FAQ’s
一般的な質問
FIDOアライアンスは二人の人物による2009年後半の会話から始まっています。その当時指紋センサーメーカーのValidity Sensors(後にSynaptics社に買収された)のCTO(最高技術責任者)であったRamesh Kesanupalli氏によって、当時PaypalのCISO(最高情報セキュリティ責任者)だったMichael Barrett氏にpaypal.comで指紋を使えるようにすることに興味があるかを尋ねました。Barrett氏は興味がある、ただしそれがオープンな標準に基づいていたらと答えたのです。活用可能な適切な標準が存在しなかったため、Kesanupalli氏はSSLの発明者であるTaher Elgamal氏を巻き込み、そこからディスカッションがスタートしました。FIDOアライアンスの詳細な沿革についてはこちらをご参照ください。
FIDOアライアンスは公式には2013年初頭に6社のメンバー企業で発足し、現在では世界で250以上の企業や組織がメンバーとなっています。最新のメンバーのリストはこちらをご参照ください。
FIDO(Fast IDentity Online)アライアンスは認証強化用のデバイス間に相互運用性がないことや、ユーザー名とパスワードを複数生成し、記憶するというユーザーが直面している問題に対応するための仕様を策定するために2012年中頃に設立された米国内国歳入法第501条C項(6)で規定されているNPO(非営利団体)です。FIDOアライアンスのガバナンスとストラクチャーについての詳細については、FIDOについてのページと、メンバーシップの詳細ページをご参照ください。
FIDOアライアンスのウェブサイトはアライアンス、その仕様書、FIDO認定製品群、リソースやベスト・プラクティスのナレッジベースや一般的な進捗に関する総合的な情報を提供しています。ニュースレター受信のサインアップをすることによって、将来開催予定の多数の公開イベントのアップデートや招待を受け取ることができます。またまたTwitterで@FIDOAllianceをフォローしたり、LinkedInでもフォローいただけます。
誰もが参加可能な新しいパブリック・ディスカッション・リストfido-dev@fidoalliance.orgを運用することにより、テクノロジーの採用者に対するサポートを提供しています。詳細な進捗や成果物へのインプットに興味がある組織は、アライアンスに加盟するのが最善の方法です。
FIDOアライアンスでは、シンプルで堅牢な認証のために3つの仕様セットを公開しています。:FIDO Universal Second Factor(FIDO U2F)、FIDO Universal Authentication Framework (FIDO UAF)、およびClient to Authentication Protocol (CTAP)です。CTAPはW3CのWeb認証 (WebAuthn)仕様を補完するものとなります。WebAuthn仕様とCTAP仕様は併せてFIDO2として知られています。
さらなる詳細については、仕様の概要および、仕様のダウンロードページの技術仕様をご参照ください。
当初から、FIDOアライアンスではオンラインサービスの利用者を安全に認証するためにパスワードへの依存に取って代わる、オープンでスケーラブルかつ、相互運用可能な一連のメカニズムを定義する仕様を開発することによって、認証のあるべき姿を変えようとする意図を表明していました。アライアンス発足から2年後、そのビジョンを実現するために最初の仕様を2014年12月にUAF1.0およびU2F1.0として公表しました。このことは業界において、ユビキタスでシンプルで堅牢な認証への道のりにおける重要なマイルストーンとなり、多くの導入・展開によって、世界中のユーザーにFIDO認証をもたらすことになりました。さらにFIDOアライアンスはFIDO2として知られる仕様を2019年3月に公開しています。詳細については、FAQの「FIDOアライアンスがFIDO2の必要性を認識した理由」をご参照ください。
FIDOアライアンスは、シンプルで堅牢な認証を実現するために、FIDO U2F、FIDO UAF、FIDO2の3種類の仕様を公開しており、最も幅広いユースケースや導入シナリオに対応しています。
FIDO UAFがパスワードレス体験をサポートするのに対し、FIDO U2Fは第2要素を利用した体験をサポートしています。FIDO2では、パスワードレス体験、第2要素を利用した体験、多要素を利用した体験をサポートしています。仕様の詳細については、仕様の概要をご参照ください。
すべてのFIDO仕様は公開鍵暗号方式に基づいており、フィッシングに対する耐性が高く、ユーザーのプラバイシーを保護します。(詳細については、FIDOの仕組みをご参照ください。)
世界中の多くの先進企業や組織がFIDO認証を、提供するサービスの利用者や従業員に提供しています。これにより、セキュリティ・リスクを低減し、ユーザー体験を向上しています。FIDOアライアンスのWebサイトで”Who’s using FIDO”をご参照ください。
FIDOアライアンスはより広範囲のデバイス、プラットフォームおよびWebブラウザにFIDO認証の機能を組み込むため、W3Cと連携してFIDO2仕様を開発しました。FIDO2は現在Google Chrome、Mozilla Firefox、Microsoft EdgeおよびApple Safari等のWebブラウザ、Windows10やAndroidのプラットフォームでサポートされています。
FIDOは非対称の公開鍵暗号方式に対して、「軽量化」のアプローチを取っています。これにより、従来のPKIでは特に困難もしくは不可能であった、より広範なアプリケーション、ドメインやデバイスに公開鍵暗号方式のセキュリティ面での利点を拡張する方法をサービス事業者に提供できるようになりました。 FIDOはPKIの置き換えではなく、補完するもので、非対称の暗号化を使ってより大規模なユーザーやアプリケーションを保護することを可能にします。このアプローチは、今までユーザ名とパスワードを用いてきた領域でセキュリティを向上するにあたり、特に重要なポイントとなります。
あなたの企業・組織が市場にFIDO準拠のソリューションを提供しようとしているベンダーであるか、またはFIDO認証をその従業員や顧客に導入するためのより効果的な方法を理解しようとしているサービス事業者であれば、FIDOアライアンスへの参加は大いにベネフィットがあります。 さらに詳細な情報はこちらからご参照ください。
標準
オープンな業界標準は既存や将来の製品や提供物の互換性を保証し、誰もがテクノロジーを評価可能であることを保証します。ユーザーはFIDO認証がサポートされている場所ならどこでも、FIDOデバイスを利用することができます。サービス事業者や企業は新たな投資や独自の環境構築に戻ることなく、様々なデバイスやサービスを活用できます。
WiFi、Bluetooth、NFCや他の標準の開発と同様に、FIDOは新しい業界プロトコルを開発しています。デバイス製造メーカー、ソフトウェア開発者やオンライン・サービス事業者は誰でも、その利用者にシンプルで堅牢なオンライン認証を実現するために既存の製品やサービスへFIDOプロトコルのサポートを組み込むことができます。標準化のゴールを持っているので、「ネット効果」の手段によってFIDOのエコシステムは成長し、拡大することができます。ここでは、標準の新たな実装が、デバイス開発者とサービス事業者間で事前に調整しなくても、他のどのような実装ともすぐに相互運用できることを示しています。
