ウェブ認証が、さらにシンプルで強力なステージのマイルストーンに到達
FIDO2プロジェクト ー 世界中のウェブユーザーを保護するため、 Google Chrome、Microsoft Edge、Mozilla Firefoxとともに、フィッシング耐性が高く、強力な認証方式を備えるユビキタスな新時代を先導
https://www.w3.org/ and Mountain View, Calif. 2018年4月10日: FIDOアライアンス とWorld Wide Web Consortium (W3C) は、より簡単で強力なウェブ認証を実現するための取り組みにおいて、 FIDOアライアンスからW3Cに提出されたWeb Authentication (WebAuthn)の仕様を勧告候補 (CR: Candidate Recommendation)に進めました。本CRは、 30 を超えるW3C会員組織から組成されてい るWeb Authentication Working Group (以下WG)が作成した仕様です。CRはウェブ標準の最終形である勧告 (REC: Recommendation)の一つ前の段階であり、W3Cは WebAuthnのウェブ上での実装を推進しています。
WebAuthnは、ブラウザや関連するウェブプラットフォーム基盤に組み込むことのできる標準のWeb APIを定義しており、ウェブ、ブラウザ、およびウェブサイトやデバイス間で安全に認証する新方式をユーザーに提供しま す。これはFIDOアライアンスと協働で開発されたもので、FIDO のClient to Authenticator Protocol (CTAP)とFIDO2プロジェクトの 中核を成す構成要素です。CTAPを使用することで、セキュリティキーや携帯電話などの外部認証器は、USB、BluetoothまたはNFCを介して、ローカルの強力な認証資格情報をユーザーのデバイス (パソコンや携帯電話)と通信ができます。FIDO2の仕様により、ユーザーはフィッシング耐性のある セキュリティを備えたデスクトップ、あるいはモバイルデバイスで簡単にオンラインのサービスを認証できます。
FIDOアライアンスのエグゼクティブディレクターであるブレット・マクドウェル氏は、「本日発表された新しいFIDO2仕様と、それをサポートする主要ブラウザの取り組みは、全てのプラットフォームやデバイス間でFIDO認証が不偏のものとして存在する第一歩を踏み出したことを示しています。データの侵害とパスワードなどの資格情報の盗難は増加し続けていま したが、これからサービスプロバイダは、脆弱なパスワードやワンタイムパスコードに頼ることなく、全てのウェブサイトやアプリケーションで フィッシング耐性を持つFIDO認証を実装する時が来たのです。」と語りま した。
Google、Microsoft、Mozillaは、それぞれのブラウザでWebAuthnのサポー トを明言し、Windows、Mac、Linux、Chrome OS、Androidの各プラットフォームで実装を開始しました。 WebAuthn とCTAP双方の仕様は 公開されており、ウェブデベロッパとベンダは次世代のFIDO認証をそれぞれの製品やサービスに組込むことができます。
W3C CEOのJeffrey Jaffeはこう述べます。「ウェブ上のセキュリティは、 長い間、ウェブが社会にもたらす多くの良い貢献を妨げて来た課題でした。 その問題は多く、全てを解決するのは難しく、パスワードに頼ることは最も弱い防御の一つでした。今回発表されたWebAuthnのマルチファクタソリューションは、この弱さを排除しています。WebAuthnは、人々がウェブ にアクセスする方法を変えるのです。」
FIDO2のWebAuthn推進はW3Cの標準化プロセスに沿っており、主要なブラウザベンダでの実装は、インターネットを使用する全ての人にとって、ハードウェアに裏打ちされたFIDO認証保護の新しい時代を開くものです。
フィッシングや中間者攻撃、盗難された資格情報の乱用など、パスワードに関連するリスクから自分自身や、顧客を守らなければならない企業や オンラインサービスプロバイダは、ブラウザを介して動作する標準ベース の強力な認証をすぐに導入することができ、またそれは、各種認証器を介して送信もされます。FIDO認証を導入することにより、 オンラインサービスでは、携帯電話やセキュリティキーなど、ユーザーが毎日使う機器から、相互運用が可能なエコシステムからオプションを選択することができるようになります。
世界中の規制当局や標準化団体によって参照されているFIDO認証の範囲は、ブラウザやオペレーティングシステムでの新しいFIDO2仕様の標準化により、さらに拡大します。これはすでに数億のデバイスで利用されており、Facebook、NTT DoCoMo、Bank of America他など多くの企業の各サービスを通して、35億人以上のユーザーが恩恵を受けています。この新しい仕様は、既存のパスワードレスFIDO UAFとFIDO U2F対応認証のユースケースを補完し、FIDO認証の可用性を拡大します。FIDO2ウェブブラウザとオンラインサービスは、以前認定されたFIDOセキュリティキーと完全な下位互換性を有しています。
