投稿者: FIDO アライアンス スタッフ
欧州連合(EU)では、デジタルセキュリティ、プライバシー、認証の状況が急速に進化しており、市民だけでなく世界中の企業にも幅広い影響を与える可能性のある新しい規制が導入されています。
6月17日に開催された「Authenticate Virtual Summit: Focus on Europe」では、欧州の認証市場の専門家が、PSD2 SCA(Payment Services Directive Strong Customer Authentication)、委任認証、eIDAS(電子ID化、認証、トラストサービス)、EUデジタルウォレットなどの最新の動向に関する洞察を提供しました。
バーチャルサミットの開会にあたり、 FIDO アライアンス のエグゼクティブディレクター兼CMOであるAndrew Shikiar氏は、FIDO仕様の仕組みと、eコマース、モノのインターネット(IoT)、ID検証などの複数のユースケースで強力な認証が不可欠である理由について概説しました。
「FIDOの当初からの目標は、パスワードへの依存度を確実に減らすことでしたが、データ侵害の大部分は脆弱な認証情報によって引き起こされるため、ある意味では、それは目的を達成するための手段に過ぎず、データ侵害の問題に対処しようとしています」とShikiar氏は述べています。
FIDOが前進するにつれて、より適切で安全なアカウント回復をサポートするために、本人確認の保証を強化する必要があります。 その一環として、シキア氏は、 FIDO アライアンス がIdentity Verification & Binding Working Group(IDWG)を立ち上げ、その作業を推進していると指摘しました。
「私たちは、所持に基づく本人確認のベストプラクティスを確立しようとしています」とShikiar氏は述べています。 「これにより、より安全で、より簡単で、より強力なアカウント復旧が可能になるだけでなく、ハッカーがアカウント復旧プロセスをソーシャルエンジニアリングによるアカウント乗っ取りのきっかけとして利用するのを防ぐことができます。」
カート放棄の抑制に貢献
eコマースの成功と強力な認証の間には明確な関係があると、NokNokの製品担当バイスプレジデントであるRolf Lindemann氏は述べています。
Lindermann氏は、パンデミックの間、eコマースはかつてないほど急速に成長したと指摘しました。 しかし、クレジットカードのオンライン決済の13%が完了していないことから、カート放棄が依然としてビジネスに大きな影響を与えていることは明らかです。
「私たちは、一般的に認証の摩擦がカード放棄の主な要因であることを学びました」とLindermann氏は述べています。 「オンライン認証がすべてのオンライン取引の中核であることを考えると、これは明らかです。認証は、デジタルサービス全般への玄関口です」
認証の摩擦を減らすにはFIDOの使用が必要であり、Lindermann氏は、FIDOは、1つの便利なステップで実装できる強力な顧客認証を可能にするのに役立つと述べています。
強力に認証されたデジタルIDに向けて
ヨーロッパをはじめとする世界各地では、何らかの形でデジタルIDを有効にし、提供する必要性についての議論が高まっています。 Consult Hyperionの最高執行責任者(COO)であるスティーブ・パニファー氏によると、デジタルIDは、識別、認証、承認の3つで構成されています。
パニファーは、識別とは、その人物が実在し、ユニークで、識別可能であるかという質問をすることであると説明しました。 認証とは、サービスプロバイダーが過去のある時点でIDを確立した人物と同一人物であるかどうかを知りたいため、識別された人物がサービスを再び利用するためにやってくることを認識するプロセスです。 承認は、ID と認証を使用してサービスにアクセスすることで、すべてを結び付けます。
「デジタルIDはそれ自体が手段ではなく、目的を達成するための手段です」とPannifer氏は述べています。 「それが役立っているのは、私がアクセスしようとしているすべてのサービスです。」
Keylessの共同創業者兼COOであるFabian Eberle氏も、デジタルアイデンティティを強く信じています。 セッションで、Eberle氏は、個人のID管理のための分散型システムの必要性を概説しました。 このようなシステムにより、ユーザーは自分の ID 情報を管理でき、その ID データをよりプライベートで安全な方法で選択的に開示できます。
Eberle氏は、LUISS Guido Carli Universityでは、現在10,000人以上の学生が、リモート教育サービスのサポートに役立つデジタルIDシステムの恩恵を受けていると述べています。 キーレスアプローチは、摩擦のないアプローチでデバイスを認証し、学生を識別するのに役立つFIDO標準の恩恵を受けます。
欧州のデジタルアイデンティティ:eIDAS
欧州連合(EU)では、各国のデジタルIDスキームを相互承認するための法的枠組みである eIDAS と呼ばれる取り組みがあります。
「eIDASの目的は、欧州各国の市民がEUの公共サービスに国境を越えたアクセスを提供することです」と、YubicoのシニアソリューションアーキテクトであるSebastian Elfors氏は説明します。