FIDOアライアンスにはCertification Working Group(認定作業部会)があり、各製品のFIDO仕様への準拠やその実装の相互運用性などをテストする責任を持っています。FIDO® 認定プログラムの詳細についてはこちらをご参照ください。
FIDOアライアンスのメンバーは、Membership Agreement(入会同意書)の中に示されている義務にすべてコミットしており、FIDO最終仕様(メンバーシップ規約内では「Proposed Standard」として参照)を他のメンバーが実装することに対し、自身の特許を主張しないことになっています。FIDO準拠のソリューションの導入に興味がある誰でも、アライアンスに加盟することなしに、FIDO 認定 製品群を使って、その導入を実現することができます。
上記回答に対する注釈:
2020 年 1 月 1 日以降にIPRポリシーが変更となりました。それに伴い、入会同意書も改訂され最新版は下記より参照可能です。
主な変更点は、FIDOアライアンス技術作業部会メンバーならびに仕様に貢献するメンバーのみに適用され、IPR の提供すなわち、保有する特許について無償で許諾する義務を負います。
(*)上記原文中に参照されている PDFリンクは無効となっています。
(*)最新版入会同意書
(*)参照目的用の上記翻訳版
(*)IPR変更点についての概要資料(日本語版)
(*)IPR FAQ(日本語版)
FIDO仕様はデバイスに依存しておらず、FIDO Security Key、指紋や虹彩スキャン、声や顔認識のような生体認証、PINやパターン保護されたmicroSDを含むあらゆる認証テクノロジーをサポートしています。FIDO仕様は既存のソリューションやコミュニケーション標準、例えばTrusted Platform Module(TPM)、USBセキュリティ・トークン、組込型のSecure Elements(eSE)、スマートカード、Bluetooth Low Energy(BLE)やNear Field Communication(NFC)の活用を可能にします。FIDO仕様はオープンなので、過去の投資を保護すると同時に将来のイノベーションにも対応できるよう拡張性を持って設計されています。
FIDO仕様はユーザーが自身のニーズや好みにあったデバイスを数多くの選択肢から選ぶ事を可能にし、同時にユーザーを認証しなければならないサービス事業者、オンライン事業者または企業が適したデバイスを選択することを可能にしています。
FIDOの仕様は公開されており、誰もが読むことができ、分析可能です。しかしFIDOアライアンスのメンバーだけが、他のメンバーの実装に対して特許を主張しないという義務による恩恵を得ることができます。(FIDOアライアンス入会同意書を参照のこと)。誰もがFIDOアライアンスに加盟できます。小規模な企業であってもコストを抑えてエントリーレベルで参加できるようになっています。すべてのレベルのメンバーは相互に特許を主張しないという義務による恩恵を得ることができるだけでなく、FIDOアライアンスのメンバーによるアクティビティや開発作業に参加することができます。Associatesレベルのメンバーは参加についていくつか制限があります。FIDOアライアンスへの加盟は誰でも歓迎いたします。
(*)上記原文中に参照されている PDFリンクは無効となっています。
(*)最新版入会同意書
(*)参照目的用の上記翻訳版
(*)IPR変更点についての概要資料(日本語版)
(*)IPR FAQ(日本語版)
FIDO & Security
いいえ。 FIDOアライアンスは堅牢な認証のための標準を定義し、それらの標準への準拠の実装をテストするだけです。アライアンスはサービスを提供したり、デバイスを用意したり、サイトを用意したりはしません。 デバイスの製造メーカー、オンライン・サービス・プロバイダー、企業や開発者がFIDO仕様書を使って、製品を製造したり、サービスを提供したり、FIDO認証をサイトやブラウザで使えるようにします。 FIDO仕様では、ユーザーのクレデンシャルはユーザーのデバイスに保持され、プロバイダーやサービスとは決して共有されません。
いいえ。 このタイプの情報交換はFIDOでは防止されます。それぞれのデバイスとウェブ・サイトの組み合わせは、個別の登録と個別の暗号鍵のペアが必要となります。登録ができたら、ユーザーは容易に同じデバイスから複数のサイトへ認証が可能になりますが、FIDOでは、各サイトから他のサイトにおけるユーザーのオンラインのアクティビティについて知ることができないようになっています。
FIDOアライアンスは最近、Authenticator Certification Program(認証器認定プログラム)を開始しました。 このプログラムは、認証器専用で、FIDO認定プログラムに対し、認証器に対するセキュリティー要件を導入するものです。 FIDO認定プログラムに基づいて認定された各認証器は、ベンダーが求めているセキュリティーのレベルに応じて、特定のセキュリティー保証レベルを満たすことが検証されています。 レベルが高いほど、セキュリティ保証が高くなります。 このプログラムの詳細については、こちら(https://fidoalliance.org/certification/authenticator-certification-levels/)ご参照ください。
大規模な攻撃や不正アクセスに対して脆弱であることが証明されている現在のパスワードベースの認証モデルと異なり、FIDO認証のクレデンシャルは、一元化されたデータベースで共有されたり、保存されることはありません。FIDOクレデンシャルはユーザー自身が保持するデバイスによってのみ認識、維持されています。サービス事業者によって保存されるのはユーザーのデバイスに保存されている秘密鍵とペアとなる公開鍵だけです。セキュリティとプライバシーを強化するために、FIDO認証で使用される生体情報やPIN情報がデバイスから外に出ることはありません。このセキュリティモデルはフィッシング攻撃、あらゆる手段でのパスワード盗取、リプレイ攻撃によるリスクを排除します。攻撃するためにはハッキングを実行するために物理的にそのデバイスが必要になります。(詳細については、FAQの「自分のデバイスが盗まれた場合、自分のアカウントが侵害されませんか?」をご参照ください。)パスワードのエコシステムでは、比較的限定されたリスクで、攻撃者は大きな投資対効果を得ることができます。FIDO認証のエコシステムでは、攻撃者は投資対効果を得ることがはるかに難しく、コストもかかり、高リスクとなります。
FIDO認証を使用する場合、ユーザーの生体情報がデバイスから外に出ることはなく、不正アクセス等の侵害によって盗取のリスクのあるサーバー側で一元的に保存されることもありません。生体情報のような秘密情報がデバイスから外にでないFIDO認証モデルではリモート攻撃のリスクを排除します。攻撃者が実際に攻撃対象のユーザーのデバイスにアクセスできたとしても、なりすますことは非常に困難です。まず攻撃者は攻撃対象のユーザーのデバイスに登録されている、生体情報を完全な形で再現できる情報を取得する必要があります。それから攻撃対象のユーザーのデバイスに物理的にアクセスできなければなりません。仮にそのなりすましが成功したとしても、今日の典型的な大規模な攻撃によって、数百万や数億ものユーザーのクレデンシャルが盗取され、大きな損害となる可能性と比較するとはるかにリスクは低いと言えます。
