一般的な質問
FIDOアライアンスは、2009年末に当時Validity Sensors(指紋センサーメーカー、現在はSynapticsが買収)のCTOだったRamesh Kesanupalliが紹介した会話から始まった。 ケサヌパリは、当時ペイパルのCISOであったマイケル・バレットに、paypal.comを指紋認証可能にすることに興味があるか尋ねた。 バレットは「そうだが、オープン・スタンダードで実現できる場合に限る」と答えた。 使用できる関連規格がなかったため、ケサヌパリはタハー・エルガマル(SSLの発明者)を巻き込み、そこから議論が進んだ。 FIDOアライアンスの歴史はこちらでご覧いただけます。
FIDOアライアンスは2013年初頭、6社のメンバーで正式に発足した。 それ以来、アライアンスは世界中に250以上のメンバーを抱えるまでに成長した。
FIDO(Fast IDentity Online)アライアンスは、2012年半ばに設立された501(c)6非営利団体で、強力な認証デバイス間の相互運用性の欠如や、ユーザーが複数のユーザー名やパスワードを作成したり記憶したりする際に直面する問題に対処するための標準を開発している。 FIDOアライアンスのガバナンスと組織について詳しくは、FIDOについて、およびメンバーシップの詳細ページをご覧ください。
FIDOアライアンスのウェブサイトは、アライアンス、その仕様、FIDO認定製品、リソースやベストプラクティスの知識ベース、一般的な進捗状況に関する包括的な情報を提供しています。 また、最新情報や今後のイベントへの招待状を受け取るために登録することも可能で、その多くは一般公開されている。 TwitterやLinkedInで @FIDOallianceをフォローすることもできる。
アライアンスは、誰でも購読できる新しい公開ディスカッション・リスト(fido-dev@fidoalliance.org)を運営することで、この技術の導入者をサポートしている。 詳細な進捗状況や成果への影響力に関心のある組織にとって、アライアンスに参加することが最善の方法である。
FIDO アライアンスは、シンプルで堅牢な認証のための 3 つの仕様セットを発表している:FIDO Universal Second Factor (FIDO U2F), FIDO Universal Authentication Framework (FIDO UAF) and the Client to Authenticator Protocols (CTAP). CTAPはW3CのWeb Authentication(WebAuthn)仕様を補完するもので、両者を合わせてFIDO2と呼ぶ。
詳細については、 仕様の概要 および/または仕様 ダウンロードページの技術仕様をお読みください。
設立当初から、FIDO アライアンスは、オンライン・サービスのユーザーを安全に認証するために、パスワードへの依存に取って代わる、オープンでスケーラブル、相互運用可能な一連のメカニズムを定義する仕様を開発することによって、認証の本質を変える意図を表明してきた。 発足から2年後の2014年12月、アライアンスはそのビジョンを実現するための最終的な1.0仕様を発表した。 これは、よりシンプルで強力な認証のユビキタス化に向けた業界の重要なマイルストーンであり、多くの導入により、世界中のユーザーにFIDO認証が提供された。 デバイスやプラットフォームを超えたFIDO認証のサポートをさらに追加するため、FIDOアライアンスは2019年3月、2つ目の仕様であるFIDO2を発表した。 詳しくは「なぜFIDOアライアンスはFIDO2の必要性を感じたのか」を参照。
世界中の多くの大手組織が従業員やユーザーにFIDO認証を導入し、セキュリティリスクを低減し、ユーザーエクスペリエンスを向上させている。 ホームページの「Who’s using FIDO」でサンプルをご覧ください。
FIDOアライアンスは、FIDO認証機能をより多くのデバイス、プラットフォーム、ウェブブラウザに組み込むことを可能にするため、W3CとともにFIDO2仕様を策定した。 FIDOは現在、Google Chrome、Mozilla Firefox、Microsoft Edge、Apple Safari(MacOS)、iOSウェブブラウザ、Windows 10、Androidプラットフォームでサポートされている。
FIDOは、非対称公開鍵暗号に「軽量」なアプローチをとっており、サービスプロバイダに、公開鍵暗号のセキュリティ上の利点をより広範なアプリケーション、ドメイン、デバイスに拡大する方法を提供している。 FIDOはPKIに取って代わるものではなく、むしろPKIを補完するものであり、非対称暗号を用いてより多くのユーザーとアプリケーションを保護することを可能にする。 これは、ユーザー名とパスワードで代替されてきた状況では特に重要である。
