCやスマートフォンを手がける巨大企業が参画している。また、クレジットカードのVisaやMasterCardなども名を連ねており、「ビジネスの観点を有した標準の開発ができる」点も特徴とした。
FIDO 1.0の認定製品は250を超えているほか、ECではeBayやAlibaba、また英国政府でも採用されるなど、さまざまな分野のサービスでFIDO認証が採用されている。国内でもヤフー、KDDI、富士通、NTTドコモ、ISRなどの各社がFIDO Allianceに参加しており、富士通、シャープ、ソニー、サムソンのスマートフォンなど、NTTドコモが提供する20のAndroid端末がすでに認定を受けているとのことだ。
こうしたFIDO採用の拡大を受け、各国の言語や制度、商習慣の違いを吸収するために、国・地域ごとにWGを設置することが、FIDO Allianceにおいて2016年5月に決定され、これまでに中国とインドにWGが設置されている。日本への設置は3番目となり、10月4日に設置が決定。すでに10月24日に発足している。
初代座長に就任した株式会社NTTドコモプロダクト部プロダクトイノベーション担当部長の森山光一氏は、FIDO認証仕様について、「秘密の共有は不正アクセスの原因になる。多くのIDやパスワードを記憶することは難しく、それが原因で情報が流出している」とし、「FIDO認証仕様では、公開鍵暗号を用い、秘密鍵と公開鍵が分かれており、サーバーにサービスを共有することがないため、安心でたいへん優れた方式」との見方を示した。
日本はFIDO標準の商用導入が世界でも最も進んでいる地域で、第1回FIDO認定プログラムにNTTドコモとヤフーが参画しているほか、2015年のFIDO Alliance内の貢献賞を受賞した25社のうち5社を占めるなど、FIDO Allianceの中でも日本企業の積極的な姿勢が目立っているという。
そして今回設置されたFIDO Japan WGには、NTTドコモのほか、ヤフー、Nok Nok Labs、レノボ・グループ、大日本印刷、DDS、富士通、ISR、楽天、東京三菱UFJ銀行の各社が参画する。森山氏は「日本市場の要件を収集し、FIDO仕様が市場で役に立つことをサポートする」とし、日本独特の要件をグローバルにフィードバックすることを表明した。
その上で、「日本市場全体での、FIDO認証普及のため、さまざまなプログラムを実施する」とし、非加盟企業に対しても、FIDOの活用事例などについて、日本語での情報発信を行っていくほか、問い合わせ窓口としての機能をはじめとした国内での事務局としての活動も行っていくとした。
今後のFIDO仕様については、FIDO AllianceがウェブAPIに必要な3つの技術仕様を提案し、これを受けたW3Cが、ウェブ認証に関するAPIの標準仕様について現在検討を進めている段階。これは、FIDO 2.0のドラフト版にも盛り込まれている。「W3Cとのパートナーシップを1年前に発表しているが、これによりW3C標準ベースの検証テストが可能になった」(マクドウェル氏)とのことだ。
ウェブブラウザーでは、Google Chrome、Firefox、Microsoft EdgeがすでにFIDO 1.0をサポートしているが、各ブラウザーともに2.0の実装に向けて開発が進められている。
このほか、2017年にはUSB機器やNFC/Bluetooth対応機器といった認証器に認証を要求するプロトコル技術「CTAP(Client-to-Authenticator Protocol)」もリリース予定。これにより、新しいFIDO認証鍵をデバイスごとに登録する必要がなくなり、ウェアラブルデバイスなどを用いてPCやスマートフォン、タブレット、IoTデバイスにログイン可能になる。
また、モバイルでの決済が行われた際に、その場に保有者が存在することを証明することを求める「CDCVM(Consumer Device Cardholder Verification Method)」に対応する標準的な方式を、モバイルウォレット提供事業者や決済アプリの開発者に提供するユーザー検証キャッシング仕様も2017年にリリース予定。これにより、店舗やアプリ内でのモバイル決済時に、指紋や自撮りによってカード保持者を認証できるという。