いいえ。 アカウントを侵害するためには、犯罪者はそのアカウントに対するFIDO認証器として登録されたユーザーのデバイスだけでなく、秘密鍵を保護している認証器によって使われるユーザー・アイデンティティのチャレンジに対応する能力が必要です。 このことがFIDOが有効であるアカウントへの侵害を極端に難しくしています。 同時に、すべての現在の導入(そして将来に渡って推奨するすべての導入)において、ユーザーがデバイスを紛失したり、盗まれたりしたことを報告する機能を提供することで、FIDO認証器を紐付けられたユーザーのアカウントから切り離すことができます。
FIDOの仕組み
FIDO認証モデルの目的は、オンライン・サービスにおいて、セキュアでシンプルな認証体験を提供することです。ネットワークを介してサービスに接続しているデバイスを持つユーザーの認証を想定しています。
はい。一つのFIDOデバイスから複数のウェブサイトを使うことができます。デバイスとウェブサイトのそれぞれの組み合わせは個別の登録作業と個別の暗号鍵のペアが必要です。登録が済んだら、同じデバイスから複数のサイトへ容易に認証できます。それぞれのサイトは他のサイトでのユーザーのやりとりを知ることはできません。
ユーザーが新しいデバイスを入手するか、複数のFIDOデバイスを使いたいなら、ユーザーはそれらのデバイスを使って利用したいサイトでそれぞれのデバイスを登録する必要があります。デバイスがサイトで登録されると、そのサイトでのユーザーの認証が必要となった場合はいつでもデバイスを認識できます。ユーザーが登録されていないデバイスを使ってサイトにアクセスした時は、自動的には認識されず、ユーザーは新しいFIDOデバイスをそのサイトで認証可能とするために、そのデバイスの登録を求められます。
はい。 FIDO認証はエンタープライズ環境にも導入可能です。 FIDO認証を導入すると、堅牢な認証の導入とサポートのコストを削減できるなど、企業に大きなメリットがあります。アライアンスには、ベストプラクティスに関するホワイトペーパーを作成する、Enterprise Deployment Working Groupがあります。 このガイダンスは、FIDOのナレッジベース内にあります。 ナレッジベース(https://fidoalliance.org/knowledge-base/)には、GoogleがどのようにFIDOを展開したか(https://fidoalliance.org/case-study-series-google-security-keys-work/)もあります。 85,000人の従業員で、既知のフィッシング攻撃の成功は確認されていません。
FIDO2
FIDO2は、FIDOアライアンスの最新の堅牢な認証標準の包括的な用語です。 FIDO2には、W3CのWeb認証(WebAuthn)とFIDOアライアンスのClient to Authenticator Protocol(CTAP)の2つの仕様が含まれています。
FIDO2標準により、ユーザーは一般的なデバイスを活用して、モバイル環境とデスクトップ環境の両方でオンラインサービスに対して簡単に認証でき、パスワードとSMS OTPよりもはるかに高いセキュリティを実現できます。
FIDO2には2つの仕様が含まれています。
W3C WebAuthn:
Web認証仕様では、ブラウザを使って、ユーザーがパスワードよりも堅牢な暗号化鍵ペアを使用してサインインできるようにする1つの標準Web APIが定義されています。 この仕様は、パスワードレスと第2要素ログインをサポートしています。この仕様により、すべてのWebブラウザおよび関連するWebプラットフォーム・インフラストラクチャ全体で強力なFIDO認証が可能になります。(詳細については、FAQのFIDO2とW3C WebAuthnの間の関係は?」をご参照ください。)
FIDO CTAP:
CTAPを使用すると、ブラウザーとオペレーティングシステムは、USBベースのデバイス、NFCおよびBluetooth対応デバイスなどの外部認証器と通信できるようになり、ユーザーが使用するすべてのデバイス毎に再登録する必要がなくなります。 この仕様では、ユーザーは、接続されたデバイスやスマートフォンなどを使用して、ブラウザまたはプラットフォームを介してコンピューター、タブレット、IoTデバイスなどにログインできます。なおスマートフォンでの利用はCTAPで導入されたまったく新しいユースケースです。
FIDO2(ファイドツー)がFIDOの最新標準の正式な名称です。
FIDOアライアンスのゴールは常にインターネット上で堅牢な認証をあらゆる場面で実現することです。これは、FIDO認証を人々が毎日使うすべてのデバイスに組み込む支援をすることを意味しています。アライアンスは、特にモバイル・プラットフォームに対して、最初のFIDO U2FやFIDO UAF仕様を公開し、大きな一歩を踏み出しました。FIDO2はブラウザやWebプラットフォームを横断して組み込まれた機能としたことで、FIDO認証の範囲を拡大しています。これにより、アライアンス全体のゴールに向けた大きな一歩と言えるでしょう。
経験則として、下に示す単純な方程式を覚えておくことです。
FIDO2 = W3C WebAuthn + CTAP
これがFIDO2開発の全貌です。
FIDO UAFおよびFIDO U2F仕様のリリース後、FIDOアライアンスは、世界中のユーザーがFIDO認証にアクセスしやすくすることに重点を置きました。 アライアンスは、1つのWebベースAPIを定義する3つの技術仕様を開発し、FIDO認証をブラウザとプラットフォームに直接組み込むことができるようにしました。これらの仕様は、2015年11月にWorld Wide Webの国際標準化組織であるW3Cに提出されました。FIDOアライアンスメンバー企業は、W3CのWeb認証作業部会内で作業して、WebAuthnとして知られるようになったAPIを完成させました。 WebAuthnは、2019年3月にW3C Web標準として正式に承認されました。
同じ時期に、FIDOアライアンスは、WebAuthnの補完的な仕様であるClient to Authenticator Protocol(CTAP)を作成し、完成させました。 CTAPは、ユーザーがスマートフォン、セキュリティキー、Windows 10 PCなどの既に所有しているデバイスを使用してWebAuthn対応のブラウザやプラットフォームで認証できるようにすることで、ユーザーがWebAuthnにさらにアクセスしやすくします。
WebAuthnとCTAPを合わせて、FIDO2と呼ばれます。 FIDOアライアンスは、認定プログラムを管理および維持して、市場にあるすべてのFIDO2実装(クライアント、サーバー、認証デバイス)の相互運用性を確保します。
FIDOアライアンスはFIDO認証をすべてのWebプラットフォームで標準化するためにW3Cと連携しました。このことにより、標準をサポートするWebブラウザやWebアプリケーション・サーバーのコミュニティ全体によって、FIDOエコシステムを成長させることが可能になります。W3CはWebコミュニティが標準を策定する母体なので、W3Cと連携することはより実践的であったと言えるでしょう。
FIDO2標準は現在公開されており、実装で利用可能となっています。(https://fidoalliance.org/specifications/download/)
WebAuthnはW3Cの2019年3月に最終勧告のステータスとなり、公式なWeb標準となりました。CTAPはFIDOアライアンスで最終仕様となっています。
