Corporate overview and challenge
自動車産業において「CASE」と呼ばれるトレンドが定着しつつある現在、業界を牽引し進化を遂げるトヨタ自動車は「自動車会社」から「モビリティカンパニー」へとモデルチェンジを図っている。「Mobility for All-すべての人に移動の自由と楽しさを-」の実現に向け、「C:コネクティッド」の領域においては、スマートフォンをそのまま鍵として利用できる「デジタルキー」をはじめ、Webサイトやスマホアプリを組み合わせて、多くのユーザーに向けパーソナライズされたサービスの提供に取り組んでいる。
一連のサービス提供において重要な役割を果たしているのが、 トヨタが提供するさまざまなサービスを安全・快適に利用するためのお客様認証サービスである、「TOYOTA/LEXUS の共通 ID」(以下、「共通 ID」)だ。500万件に上るトヨタの共通IDは連携するサービスも約40種類を数え、顧客に提供する複数のスマホアプリでは、アプリ毎にID/パスワードの入力が必要だった。
FIDO 2 deployment
トヨタ自動車は「共通 ID」のオプション認証機能としてFIDO認証の導入を決定した。FIDO認証資格情報をあらかじめ登録しておくことにより、各スマホアプリにおいてユーザーがID/パスワードの入力をそのたびに行うプロセスが不要となることが大きなメリットだ。
FIDO認証の導入以前、トヨタ自動車では共通IDの多要素認証手段として、ワンタイムパスワード認証やバックアップコード認証を利用してきた。今回、FIDOを多要素認証の新たな選択肢のひとつとした大きな理由は、FIDO認証の持つ堅牢なセキュリティ面とユーザビリティを考慮した結果だという。普段使いのスマートフォンに搭載された生体認証を利用した所持を伴う多要素認証であるFIDO認証を活用することで、高いセキュリティ性が担保され、ユーザー体験の向上にも貢献を果たした。
実装に関しては、共通IDを管理するNRIセキュアテクノロジーズ株式会社(以下、NRIセキュア)による認証基盤「Uni-ID Libra」がFIDO認証に準拠していることから協力を依頼した。
iOS、Android端末を対象としたFIDOの導入に至るまでは、OSによる挙動の違い(Discoverable Credential : 旧称Resident Keyのサポート有無、iOS版Safariでは鍵登録時の明示的なユーザーインタラクションが必須、など)がUXに影響することが課題であった。最終的には、認証Web画面側の作りこみを行うことにより、UXの差異を吸収ができ、課題解決へとつながった。
トヨタ自動車では、今回の実装に伴い、FIDO認証器のライフサイクル設計を合わせて行う重要性にも着目している。サービスの提供にあたっては、認証だけでなく、登録や端末の切り替え、紛失時のリカバリなどに備える必要がある。一般コンシューマー向けにサービスを提供している他の企業がFIDO認証を導入検討する場合には、端末の切り替えやアカウントリカバリ時にセキュリティ強度が維持できる方式があると良い、ともしている。
OVERVIEW トヨタ自動車株式会社は、日本の豊田市に本社を置く日本最大手の自動車メーカーだ。
C (Connected): IoT for automobiles
A (Autonomous): Automated driving
S (Shared & Services): From ownership to sharing
E (Electric): Electric vehicles
「コネクテッド戦略の拡大に伴い、クルマに対してスマホアプリやWebサイト上で実施可能な操作が増えてきた。便利な反面、悪用されると事故にも繋がりかねないことから、より一層のセキュリティ対策が求められている。便利で安全なモビリティサービスをお客様にご提供し続けるための1ピースとして、FIDO認証は寄与してくれると考えている」
最後に、今回の導入事例についてお話を伺ったトヨタ自動車コネクティッドカンパニー・バリューチェーン基盤開発部の林雅敏様からは上記のようなコメントを頂いている。
(*)共通ID取得およびFIDO認証資格情報の登録は、https://id.toyota から可能です。
MORE FIDOリソース
