テクノロジーの進化とともに、政策も進化する必要がある。
世界市場は、認証技術をめぐるイノベーションであふれかえっているが、政府機関のセキュリ ティとユーザビリティのニーズを満たすのに適したソリューションもある。
FIDO アライアンスは、そのワーキング・グループおよびメンバーの公共政策リードを 通じて、FIDO 仕様が強力な認証のためのより新しくより良い選択肢をどのように提供する かについて世界中の政策立案者と有意義な議論を行い、関連する政策の更新を推奨している。
FIDOアライアンスは、政策立案者に向けて次のような重要なポイントを挙げている:
- 二要素認証は、もはや高い負担やコストをもたらすものではない。 この声明は、従来のMFA技術にも当てはまりますが、FIDOは特にこれらのコストとユーザビリティの問題に対処し、政府、企業、消費者が容易に大規模に採用できる、よりシンプルで強力な認証機能を実現します。
- 現在、技術は十分に成熟し、1つのデバイスで2つの安全で異なる認証要素を可能にする。 モバイル・デバイスの進化、特に、TEE、SE、TPMといった高度に堅牢で分離された実行環境を提供するハードウェア・アーキテクチャの進化により、これらのデバイスは、物理的に異なるトークンを必要とすることなく、高度なセキュリティを実現できるようになった。 このことは、すでに米国政府と欧州銀行監督機構(EBA)によって認識されている。
- 政府が強力な認証を推進または要求する際には、それが「正しい」認証であることを確認する。 政府は、利用者に多大なコストと負担を課すことで採用を妨げる可能性のある「古い」 認証技術に関する規則を構築すべきではない。また、利用者を危険にさらすセキュリ ティやプライバシーの問題がある認証技術に関する規則を構築すべきではない。
認証要件に取り組む政策立案者は、こちらのフォームに記入することで、FIDOアライアンスからのブリーフィングをリクエストすることができる。
世界中の政府がFIDOを導入している。 FIDO政府展開のページでそれらについて学んでください。
FIDOアライアンス公共政策提出書類
FIDOアライアンスの経済産業省への意見(2024年4月):本意見書では、FIDOアライアンスが経済産業省「IoT製品セキュリティ適合性評価制度方針(案)」に対して意見を述べる。
FIDOアライアンスのBRSAへの意見書(2024年1月):このインプット文書において、FIDOアライアンスはトルコ銀行規制監督庁(BRSA)の通達2023/1に対してコメントしている。
FIDOアライアンスのNISTへのインプット(2024年1月):この入力文書では、FIDOアライアンスはNIST SP 800-171r3に対してコメントしています:連邦政府以外のシステムおよび組織における管理された非分類情報(CUI)の保護。
FIDOアライアンスは、請負業者向けのUSG提案されたFAR条項(2023年11月)に対する意見を提出した:このインプット文書では、FIDOアライアンスはFARケース2021-019: Standardizing Cybersecurity Requirements for Unclassified Federal Information Systemsに対してコメントしている。
FIDOアライアンス、ニューヨーク金融サービス局(DFS)に意見(2023年8月):
本入力文書において、FIDOアライアンスはDFS-23 NYCRR 500 -金融サービス会社に対するサイバーセキュリティ要件-規則の改訂第2次修正案に対してコメントしている。
FIDOアライアンスがNISTにインプット(2023年6月):
この入力文書では、FIDOアライアンスはNIST – Identity and Access Management Roadmap (Draft)に対してコメントしている。
FIDOアライアンスのNISTへのインプット(2023年4月)とコメントテンプレート:
この入力文書では、FIDO アライアンスは NIST – SP 800-63-4 デジタル ID ガイドライン(草案)に対してコメントする。
FIDOアライアンス、CFPBに意見(2023年1月):
本意見書において、FIDOアライアンスは、CFPB-中小企業諮問検討委員会(Personal Financial Date Rightsに関する必要な規則制定に関する検討委員会)に対してコメントしている。
FIDOアライアンスがDFSにインプット(2023年1月):
このインプット文書において、FIDOアライアンスはDFS – Proposed Cybersecurity Requirements for Financial Services Companies – 23 NYCRR Part 500に対してコメントしている。
FIDOアライアンス、DFSに意見(2022年8月):
このインプット文書において、FIDOアライアンスはDFS – Proposed Cybersecurity Requirements for Financial Services Companiesに対してコメントしている。
FIDOアライアンスのSECへのインプット(2022年4月):
この意見書において、FIDOアライアンスはSEC-投資顧問会社、登録投資会社、事業開発会社のためのサイバーセキュリティリスク管理規則案-にコメントしている。
FIDOアライアンス、FCCに意見(2021年11月):
この意見書において、FIDOアライアンスはFCC – SIMスワッピングおよびポートアウト詐欺を防止するための規則に関するNPRMにコメントしている。
FIDOアライアンスがNISTにインプット(2021年10月):
本意見書において、FIDOアライアンスはNISTのIoTデバイスの消費者ラベリングについてコメントしている。
FIDOアライアンス 欧州委員会へのインプット(2021年10月):
この意見書において、FIDOアライアンスは欧州委員会 – eIDAS 2.0におけるFIDO標準の使用についてコメントしている。
FIDOアライアンス CISAへのインプット(2021年10月):
本入力文書において、FIDOアライアンスはゼロトラスト成熟度モデルおよびクラウドセキュリティテクニカルリファレンスアーキテクチャ草案についてコメントしている。