現在の採用状況については、以下をご参照ください。
https://fidoalliance.org/fido2/fido2-web-authentication-webauthn/
FIDO2の仕様で、既存のパスワードレスFIDO UAF仕様とFIDO U2F仕様および、そのユースケースをサポートし、FIDO認証を拡大します。FIDO U2F対応のセキュリティキーのようなFIDO準拠の外部デバイスをすでに保持しているユーザーはWebAuthnをサポートするWebアプリケーションでそれらのデバイスを利用できます。既存のFIDO UAFデバイスはFIDO UAFプロトコルに基づき、これまでのサービスや新サービスに利用できます。
まったくそんなことはありません。FIDO U2Fの機能はFIDO2のCTAPプロトコルにマージされており、U2F認証をサポートするサービスでFIDO U2Fのセキュリティーキーは今後も利用でき、FIDO2認証をサポートするサービスでも利用することが可能です。
FIDOアライアンスはFIDO2仕様をサポートするサーバー、クライアントおよび認証器に対する相互接続性試験と認定を提供しています。さらに、アライアンスはFIDO認証器のすべてのタイプ(UAF、U2F、CTAP)と相互運用可能なサーバーに対するUniversal Server認定を提供しています。ベストプラクティスとして、FIDOアライアンスはすべてのFIDO認定認証器のサポートを保証するために、企業やオンラインサービス事業者に対し、Universal Serverの導入を推奨しています。
FIDOアライアンスの作業は始まったばかりです。仕様と認定プログラムは継続して発展していきますし、FIDO認証の展開に関係する作業はさらに重要度を増すことになるでしょう。さらにアライアンスはIoT分野やアイデンティティ検証の分野における新たな作業領域を立ち上げました。ユーザー認証に隣接する技術の標準化を支援するために世界中の代表的な組織との広範なアライアンス連携を通じて、これを実現していくことになるでしょう。これらの新たな作業領域の詳細は以下をご参照ください。
https://fidoalliance.org/fido-alliance-announces-id-and-iot-initiatives/
新たな活動領域
アライアンスでは、アイデンティティ検証とInternet of Things(IoT)における標準と認定プログラムを開発するための新たな作業領域を発表しています。
アライアンスは、Webにセキュリティの脆弱性を残す隣接する技術領域に対処することにより、最終的にFIDO認証の有効性と市場での採用を増やすよう努力していきます。 FIDO認証標準によって提供される高い保証レベルと、アカウントリカバリにおけるアイデンティティ検証およびIoTデバイスに対する認証で使用される低い保証方式との間にはギャップがあります。 アライアンスは、アイデンティティ検証の保証を強化して、より良いアカウントリカバリをサポートし、安全なデバイスのオンボーディングを自動化して、IoTデバイスでのパスワード使用を不要とすることを目的としています。
アイデンティティ検証とIoTセキュリティは両方とも、FIDOアライアンスの中核であるユーザー認証に隣接した領域です。FIDO認証によって保護されているアカウントにとって、FIDO認証を使用しているデバイスを紛失したり、盗まれたりした時のアカウントリカバリ・プロセスのためのアイデンティティ検証はユーザーのアカウントの整合性を維持するのに非常に重要になります。IoTデバイスの場合、一般的な業界の一般的な方法では、デフォルトのパスワードによるクレデンシャルを使用して出荷し、人手によるオンボーディングを実施するため、攻撃を受けやすくなります。 これらの両方の領域におけるセキュリティのギャップは、個別の独自のアプローチではなく、業界における協業と標準化を通じて最も効果的に対処できると考えています。
アライアンスは2つの新しい作業部会を発足しました。
1つ目は「Identity Verification and Binding Working Group (IDWG) (本人確認と認証に必要な紐づけに関する作業部会)」、2つ目は 「IoT Technical Working Group (IoT TWG)(IoTに関する技術作業部会)」であり、これらの分野のガイドラインおよび認証基準を制定します。
FIDOアライアンスは、現在のメンバーと新しい業界参加者からの貢献を得て、ユーザー認証標準と関連プログラムの開発と採用に引き続き注力し、これらをこの拡張された作業領域の基盤として使用します。
FIDOアライアンスは、生体情報を用いた「自撮り」照合や政府発行の本人確認書類による認証などを含む、リモートで実現可能な所持物ベースの本人確認手法が、新しいアカウントの作成およびアカウントリカバリに対する本人確認の品質を大幅に向上させる可能性があると認識しました。IDWGは、 リモートでの本人確認のための基準を定義し、その基準の適用を支援するための認定プログラムと教材を開発します。
IoT TWGは、FIDOアライアンスの基本的なミッション、つまりパスワードレス認証をIoTデバイスに対しても適合するための、包括的な認証フレームワークを提供することを目指します。
本ワーキンググループは、以下をカバーするユースケース、アーキテクチャ、および仕様を策定します:
・サービスプロバイダとIoTデバイス間の相互運用性を可能にするための
IoTデバイス証明書/認証プロファイル
・自動設定での利用、およびアプリケーションやユーザーのIoTデバイスへの紐づけ
・スマートルーターとIoTハブを介したIoTデバイスの認証とプロビジョニング
IDWGとIoT TWGは、業界からの参加者に開かれています。 FIDOアライアンスの作業部会への参加は、FIDOアライアンスのすべてのボードメンバーおよびスポンサーレベルのメンバーにオープンです。 アライアンスへの参加の詳細については、https://fidoalliance.org/members/membership-benefits/をご参照ください。
FIDOアライアンスの技術作業部会に参加することにより、メンバーはFIDOの技術的な成果を早い段階で把握し、理解することができるようになります。このことにより、製品やサービス開発の加速を助けることにつながります。作業部会への参加は他の参加メンバーからのフィードバックを得て独自の実装の助けとすることや、自社のビジョンを導入の際のガイドラインや推奨事項に反映させる機会を得ることができます。
FIDOベースのソリューションをマーケットに投入しようとしているベンダー企業、FIDO認証を導入する最も効果的な方法を理解することを求めているサービス事業者などの企業・組織がFIDOアライアンスの作業部会への参加から多くのメリットを得ることになるでしょう。
メタデータサービス
FIDOアライアンスのMetadata Service(MDS)はWebベースのツールで、FIDO認証器ベンダーはFIDOサーバーにダウンロードして利用するメタデータ・ステートメントを公開できます。 これにより、FIDOサーバーを展開している組織は、FIDO認証器に関する一元化された信頼できる情報源を手に入れることができます。
FIDOアライアンスのMetadata Serviceに関するより広範なFAQはこちら(https://fidoalliance.org/metadata/)にあります。
FIDO認定