FIDO標準は、eIDASの取り組みを支援するために、欧州各国政府で採用が進んでいます。 Elfors氏が強調したのは、ノルウェーの医療認証、スウェーデンの大学向けのEduID、英国の国民保健サービス(NHS)です。
FIDO規格は、チェコ共和国のCZにも役立っています。mojedID(チェコ語でmy ID)サービスも運営するNICトップレベルドメインレジストリ。
Jaromi Talir、CZのテクニカルフェロー。NICとeIDASテクニカルサブグループのメンバーは、ドメインレジストリにはドメイン所有者のIDを認証する要件があると説明しました。 この要件は、2019年からFIDO標準を使用しているmojeIDの作成につながりました。 Talir は、CZ.NICはFIDOを使用して、ユーザーIDの認証を支援する多要素の強力な認証ベースのアプローチをサポートします。
FIDOを使用して委任認証をサポートする
2021年に施行された欧州連合(EU)の決済サービス指令「強力な顧客認証(PSD2 SCA)」により、加盟店が決済プロバイダーで消費者を認証するための非常に厳しい要件が課せられています。
パネルディスカッションで、Mastercardの製品開発担当バイスプレジデントであるJonathan Grossar氏は、PSD2 SCAの導入から数か月以内に、消費者が放棄した取引の数が増加しているとコメントしました。
「PSD2 SCAの問題は、消費者が2回認証しなければならないことです」とGrossar siad氏は述べています。 「まず、加盟店が口座またはファイルに保存されているカードにアクセスできるようにし、次に銀行と取引を行い、場合によっては別の認証メカニズムで取引を行います。」
これらすべての余分なステップは、マーチャントと消費者の両方にさらなる摩擦と複雑さをもたらしますが、委任認証と呼ばれるアプローチで軽減できます。 Grossar氏は、委任認証では、認証部分全体が加盟店によって安全なメカニズムで処理されると説明しました。 FIDO規格とEMVcoの 3Dセキュア 規格を組み合わせて使用し、認証とリスクデータを共有することが、Grossar氏の見解です。
「FIDOは、複数のデバイスやプラットフォーム間で相互運用可能です」とGrossar氏は述べています。 「要するに、現在、FIDOに対応した何十億ものデバイスがあり、委任認証に使用できる可能性があるのです」
AmazonのEU Payment Acceptance & International ExpansionのプリンシパルであるJason Muncey氏も、委任認証にFIDOを使用することについて楽観的です。 Muncey氏は、PSD2 SCA要件以前から、カートの放棄はすべての加盟店が抱えなければならなかった苦痛だったとコメントしています。 彼の見解では、何らかの形で一貫したアプローチをとることが本当に必要だ。
Worldpayのプロダクトディレクター兼認証責任者であるLee Goddard氏も、その購入プロセスにはある程度の放棄の可能性が常にあると指摘しています。
「委任認証に対するFIDOのアプローチは、ますます多くの放棄をなくすために、物事をさらに一歩進めると思います」と彼女は述べています。
ヨーロッパにおけるリモート本人確認
パンデミックにより、対面での本人確認が困難になり、ヨーロッパや世界の他の地域でリモートの本人確認を増やす必要性が生じました。
パネルディスカッションで、Jumioの製品管理担当シニアディレクターであるSantosh Rajvaidya氏は、ヨーロッパではこれまで、リモートID検証に関して一貫したアプローチがないと指摘しました。 この状況は、欧州委員会による新しいデジタルIDウォレットのアプローチによって変化し、正しい方向への第一歩となる可能性があります。
「デジタルIDウォレットで何が起こっているかというと、IDを1回だけ検証すると、IDがデジタルIDウォレットに作成されます」とRajvaidya氏は述べています。 「そこから、ユーザーはさまざまなアプリケーションで何度も再利用できます」。
現在、FIDO内にはID検証およびバインディングワーキンググループIDWGがあり、リモートでの本人確認の取り組みにも役立つ作業を行っています。 IDnowのレギュラトリー・アフェアーズ責任者であるRayissa Armata氏は、検証に関しては、ユーザーエクスペリエンスと利便性が重要な属性であるとコメントしています。
「ほとんどのユーザーは、自分のアイデンティティやデータのプライバシーを気にせず、チェックボックスにチェックを入れて次に進み、ただサービスを受けたいだけです」と彼女は言います。
FIDO アライアンスのエグゼクティブディレクター兼CMOであるAndrew Shikiar氏は、バーチャルAuthenticate Summitの締めくくりとして、FIDO アライアンスは今日、ヨーロッパおよび世界中で非常に良い位置にあることを強調しました。
「FIDO認証を採用する企業が増えています」とShikiar氏は述べています。 「個人的には、今後数年間でオンラインのほぼすべての消費者サービスがパスワードレスのログインオプションを提供するようになると確信しています。これらの大多数がFIDOを活用することを願っています。」
次回のFIDO Authenticateバーチャルサミットは9月に開催され、政府サービスに焦点が当てられます。 そして10月には、 FIDO アライアンス がシアトルでAuthenticate Conferenceと初のライブイベントを開催します。