FIDOアライアンスのOMBへのインプット(2021年9月):
この意見書において、FIDOアライアンスはホワイトハウス行政管理予算局(OMB)が公表した連邦ゼロトラスト戦略草案についてコメントしている。
FIDOアライアンスがNISTにインプット(2021年2月):
本意見書において、FIDOアライアンスはNISTの連邦政府機関およびIoTデバイス製造業者向けガイダンス草案についてコメントしている。
消費者金融保護局へのFIDOアライアンス・インプット(2021年2月):
本入力文書において、FIDOアライアンスは消費者金融保護局(CFPB)に対し、消費者の金融記録へのアクセスについてコメントしている。
FIDOアライアンスがNISTにインプット(2020年10月):
本入力文書において、FIDOアライアンスはNISTの「信頼されたモノのインターネット(IoT)デバイスネットワークレイヤーのOnboardingとライフサイクル管理に関する草案」についてコメントしている。
FIDOアライアンス 欧州委員会へのインプット(2020年9月):
本意見書において、FIDOアライアンスは、eIDASの将来に関する欧州委員会(EC)の初期影響評価(Inception Impact Assessment)についてコメントしている。 FIDOアライアンスは、ECの検討のために4つの分野でコメントしている: 1.認証に関して – EC は、LOA High ソリューションが高保証認証を必要とすることを保証す べきである。 2.オプション2によるeIDASの民間部門への拡張は、多くの企業に受け入れられるだろう。 3.物理的な ID 文書のデジタル・バージョンを作成するための新たな選択肢を設けることで、 すべての欧州人が恩恵を受けることができる。 4.事前承認された ID 製品の相互承認と再使用。
FIDOアライアンス、米国国立標準技術研究所(NIST)に意見(2020年8月):
この意見書では、FIDO アライアンスは NIST のデジタル ID ガイドラインに関する意見募集のプレドラフトに対 してコメントしている。 FIDOアライアンスは、NISTの検討に向け、3つの分野でコメントを提供する: 1.SP 800-63-3 の発行以降の脅威と技術の変化を認識する。 2.AAL3 – 新しい道を探る。 3.FIDO 標準への言及。
FIDOアライアンス、麻薬取締局(DEA)に意見(2020年6月):
本意見書において、FIDO アライアンスは Docket No. DEA-218I、麻薬取締局(DEA)による規制薬物電子処方(EPCS)の暫定最終規則に関する意見募集。 FIDO アライアンスは、4 つの部分に分けてコメントしており、中間最終規則の認証要件に 焦点を当てた意見募集の部分に主に焦点を当てている: 1.現在の規制と過去10年間のテクノロジーの進化についての見解。 2.FIDO認証およびFIDOアライアンス認定プログラムの紹介。 3.意見募集に記載されたDEAの特定の質問に対する回答。 4.技術や脅威が進化する中で、DEAが改正されたEPCS規制を最新に保つための方法についての提案。
FIDO標準がPSD2の強力な顧客認証に関する規制技術基準要件をどのように満たしているか (2018年12月):
本書は、PSD2 における強固な顧客認証および共通かつ安全なオープン通信規格のための規制技術基準(RTS)に記載されているセキュリティ要件の詳細なレビューを提供し、FIDO 標準がどのようにそのような要件を満たすかを説明する。
GDPRにおけるFIDOの関連性に関するFAQ (2018年9月):
本書は、欧州一般データ保護規則(General Data Protection Regulation)の観点から、認証、ユーザー同意、バイオメトリクスの使用…に関する質問への回答を提供するものである。 FIDO認証が、サービス・プロバイダーの規制遵守にどのように役立つかを示している。
決済サービス指令2に関するFIDOアライアンス書簡(2017年8月):
FIDOアライアンスは欧州委員会と欧州議会に対し、PSD2の下でのフォールバックオプションとしてスクリーンスクレイピングを認めるべきかどうかについて書簡を送った。
FIDOアライアンス 米国国立標準技術研究所(NIST)への意見:重要インフラのサイバーセキュリティ向上のためのフレームワークに関する情報提供要請(RFI)(2017年4月):
サイバーセキュリティフレームワークの変更案に関するNISTへの意見において、FIDOアライアンスは、NISTがその文言を明確にし、フレームワークの次回の更新においてMFAを明示的に要求することを推奨している。 アライアンスは、NISTに対し、フレームワークのコアに「認証」サブカテゴリを新たに追加し、「許可されたユーザーの認証は複数の要素によって保護される」ことを推奨するよう要請しています。 この文言で MFA を明示的に取り上げることは、脆弱な認証によって増大するリスクに政府 と業界が対処するために必要であり、フレームワークの適切な更新の一部となるべきである。
欧州銀行監督機構(EBA)の「改正決済サービス指令(PSD2)に基づく強固な顧客認証とセキュアな通信に関する今後の規制技術基準案に関するディスカッション・ペーパー」に対する回答
EBA に対するこの回答の中で、FIDO アライアンスは、セキュリティのベストプラクティスに従った FIDO 準拠の実装が、PSD2 の「強力な顧客認証」に関する EBA の規制が育成しようとしている理想的な例、すなわち加盟店や消費者が大規模に採用する、よりシンプルで強力な認証機能であることを詳述している。 この回答はまた、EBAがFIDOの公開鍵暗号アーキテクチャを受け入れることで、特にデバイス上の生体認証と組み合わせた場合、決済サービスプロバイダーの脆弱性表面が減少し、その結果オンライン詐欺率も減少すると推定され、ユーザー体験の摩擦が減少することでオンライン決済量全体が加速することを説明している。
FIDOプライバシーFIDOアライアンス・ホワイトペーパー
このホワイトペーパーでは、FIDOプロトコルの設計においてプライバシーがどのように考慮されているか、また、特定の規制当局からのプライバシー要件を満たすためにどのように役立つかについて説明する。