まず実装が適合性試験に合格していることを確認します。(https://fidoalliance.org/certification/functional-certification/conformance/)(事前登録が必要)
実装検証後、相互接続性試験のイベントに登録して、製品の認定に進むことができます。(https://fidoalliance.org/certification/interoperability-testing/interop-registration/)
はい。自社のWebサイト、製品の資料やパッケージ用にベンダーがFIDO認定済みであることを示すロゴがあります。
FIDO認定ロゴを使用するには、TMLA(商標ライセンス契約書)に署名する必要があります。 自社のWebサイトにFIDO認定ロゴを使用することを希望するサービス提供者のために、「クリックレス」の使用許諾契約書を含め、合理化されたプロセスがあります。(https://fidoalliance.org/fido-trademark-and-service-mark-usage-agreement-for-websites/)
FIDO実装のコードベースが実質的に変更されない限り、製品に対するFIDO認定は無期限に有効です。 実装がテストツールや相互接続性イベントに不適切に合格したと判断した場合など、稀な場合にのみ認定を無効とする場合があります。 認定は特定の仕様および実装クラス(すなわちUAF認証器など)にのみ適用されます。 仕様の新しいメジャーバージョンが(FIDO Certification Working Groupによって決定され、)リリースされた場合、実装がその仕様に適合することを主張したい場合、新しい認定が必要になります。
UAF認証器の仕様は、Vendor ID半分とDevice ID半分を一意に識別する為に使用されるAAIDフィールドを定義しています。Vendor IDは、UAF認証器を実装している各企業に対して、FIDOによって割り当てられた一意の識別子です。 AAIDフィールドのもう半分であるDevice IDは、認証器を実装している企業によって認証器ごとに割り当てられます。 UAF認証器だけがVendor IDを必要とします。
はい。 非会員でも、その実装に対してFIDO認定を取得することができます。
FIDOアライアンスの加盟企業・組織は、UAFサーバー, UAFクライアント、UAF認証器、U2Fサーバー、U2F認証器に対して、一つのFIDO認定につき$5,000のコストで認定取得可能です。派生品(Derivatives: 同じ実装コードが異なる製品に組み込まれているような場合)に対しては、各認定は$500のコストとなります。非会員の場合は、FIDO認定が$6,500、派生認定が$750となります。 これらの料金には、商標の使用許諾、相互接続性イベント、テストツールの利用とそのサポート、および文書処理が含まれています。
相互接続性試験のイベントは少なくとも90日ごとに実施されていますが、実装者の要求に基づいてより頻繁に実施することも可能です。
派生認定は、本質的に同一の実装に基づいた大量の認定を求める実装者のための認定プロセスを合理化するために設定されました。 この場合、実装者は1つの実装について認定を取得し、残りはその認定の「派生品」として登録されることになります。 派生品は、認定を取得するために相互接続性イベントに参加する必要はありませんが、派生品の実装に対し、適合性テストを実行し、合格することが必要です。 その実装は、FIDOアライアンスのテストツールと相互接続性試験を通して取得されたオリジナルの認定から実質的に変更することはできません。 実装に変更がある場合は、実装の差分に対する認定または再認定の取得が必要かどうかを判断するためにFIDO影響分析を実施する必要があります。
いいえ。ただし、FIDO認定を受けていることを示したい製品については、FIDO認定ロゴを使用する必要があります。
FIDOアライアンスのスタッフは、毎月、FIDO認定ロゴの使用状況と公表されている認定の主張を監査します。 実際の実装の監査は、市場からのフィードバックによって推進されます。 何らかの懸念が生じた場合は、Certified Logo Violationフォーム(https://fidoalliance.org/certified-logo-violation/)を通じてフィードバックを送信することができます。
FIDOアライアンスが発行した証明書は以下のフォーマットになっています。
SSSXYZAYYYYMMDD####
SSS – 仕様番号(UAFまたはU2F)
X – 仕様番号
Y – 仕様マイナー番号
Z – 仕様改訂番号
A – 仕様エラッタ番号
YYYY – 発行年
MM – 発行月
DD – 発行日
#### – 今日発行された証明書の何番目かを示す番号
いいえ。FIDO認定プログラムをパスし、認定番号を付与された製品のみが、FIDO認定を示すことができます。
はい。認定を希望する各実装クラス毎に認定の申請(および認定費用の支払い)をしなければなりません。例えば、実装したものが、FIDO UAF ServerとFIDO2 Serverの両方の認定の取得を希望するのであれば、両方の認定プロセスに従わなければなりません。(そして両方の認定費用を支払わなければなりません)このことにより、その実装は最終的に両方の認定を受けることになります。異なる仕様のテストにおける主要な違いは、それぞれ異なるテストツールを使用し、異なる相互接続試験のためのイベントがあることです。
FIDO UAFプログラムにご興味をお持ちであれば、FIDO UAF認証器のみに追加のVendor ID費用$3,000が必要となり、認定プロセスが完了し、認定される場合、認定費用に加算されます。
認定は、FIDOアライアンスが提供するテストツールを使用した仕様適合性の自己評価から始まり、その後、FIDOアライアンスが監督するテストイベントで少なくとも3つのテストパートナーとの相互接続性試験を実施します。 現時点では、認定プログラムにラボの側面はありませんが、認定作業部会(Certification Working Group)は現在、機能面におけるラボ認定プログラムを開発および実装するための要件を検討しています。 詳細は、FIDOアライアンスのWebサイトのGetting Started(https://fidoalliance.org/certification/getting-started/)ページを参照してください。
4つの主要なテスト手順があります。
1.適合性の自己検証;
テストツールを使用して、実装が仕様に準拠していることを証明します。
2.相互接続性試験;
実装者が集まって、実装を共同でテストします。
3.認定登録;
実装は認定のためにFIDOに申請されます。
4.商標契約(オプション);
FIDO認定マークを製品またはサービスで使用できるようにします。
はい、すべての認証器は追加のセキュリティ要件を満たし、少なくともレベル1(L1)認証器認定を選択する必要があります。認証器には5つの主要なテスト手順があり、選択したセキュリティのレベルによって異なります。
レベル1:
1.適合性の自己検証;
テストツールを使用して、実装が仕様に準拠していることを証明します。
2.相互接続性試験;
実装者が集まって実装を共同でテストします。
(1)認証器は、相互接続性試験の際にFIDO認証器のセキュリティ要件に基づいて追加の相互運用性を示す必要があります。
3.認証器認定プロセス;
(1)実装仕様(UAF、U2F、またはFIDO2)に従って、すべてのL1要件に
ついてアンケートに回答します。
