オープンなオンライン認証技術「FIDO」(Fast IDentity Online)の標準化と普及を推進するFIDOアライアンスは2019年12月5日、2019年におけるグローバルおよび国内の活動報告を行なった。発足3年目の日本のFIDO Japanはメンバー企業も増え、新規格である「FIDO2」の採用も進んできた。
主要ブラウザやWindows10デバイスなどでのFIDO2対応が進んだ2019年
グローバルでは特に大手プラットフォームのFIDO対応が進み、数十億台のデバイスがFIDO認証を利用可能になった。また国内では、発足3年目を迎えるFIDO Japanのメンバー企業が発足当初の10社から43社に拡大。NTTドコモやLINE、ヤフーのボードメンバーを筆頭に新規格「FIDO2」の採用が進み、同団体が目指す「パスワードレスな認証」の世界へ一歩近づいた形になる。
「2019年は、プラットフォーム対応が進んだ年」と表現したFIDOアライアンスのCMO、アンドリュー・シキア(Andrew Shikiar)氏。FIDO2の構成要素であるWebAuthn(JavaScript APIでFIDOを使用するための仕様)がW3C Web標準として正式勧告されたこと、Google ChromeやMicrofost Edge、Mozilla Firefox、Apple Safari、OperaでFIDO2が正式サポートされたこと、Android 7.0以降でFIDO認証が利用可能になったこと、マイクロソフトがWindows HelloでFIDO2認定を取得し、Windows 10デバイスでFIDO認証が利用可能になったことを挙げ、「20億台以上のデバイスがFIDO認証に対応した」と述べた。
また、サービスプロバイダーによる対応状況も進捗した。たとえば、マイクロソフトはAzure Active DirectoryでのFIDOベースのパスワードレスサインインを提供、オークションサイトのeBayはAndroid/ChromeでのFIDO認証を展開、GoogleはChromebookやAndroidスマートフォンでFIDO認証対応を実施した。
さらに、新規の作業部会として「Identity Verification and Binding Working Group」と「IoT Technical Working Group」を今夏に発足。前者はより良い本人確認の仕組みを検討し、後者はIoTのパスワードレス認証実現に向けた検討を行う。
「現在、アカウントリカバリで求められる本人確認はナレッジベースが一般的だが、こうした情報はダークウェブでリスト化されて出回っていることがほとんどだ。そもそもユーザーも忘れてしまうという問題がある。IoTについても、パスワードがハードコードされていたり、デフォルトのまま使用されていたりと、甘い認証設定で運用されていることが多い。これらの課題を解決するため、作業部会を立ち上げた。2020年中には最初の成果物が公開されると思う」(シキア氏)
2020年は、さらなる普及および実装を目指して開発者の支援を強化する。「プラットフォーム側でのFIDO対応は、パスワードレスな世界の実現の半分しか達成できていない。WebアプリケーションやWebサイトにFIDO認証を実装するのは開発者であり、彼らを支援することで残り半分を達成できると考える」。
2020年6月2、3日には、米国シアトルで初のFIDOカンファレンス「authenticate 2020」を開催予定。より活発な議論と情報交換が行われることに期待するとシキア氏は述べる。
世界初のFIDO2対応など、国内の導入実績も加速
国内について、FIDO Japan WGの発足当初である2016年10月時点で、参加企業は10社だったのが、2019年12月現在は43社に増加。「商用サービスでの導入状況を見たとき、日本はグローバルで最も先行している国・地域のひとつ」と紹介したNTTドコモの森山光一氏は、2019年はFIDO対応がさらに加速した年と述べた。
上半期を振り返ると、ソフト技研や富士通、ISR、NEC、NRIセキュアテクノロジーズなどがFIDO2認定を取得、新標準の積極的な採用が進んだ。また、2019年7月22日にゆうちょ銀行が「ゆうちょ認証アプリ」にFIDO UAF(スマートフォンなどの生体認証機能を活用したFIDO認証)を採用、2019年9月23日にはLINE Payが世界初のFIDO2対応「LINE Payアプリ」を提供開始。NTTドコモは「dアカウント パスワードレス認証」を今年10月に発表、2020年2月以降に提供開始の予定だ(FIDO UAF対応、FIDO2も対応予定)。
また、2019年11月11~13日に国内初のFIDO相互接続性テストを実施した。日本含む10の国・地域からFIDOアライアンスメンバー以外の企業含め14社が参加。Capy(サーバー)、KDDI(認証器)、ナレッジスイート(サーバー)がFIDO2認定を取得した。このほか、最近では商用だけでなく、教育機関でのFIDO認証の導入検討が実施されていると森山氏は説明。その1つが、大学ICT推進協議会の認証連携部会とのディスカッションだ。
「入学前から卒業まで、あらゆる場面で本人確認が求められる大学生活において、シンプルかつ強固なFIDO認証の採用が検討されている」と述べる森山氏。議論の成果については、12月13日に同協議会の年次大会内で発表予定という。
「今後は、KDDIがFIDO Japan WGのリーダーシップ参画。引き続き活発な活動を継続したい」(森山氏)