FIDOはまもなく相互運用性テストを開始し、FIDO2仕様に準拠したサーバ、クライアント、認証器に対して認証証を発行します。適合テストツールは、 FIDOのウェブサイトで入手できます。さらに、FIDOは全てのFIDO認証器の形態 (FIDO UAF、FIDO U2F、WebAuthn、CTAP)と、相互運用可能なサーバ用の新しいUniversal Server認定を導入する予定です。
WebAuthenとFIDO2プロジェクトの利点
W3C WebAuthn APIは、ブラウザ及び関連ウェブプラットフォーム基盤に組み込むことができる標準のWeb APIです。サイトごとに強固でユニークな公開鍵ベースの認証情報を使用できるため、あるサイトから盗まれたパスワードを別のサイトで使用するリスクを排除できます。FIDO Authenticatorを搭載したデバイスにロードされた、ブラウザで実行されているウェブアプリケーションや、パブリックなAPIを簡単に呼び出すことが でき、パスワード交換の代わり、あるいはサービスに多くの利点をもたらす暗号操作による、より簡単で強力なFIDO認証をユーザとプロバイダに提供します。
- 簡単な認証: ユーザーは、以下を使用して一手間で簡単にロ グインができます:
- パソコン、ラップトップ、モバイルデバイス機器の内部、あるいは内臓のAuthenticator (指紋や顔のバイオメトリクスなど)
- FIDOアライアンス開発のCTAP (WebAuthnを補完する外部認証者向けのプロトコル)を使用した、デバイス間認証用のセキュリティキーやモバイルデバイスなどの外部認証ツール
- 強力な認証: FIDO認証は、パスワードや関連する認証形式のみに依存するよりはるかに強力です:
- ユーザーの資格情報と生体認証のテンプレートは、ユーザーのデバイスから離れることはなく、決してサーバに保存されませ ん
- アカウントは、盗まれたパスワードを使用するフィッシング、中間者や再攻撃から保護されています
- ウェブデベロッパ向けに: FIDO のウェ ブページからFIDO認証を有するアプリケーションやサービス作成を開始することができます
FIDOアライアンスとは
FIDO (Fast IDentity Online)アライアンスは、2012年7月に、"一人のユーザーが複数のユーザ名を持ち、パスワードを作成し、記憶する"という一連の動作における強力な認証技術間に欠如していた相互運用性を解決するため結成されました。同組織は、パスワードの信頼性を低下させるオープンでスケーラブル な相互運用が可能なメカニズムセットを定義する、より簡単で強力な認証のための標準化を進め、認証そのものの性質を変えており、FIDO認証は、 より強力に、プライベートに、オンラインサービスを認証するための運用を提供しています。
ワールド・ワイド・ウェブ・コンソーシアム (W3C)とは
W3C(ワールド・ワイド・ウェブ・コンソーシアム)は、ウェブ標準化の開発を目的とし、会員組織、フルタイムスタッフ、および公的団体が連携する国際的なコンソーシアムです。W3Cは、ウェブの長期的な成長の確保を目的としたウェブ標準およびガイドラインの作成を通じ使命に尽力し、現在、470を超える組織が、本コンソーシアムの会員として参加しています。W3Cは、日本の慶應義塾大学、米国MIT Computer Science and Artificial Intelligence Laboratory(MIT CSAIL:マサチューセッツ工科大学計算機科学人工知能研究所)、フランスEuropean Research Consortium for Informatics and Mathematics(ERCIM: 欧州情報処理数学研究コンソーシアム)、および中国北京航空航天大学 (Beihang University)により共同運営されており、各国のW3Cオフィス各国にW3Cオフィスを設置しています。詳細はhttp://www.w3.org/をご覧ください。
End Press Release
FIDO Alliance PR Contacts
Mike Smith or Adrian Loth, Montner Tech PR <fidopr@montner.com>
+1.203.226.9290 (US, Eastern Time)
W3C PR Contact
Amy van der Hiel, W3C Media Relations Coordinator <w3t-pr@w3.org>
+1.617.253.5628 (US, Eastern Time)