(2)アンケートを完了したら、FIDOアライアンスに提出し、FIDOアライアンスの
セキュリティ事務局によるレビューを受けます。
4.認定登録;
実装は認定のためにFIDOに申請提出されます。認定証の発行前に
すべての認定プロセスが完了していることを確認します。
5.商標契約(オプション);
FIDO認定マークを製品またはサービスで使用できるようにします。
実装は、2つの主要な基準を満たす必要があります。(それを判断するために可能な限り)その実装が、FIDO仕様に準拠していること、そして他の実装と相互運用できることが判明していることです。
これにより、FIDO認定済みの実装によって実現される、より堅牢でシンプルな認証というFIDOの価値の恩恵を企業と消費者の両者に確実に届けることができます。
その実装が、FIDO認定の基準を満たすために、解決すべき問題点がある場合です。
いいえ。ただし、製造元は、FIDOアライアンスに登録し、FIDOアライアンスの有効なVendor IDを取得した会社でなければなりません。 メタデータには、製品がFIDO認定であるかどうかを示すフィールドがあり、FIDO認定済みの製品かどうかを判断することが可能となっています。
バイオメトリック プログラム
バイオメトリクス部品認定プログラム – 業界全体としてある程度の規模を持った最初のプログラムとなります。
このプログラムは、FIDOアライアンスから認定された独立したラボを利用して、バイオメトリクスのサブコンポーネントが、生体情報の認識パフォーマンスとプレゼンテーション攻撃検出(PAD: Presentation Attack Detection)において世界的に認められたパフォーマンス基準を満たし、商用利用に適していることを証明するものです。
FIDOアライアンスは、新たなバイオメトリクス部品認定プログラムを通じて、生体情報の認識システムの提供者と、その利用者にいくつかのメリットを提供することを目指しています。 これまでは、生体情報の認識システムを利用する企業で、そのようなレビュー実施することが可能な能力を持っている企業だけがそれを実行できていました。 これには、生体情報の認識システムを提供するベンダーが各企業顧客に対し、そのパフォーマンスを繰り返し証明する必要がありました。
FIDOアライアンスのこのプログラムを使用すると、ベンダーはシステムのパフォーマンスを検証するために1回だけテストと認定を行い、その第三者の検証結果を潜在顧客向けや既存の顧客に対して再利用できるため、時間とコストを大幅に節約できます。 規制対象の産業におけるオンラインサービス事業者、OEM、企業などの顧客にとっては、指紋、虹彩、顔、音声等、それぞれの認識に依存している生体情報の認識システムがユーザーを確実に識別し、プレゼンテーション攻撃を検出可能であることを信頼するための標準化された方法を提供します。
いいえ、バイオメトリクス部品認定プログラムはFIDO認定プログラムとは違います。FIDO認定を取得するためには、FIDO認証器認定プログラムのプロセスを経る必要があります。FIDO認証器認定プログラムは、生体情報を識別する認証器が暗号学的観点からFIDO仕様に準拠しているか、マーケットにおいて他の製品との相互運用性があるか、生体情報の認識パフォーマンスに加えて、特定のセキュリティ要件を満たしているかを検証するものになります。
生体情報を認識するためのセンサーを持つ認証器にとって、バイオメトリクスのサブコンポーネント認定は高レベルのFIDO認証器セキュリティ要件を達成するために必要ですが、より低レベルの保証で良い認証器の場合にはオプションとなります。FIDO認証器認定プログラムを問題なく完了した認証器のみがFIDO認定の商標を使うことが可能です。
バイオメトリクス部品認定プログラム要件はISO標準であるISO/IEC 19795とISO/IEC 30107に従って開発されました。
いいえ、テストはFIDOアライアンスが認定したサードパーティのラボによって実施されます。認定ラボについては以下をご参照ください。
https://fidoalliance.org/certification/biometric-component-certification/fido-accredited-biometric-laboratories/
認定されたラボのリストと認定プロセスの詳細については、以下をご参照ください。https://fidoalliance.org/certification/biometric-component-certification/fido-accredited-biometric-laboratories/
バイオメトリクス部品認定プログラムのテストプロセスの概要については、以下をご参照ください。https://fidoalliance.org/certification/biometric-component-certification/
すべてのバイオメトリクス認証器サブコンポーネントが(認定プログラムに)参加可能です。
https://fidoalliance.org/certification/biometric-component-certification/
認定を達成した認証器ベンダーはBiometric Subcomponent Certificate(バイオメトリクス部品認定)を獲得します。認定書はFIDOアライアンスと、認定ラボによって明確に定義・管理されているテストをパスしたことを示すものとなります。
本プログラムに関心のあるバイオメトリクス・テクノロジー・サプライヤーは、以下をご参照ください。https://fidoalliance.org/biometric-component-certification/
FIDO & Regulation
すでに市場で利用可能な800を超えるFIDO認定製品(2021年4月現在)によって、FIDO認証は組織がGDPRの厳格な要件を満たすシンプルで強固な認証を実現する最善の方法であると言えるでしょう。(同時にユーザー体験を向上させることにもつながります。)
詳細は、”FIDO Authentication and the General Data Protection Regulation (GDPR)“をご参照ください。
はい! FIDO標準は、トランザクションの利便性に対する組織およびユーザーの要求を満たしながら、PSD2 SCA要件を満たすための展開が容易な方法を組織に提供します。ホワイトペーパーの”FIDO&PSD2: Meeting the Needs for Strong Consumer Authentication.“で、その理由と方法について詳しく説明しています。
パスキー
パスキー(Passkeys)はパスワードの置き換えとなり、ユーザーが保持するデバイスをまたがって、ウェブサイトやアプリへの迅速で、容易かつ、より安全なサインインを提供します。パスワードとは異なり、パスキーはフィッシング耐性があり、常に堅牢で、秘密(シークレット)を共有することがないように設計されています。
アプリやウェブサイトのアカウント登録を簡素化し、使いやすく、ユーザーのすべてのデバイス、さらには物理的に近接した他のデバイスでも機能します。
技術的な観点からは、パスキーはパスワードレス認証のための「発見可能な」FIDO認証資格情報です。暗号鍵は、安全なユーザー認証に使用されるエンドユーザーデバイス(パソコン、スマートフォン、またはセキュリティキー)から使用されます。
