FIDOアライアンスの政府および政策向けプログラム
認証技術に関するイノベーションはグローバル市場に数限りなく存在しますが、行政のセキュリティやユーザビリティのニーズに対応すべく整備されたソリューションは一部にすぎません。
FIDOアライアンスは、独自の政策プログラムを設け、世界中の政策立案者と意義のある議論を進めています。その中では堅牢な認証に向けたより新しく優れたオプションをどのようにFIDO仕様で提供するか、およびそうしたオプションのサポートに必要な政策の見直しについて、意見交換を行っています。
FIDOアライアンスから政策立案者に伝えたい重要な点は下記の通りです。
- 高負荷・高コストではない2要素認証を実現しています。従来型のMFA(多要素)テクノロジーは高負荷・高コストであることを踏まえ、特にコストとユーザビリティの問題に取り組むことで、FIDOはよりシンプルで堅牢な認証機能を可能にします。これにより政府機関、企業、エンドユーザーが簡単に幅広く受け入れられるようになります。
- テクノロジーの発達により、1台のデバイス上で2種類の安全且つ異なる認証要素を利用することができます。 モバイルデバイスの進化、特に非常に堅牢かつ隔離された実行環境を提供するハードウェアアーキテクチャ(TEE、SE、TPMなど)により、こうしたデバイスにおいては、物理的に異なるトークンを用意しなくてもグレードの高いセキュリティを利用できるようになりました。上記については、すでに米国政府や欧州銀行監督機構(EBA)に認められています。
- 政府は堅牢な認証を促進し、必要としていますが、その認証は「正しい」ものでなければなりません。 政府は、ユーザーに高いコストと負担がかかるために採用が進まないような「古い」認証技術や、ユーザーを危険にさらすようなセキュリティ/プライバシーの問題が存在する認証技術に基づいて、規則を策定すべきではありません。
FIDOアライアンスでは、認証要件に携わる政策立案者を対象とした説明会をご依頼に応じて実施しています。ご希望の方は、こちらのお問い合わせフォームに必要事項をご記入の上、ご送信ください。
米国国立標準技術研究所(NIST)へのFIDOアライアンスの提言: 重要インフラのサイバーセキュリティを向上させるためのフレームワークに関する情報提供依頼(RFI)
FIDOアライアンスは、NISTにサイバーセキュリティフレームワークの変更を提言し、NISTが表現を明確化すること、同フレームワークの次回の改訂で多要素認証(MFA)を明示的に要求することを推奨しています。当アライアンスは、NISTに対して、新たな「認証」サブカテゴリをこのフレームワークに追加することを主張するとともに、「正規ユーザーの認証は多要素で保護すること」を推奨しています。脆弱な認証により増大するリスクに政府や企業が対処できるようにするためには、この表現でMFAを明示的に表明することが必要であり、これを同フレームワークの改訂の一部として含めるべきです。
欧州銀行監督機構(EBA)の決済サービス指令改訂版(PSD2)に基づく、本人による確実な認証と安全な通信に関する規制技術基準(RTS)のドラフトについてのディスカッションペーパーへの回答
FIDOアライアンスは、EBAに対する回答の中で、PSD2における「本人による確実な認証」に関してEBA規制が推進しようとしている「事業者やエンドユーザーが幅広く採用できるよりシンプルで堅牢な認証機能」に対して、セキュリティのベストプラクティスに従ったFIDO準拠の実装がどのように好適例になるかを詳しく説明しています。また、FIDOの公開鍵暗号アーキテクチャをEBAが受け入れることにより、特にこのアーキテクチャをデバイスに内蔵された生体認証と組み合わせた場合、決済サービスプロバイダの脆弱性リスクが軽減されるだけではなく、結果としてオンライン詐欺の発生が抑制され、さらにユーザー体験でのストレスが減ることで、オンライン決済を総体的に加速することにつながるだろうと述べています。
米国サイバーセキュリティ強化委員会への提言
FIDOアライアンスは、この提言書において、サイバー脅威への対処策として、次の3点を米国政府に推奨しています:1. パスワードやその他の「共有される秘密情報」による認証方式から別のよりセキュアなソリューションへの転換を国家的な優先事項にすること、2. 認証のベストプラクティスとして、FIDOなどの新しい認証標準の使用を促進すること、3. このようなソリューションへの需要創出を支援する活動を通じて、堅牢な認証の採用を加速すること。
FIDO Privacy: FIDOのプライバシー:FIDOアライアンスの白書
この白書では、FIDOプロトコルの設計においてどのようにプライバシーが考慮され、それが規制当局からのプライバシー要件への適合につながっているかを説明しています。