より安全なウェブに向けた活動を加速
W3CはFIDOアライアンスの仕様を基にパスワードのログインに代わる更に堅実で柔軟性を持つウェブ認証技術の議論を開始しました
http://www.w3.org/ — 2016年2月17日アメリカ東部時間 - W3C (World Wide Web Consortium)は、全ての人が求めるさらに安全なウェブへの要望を具現化すべくWeb Authentication (以下Web Authentication WG)を発足しました。本WGではウェブ上でパスワードを使用したログインに代わる、より柔軟で確実な方式を議論・開発します。
多くのウェブユーザにとってパスワードは煩わしく様々なやり取り上における難点でもありました。パスワードの失念、不十分な羅列、あるいは推測が容易なパスワードを設定してしまうケースが多くあります。強固なパスワードであったとしてもデータ上でさまよってしまったり、フィッシング攻撃の標的になったりしていますW3Cのウェブ認証は、FIDOアライアンスのFIDO 2.0 Web APIを基にしてパスワー ド認証に代わる強固な暗号による認証を可能とします。
ウェブの発明者でありW3Cディレクターであるティム・バーナーズ=リー卿は「強固な認証方式が簡単に使用されるようになればウェブは個人や商用に日常的に使用されるでしょう。日を追って増加する外部からの攻撃に対し、W3Cは新しく、また効率に最も優れた手法を標準化しなければなりません。」と語ります。
ウェブ認証は現在のW3Cウェブセキュリティ活動を万全にします
W3C CEOのジェフリー・ジャフェ博士は下記のように述べます。「本ウェブ認証の活動は、現在勧告候補の段階であるW3C Web Cryptography APIとWeb Application Security(以下WebAppSec)の各仕様を補完します。WebCryptography APIはJavascript APIをブラウザ間で暗号化した方式の標準的な一式として提供します。WebAppSecではHTTPSの動作やアップデートをコンテンツセキュリティポリシー(CSP)へ更新を行い、アプリケーション作成者各自のサイト上で実行許可を持つコンテンツのポリシー設定を可能にし、不要、または悪意のあるコードのインジェクションから保護します。」
「私たちのゴールは、産業、学識経験者、他標準化組織とともに特定のウェブセキュリティへの要件をすり合わせ、オープン・ウェブ・プラットフォームをより高度な標準とすることです。私たちはこの最優先事項を見据え、目の前、そして近い将来へのウェブの安全性を可能な限り高めるために幅広い参加を呼びかけます。」
W3C Technology and Societyドメイン長のウェンディ・セルツアーは、この新しい認証技術活動がウェブプラットフォーム間のギャップを埋めることを期待していると表明しています。「パスワードを超える認証方式が存在しながらも、依然として現在は多くのウェブサイトでパスワード方式のログインが使用されています。標準化されたウェブのAPIはウェブエコシステム間で一貫した実装を実現します。これによりUSBキーやスマートフォンを活用してウェブサイトにログインするなど、より確実な方法がパスワードに代わるアプローチとなってゆくでしょう。強固な認証方式はユーザとの関係性を継続するための有用な方式としてどのウェブアプリケーションにも役立ってゆくのです。」
FIDO2.0 Web APIがウェブ認証技術の議論を加速
W3Cのウェブ認証技術活動はFIDOアライアンスのメンバーからメンバーサブミッションで定義されたされたFIDO2.0 Web APIの仕様書により、その活動が活発化しました。このAPIは全てのウェブブラウザと関連するウェブプラットフォームのインフラストラクチャ全体を通して、標準化を見据えた強固な認証方式を確立することを目指しています。
FIDOアライアンス エクゼクティブ・ディレクターのブレッド・マクダウェル氏は「私たちの使命は、現在のパスワード方式に代わる強固な認証方式に相互運用性を兼ね備えた技術仕様を開発し、それをグローバルに採用することでウェブの認証方式に大きな改革をもたらすことです。W3CがFIDO 2.0を採用し、新しくWeb Authentication WGを発足させたことは、この使命を完遂させることでもあります。」と述べています。
Web Authentication WGの第一回会合はアメリカ・サンフランシスコにて2016年3月4日に開催されます。すべてのW3C標準化活動はWG内で議論され、すべてのW3C会員に参加が呼びかけられています。また一般の方々が閲覧できるパブリックメーリングリストや幅広い意見をとりまとめるレポジトリも備えています。
セルツアーはこのように締めくくります。「ウェブのセキュリティをよりよくするためにW3Cの活動に関与している開発者やエンジニアは、何十億人もの人々が信頼するウェブを壊すことなくプロトコルをアップグレードする必要性を認識しています。私たちW3Cは、より安全なウェブを構築するために関心を持つ方や組織からのご参加を歓迎します。」
W3C (ワールド・ワイド・ウェブ・コンソーシアム)について
W3C(ワールド・ワイド・ウェブ・コンソーシアム)は、ウェブ標準化の開発を目的とし、会員組織、フルタイムスタッフ、および公的団体が連携する国際的なコンソーシアムです。W3Cはウェブの長期的な成長の確保を目的としたウェブ標準およびガイドラインの作成を通じ使命に尽力し、現在400を超える組織が、本コンソーシアムの会員として参加しています。
W3Cは、米国MIT Computer Science and Artificial Intelligence Laboratory(MIT CSAIL:マサチューセッツ工科大学計算機科学人工知能研究所)、フランスEuropean Research Consortium for Informatics and Mathematics(ERCIM: 欧州情報処理数学研究コンソーシアム)、北京航空航天大学 (Beihang University)および日本の慶應義塾大学により共同運営しており、オーストラリア、ベネルクス諸国、ブラジル、フィンランド、フランス、ドイツ、オーストリア、ギリシャ、ハンガリー、インド、イタリア、韓国、モロッコ、ロシア、南アフリカ、スペイン、スウェーデン、英国、アイルランドの各国にW3Cオフィスを設置しています。詳細はhttp://www.w3.org/をご覧ください。
メディアコンタクト先:
Karen Myers, W3C <w3t-pr@w3.org>
Mobile: 1.978.502.6218