スマートフォンやパソコンのOSで管理されているパスキーは、クラウドサービスを介してユーザーのデバイス間で自動的に同期されます。クラウドサービスは、FIDO認証資格情報の暗号化されたコピーも保存します。1つのデバイスからのみパスキーを利用可能とし、FIDO認証資格情報のコピーを不可とするような設計をすることも可能です。このようなパスキーは、「単一デバイスパスキー」と呼ばれることがあります。たとえば、物理的なセキュリティキーは、複数の単一デバイスパスキーを含むことができます。 「パスキー」という単語は普通名詞で、「パスワード」と同じような意味合いと考えてください。英文表記の場合、文頭を除いては小文字でpasskeyと記載してください。
「パスキー」という用語は、クロスプラットフォームの汎用用語であり、特定のプラットフォームでのみ提供される機能ではありません。
パスキーの主な用途は、アカウント認証の第一/主要な要素としてパスワードを置き換えることです。
例えば、ユーザーはスマートフォンでパスワードの代わりにパスキーを使ってウェブサービスにサインインすることができます。スマートフォンベースのパスキーはユーザーのすべてのデバイスで同期されるため、新しいスマートフォンに機種変更する際にもシームレスに移行することができます。
ユーザーはウェブサイトやアプリへのサインインを求められたとき、デバイス(スマートフォン、パソコンまたはセキュリティキー)のロック解除をするのと同じ生体情報やPIN情報を使って、サインインを承認します。アプリやウェブサイトは、従来のユーザー名とパスワードの代わりに、このメカニズムを利用できます。
はい。ユーザーのデバイス(スマートフォン、パソコン、セキュリティキー)にてローカルで実行している生体情報処理に変更はありません。生体情報と、その処理はデバイスに留まり、リモートのサーバーに送られることはありません。(サーバーは生体情報の検証が成功したことの保証を確認するだけです)
長年にわたり、パスワードの使いまわしやデータベースに対する侵害の横行により、パスワードはフィッシング攻撃やクレデンシャルスタッフィング攻撃の対象になってきました。
第一の要素であるパスワードは、根本的に複数の点で問題があるため、業界では、第二の要素を追加する方法が広く採用されています。しかし、残念なことに、ワンタイムパスワード(OTP)や電話による承認など、最も一般的な第二の要素は、不便でありかつ安全ではありません。これらはフィッシング攻撃の対象となる可能性があり、実際、大規模なフィッシング被害が発生しています。
パスキーはFIDO認証資格情報なので、単独で「パスワード+OTP」または「パスワード+電話による承認」の組み合わせよりも安全な第一の要素を手に入れることができます。
パスキーの同期はエンドツーエンドで暗号化されており、同期を提供するOSプラットフォーマー(*1)は強力なアカウントセキュリティ保護機能を備えています。
(*1)現時点では、Apple, Google, Microsoftが対応を表明しています。
さらに、できるだけ多くの場面でパスワードを置き換えることにより、サインインをより簡単に、根本的に安全にすることをミッションとするFIDOにとって、同期が非常に重要となります。
なぜなら、パスワードを置き換えるということは、3つの側面でパスワードに対して優位性を持つことを意味するからです。
- スピード:パスワードを生成または使用するよりも高速であるべきです。
- 利便性:パスワードを使用するよりも便利であるべきです。最低限でもパスワードと同じくらい便利であるべきです。
- セキュリティ:フィッシング耐性があり、アプリ/ウェブサイト/サービスごとに一意であることが保証されている必要があります。
スピード
パスキーを生成することで、ユーザーはパスワード利用に求められる複雑な要件に対応する必要がなくなります。登録は生体認証やPINコードの入力と同じくらい簡単で、パスキーによるサインインも生体認証やPINコードだけでよく、どちらもパスワードの入力より高速です。
利便性
パスワードの代替に求められる利用のしやすさは、パスワードの利便性と同等かそれ以上であることが必要です。利用しやすいという視点からのパスワードの主な利点の1つは、どのデバイスからでも使用できることです。
同期することで、同期を提供する同じOSプラットフォーマーを利用しているユーザーのすべてのデバイスからパスキーを利用できるようになります。また、パスワードと同様に、他のデバイスからウェブサイトを訪問しても、認証資格情報の登録/生成フローを経る必要はありません。Bluetooth Low Energy(BLE)を使用して物理的な近接性を確認するFIDOアライアンスのClient to Authenticator Protocol(CTAP)の機能強化によって、OSプラットフォームをまたがるデバイス間でのサインインがサポートされています。
暗号鍵がユーザーのパソコンまたはモバイル・デバイスに紐付けされている場合、ユーザーが新しいデバイスを取得するたびに、RP(Relying Party, サービス提供者)は他の認証方法(通常はパスワードなどの知識ベースの認証資格情報)にフォールバックする必要があります。実際には、新しいデバイスでの最初のサインインが不便となり、フィッシング攻撃の対象になりえます。
パスキーは、そのデバイスからユーザーがウェブサイトに最初にサインインする際、必要に応じてユーザーのデバイスで利用できるため、この問題を解決することができます。
また、パスワードを忘れてしまったり、メールや電話番号のバックアップをとっていなかったりすることもあります。パスキーの場合は、デバイスさえあればサインインできるので、忘れることはありません。また、パスキーはバックアップが可能なため、紛失防止にも役立ちます。
セキュリティ
FIDO認証資格情報であるパスキーは、(フィッシング、クレデンシャルスタッフィング、パスワードデータベース侵害などの脅威に常に直面している)RP(Relying Party, サービス提供者)が、パスワードをFIDO認証資格情報に置き換えることを可能にするものです。FIDO は、非対称暗号に基づくチャレンジ・レスポンス認証プロトコルをRPに提供します。これは、フィッシング耐性があり、サーバー上に秘密(シークレット)を保持しないことを意味し、結果としてセキュリティにおける大きな前進となります。
フィッシング耐性は、FIDO認証の中核となる設計目標です。この目標は、暗号鍵がハードウェアに紐付けされているか否かにかかわらず、サインイン時に達成されます。さらに、攻撃者にとってパスワードデータベースに対する侵害は魅力的な攻撃ですが、盗むべきパスワードが存在しないため、もはや脅威とはなりません。
また、パスワードを忘れてしまったり、メールや電話番号のバックアップをとっていなかったりすることもあります。パスキーの場合は、デバイスさえあればサインインできるので、忘れることはありません。また、パスキーはバックアップが可能なため、紛失防止にも役立ちます。
RP(Relying Party, サービス提供者)はRPのウェブサイトやアプリにサインインするのにパスキーを使う場合、それらに対応するWebAuthn(Webサイト用)とプラットフォームから提供されるFIDO API(アプリ用)を使うことになります。パスキーは主要なモバイルOSやパソコンOSおよびブラウザで、そのサポートが組み込まれる予定です。
ユーザーのすべてのデバイスに自動的に同期するOSプラットフォームに組み込まれたパスキーは、現在利用可能か、近い将来に利用可能となります。
- Apple社は、2022年9月にiOS 16ですでにサポート済みで、2022年10月にiPadOS 16とmacOS Venturaでサポート済みです。
- Google社は、2022年10月にAndroidやChromeでのサポートを発表し、2023年までにChromeOSでのパスキーのサポートを計画しています。Android版Chromeではすでにサポート済みです。
- Microsoft Windowsでは、2023年にサポートを提供する予定です。
ほとんどのプラットフォームでは、スマートフォンやセキュリティキーなど、近くにあるデバイスからのパスキーによるサインインにすでに対応しています。 これらは以下の通りです。
- WindowsのMicrosoft EdgeとGoogle Chrome
- macOSのEdge、Safari、Google Chrome
- ChromeOS
詳しくは、次の2つの質問もご参照ください。パスキーは、2019年からすべてのOSプラットフォームとブラウザで利用できるようになった同じWebAuthn APIを使用してアクセスされます。パスキーのデバイスをまたがっての同期は、利用者が意識することなく、OSによって管理されます。
OSプラットフォームでは、デバイス(スマートフォンやノートパソコンなど)のパスキーが、ユーザーのプラットフォーム・アカウント(iOS/macOSではApple ID、Android/ChromeOSではGoogleアカウント、WindowsではMicrosoftアカウント)に紐付いてOSプラットフォームが管理するクラウドに同期される機能が実装されています。パスキーの同期はエンドツーエンドで暗号化されています。
ユーザーが自身のデバイスのどれかでパスキーを生成した時、同じOSプラットフォームを使っているユーザーの他のデバイスのすべてで同期を取ることができます。このように、パスキーは一つのデバイスで生成されれば、すべてのデバイスで利用可能となります。
注目すべきは、ユーザーが同じプラットフォームOSを搭載した新しいデバイスを入手し、プラットフォーム・アカウントで設定した場合、ユーザーのパスキーは新しいデバイスに同期され、新しいデバイス上でRP(Relying Party, サービス提供者)のサービス(ウェブサイトやアプリ)にサインインする際に利用可能になる点です。
例を用いて説明します。ユーザーがRP(Relying Party, サービス提供者)の提供するサービス向けのパスキーをすでに保持しているAndroidスマートフォンを持っているとします。そのユーザーが過去にサインインしたことのないWindowsコンピュータからRPの提供するウェブサイトへサインインしたい場合を考えます。
ユーザーはWindowsコンピュータ上でRPのウェブサイトにアクセスします。それからRPのウェブサイトのログイン画面に表示されたサインイン・ボタンをクリックします。この時、他のデバイスを使ってRPのウェブサイトにサインインするオプションがあることが表示され、そのオプションを選択すると画面上にQRコードが表示されます。
他のデバイス(ユーザーのAndroidスマートフォン)がWindowsコンピュータに物理的に十分近接(BLE通信が可能な範囲)している他のデバイス(ユーザーのAndroidスマートフォン)からQRコードを読み込めば、ユーザーにはAndroid OSからのポップアップ・メッセージが表示されます。そのメッセージでは「このデバイスの近くにあるコンピュータからRPのウェブサイトにサインインしようとしています。次のアカウントが選択できます。」と示され、選択を促します。ユーザーはアカウントを選択すると、Android OSでは「選択したアカウントでコンピュータからサインインすることを承認する場合にはロック解除の操作を実行してください。」と表示され、ユーザーはロック解除の操作を実行し、ウェブサイトにサインインします。
別の方法では、RP(Relying Party, サービス提供者)にすでに登録済みのセキュリティキー・デバイスを使って、ユーザーはかなり似たようなフローでサインインを実行できます。ユーザーはWindowsコンピュータ上でRPのウェブサイトにアクセスします。RPの認証画面に「サインイン」ボタンが表示されるので、そのボタンを押します。RPが認証を求めた時、ユーザーはセキュリティキー・デバイスを挿入し、生体情報またはPINでセキュリティキーのロック解除を行い、ウェブサイトへサインインします。
上記の例で示されたフローはユーザーのスマートフォンのOSや、サインイン対象のデバイス(例えば、パソコン、タブレット端末、テレビ等)上で利用可能なOSとブラウザに関係なく、動作します。またはユーザーが持つFIDO準拠のセキュリティキーのモデルに関係なく動作します。
上記で示されたフローは、Chrome OS、Windows、MacおよびLinux上のGoogle ChromeおよびMicrosoft Edgeで利用可能です。
CTAP2.2を使ったデバイスをまたがるFIDO認証フローは、物理的な近接性を確認するためにBluetooth Low Energy(BLE)を使用し、サインインの実際のセキュリティについてはBluetoothセキュリティプロパティに依存することはありません。データを保護するために「hybrid」と名付けられたCTAPの通信は、標準のBluetoothのセキュリティ特性に加えて、標準的な暗号化技術を使用しています。
パスキーはユーザーのデバイス上で保持されており(ユーザーが「保持」するもの)、RP(Relying Party, サービス提供者)がユーザー検証を要求した場合、ユーザーは生体情報(ユーザー「自身」を表すもの)またはPIN(ユーザーが「知っている」もの)と組み合わせた場合にのみに使うことができます。したがって、パスキーを使った認証は多要素認証の大原則に則っています。
RPは、デバイス上に存在するパスキーがOSプラットフォーム・ベンダーのアカウントから単一の要素(例えばパスワード)によって、攻撃者が利用可能になることを懸念しているかもしれません。OSプラットフォーム・ベンダーは、ユーザーを認証し、デバイスにパスキーを復元する際に、ユーザーのパスワード以外の複数の検知手段(ユーザーが認識可能なもの、認識できないものを含む)を考慮していますので、懸念には及びません。
いくつかの法律・規制に対する準拠という観点からは、パスキーが多要素の1つとして公式にリストアップされるには、時間を要すると考えられることに留意してください。これは、現在FIDOアライアンスが積極的に取り組んでいる分野です。
ユーザーが使用していたデバイスをまだ保持しているなら、ユーザーは使用していたデバイス(例えばAndroidデバイス)上のパスキーを使って、新たなデバイス(例えばiOSデバイス)にサインインします。いったんサインインすれば、ユーザーは新しいプラットフォーム・アカウントにパスキーを生成可能です。
ユーザーがFIDOセキュリティキーを持っているなら、セキュリティキーを使って、新しいデバイスで安全に認証を実行できます。
ユーザーが使用していたデバイスやセキュリティキーを持っていない場合、通常のアカウント・リカバリ状態として、RPは新しいデバイス、もしくは異なるベンダーからのサインインとして扱い、ユーザーのサインインに適した手順を実行します。
セキュリティキーは現在、一つのデバイスでのみで利用可能であるFIDO認証資格情報をサポートしています。OSプラットフォームが管理するクラウドで複数のデバイスで同期可能なパスキーのサポートについては、今後サポートを検討中です。詳しくは各セキュリティキー・ベンダーにご確認下さい。