FIDOアライアンスの会員ページで必要な手順をご覧ください。
あなたの会社がFIDOベースのソリューションを市場に投入しようとしているベンダーであろうと、あなたの組織があなたの顧客や従業員にFIDO認証を展開する最も効果的な方法を理解しようとしているサービスプロバイダであろうと、メンバーとしてFIDOアライアンスに参加することには大きなメリットがあります。 詳しくはこちらで。
規格
オープンな業界標準は、既存および将来の製品や製品に互換性があり、誰もが技術を評価できることを保証する。 ユーザーは、FIDO認証がサポートされている場所であればどこでも、FIDOデバイスの動作に依存することができる。 サービスプロバイダーや企業は、新たな投資をしたり、独自の構成に戻したりすることなく、さまざまなデバイスやサービスに対応することができる。
WiFi、ブルートゥース、NFC、その他の標準の開発と同様に、FIDOは新しい業界プロトコルのセットを開発している。 デバイス・メーカー、ソフトウェア開発者、オンライン・サービス・プロバイダーは誰でも、既存の製品やサービスにFIDOプロトコルのサポートを組み込むことができ、ユーザーにとってオンライン認証をよりシンプルで強力なものにすることができる。 標準化という目標により、FIDOエコシステムは「ネット効果」によって成長し、規模を拡大することができる。そこでは、標準の新しい実装は、デバイス開発者とサービスプロバイダーとの間で事前に確立された取り決めを必要とすることなく、他の実装と即座に相互運用することができる。
FIDOアライアンス認定ワーキンググループは、製品がFIDO仕様に適合しているかどうか、およびそれらの実装間の相互運用性をテストする責任を担っている。 FIDO® Certifiedプログラムの詳細については、こちらをご覧ください。
FIDOアライアンスメンバーは、FIDO 1.0最終仕様(メンバーシップ契約では「提案された標準」と呼ばれる)の他のメンバー実装に対して特許を主張しないことを、メンバーシップ契約に含まれる約束にコミットしています。 FIDOに準拠したソリューションの導入に関心のある人は、アライアンスに加盟しなくても可能であり、その導入を可能にするためにFIDO認証製品を使用することが強く推奨される。
FIDO仕様はデバイスにとらわれず、FIDOセキュリティ・キーや指紋・虹彩スキャナー、音声・顔認証などの生体認証、PINやパターンで保護されたmicroSDカードなど、あらゆる認証技術をサポートしている。 FIDO仕様は、TPM(Trusted Platform Module)、USBセキュリティトークン、eSE(embedded Secure Elements)、スマートカード、BLE(Bluetooth Low Energy)、NFC(Near Field Communication)といった既存のソリューションや通信規格も可能にする。 FIDOの仕様はオープンであるため、拡張性があり、既存の投資を保護するだけでなく、将来の技術革新にも対応できるように設計されている。
FIDO 仕様は、ユーザーのニーズや嗜好を満たすデバイスや、ユーザーが認証を行う必要のあるサービ スプロバイダ、オンライン商人、または企業のデバイスの幅広い選択を可能にする。
FIDOの仕様は公開されており、誰でも読んで分析することができる。 しかし、FIDOアライアンスメンバーだけが、他のメンバーの実装に対して特許権を主張しないという「約束」の恩恵を受けることができる(詳細はFIDOアライアンスメンバーシップ契約を参照)。 誰でもFIDOアライアンスに参加することができます。私たちは、非常に低コストで非常に小規模な企業であっても、エントリーレベルで参加することを奨励しています。 アソシエイトはより限定的な参加特典(https://fidoalliance.org/members/membership-benefits/)があります。すべての人がFIDOアライアンスに参加することができます。
FIDOとセキュリティ
いや。 FIDO アライアンスは、強力な認証のための標準を指定し、その標準に準拠しているかどうか実装 をテストするだけであり、サービスを提供したり、機器やサイトを装備したりすることはない。 デバイス・メーカー、オンライン・サービス・プロバイダ、企業、および開発者は、FIDO 仕様を使用して、製品を構築し、サービスを提供し、FIDO 認証でサイトやブラウザを有効にします。 FIDOの仕様では、ユーザーの認証情報はユーザーのデバイスに残されなければならず、プロバイダーやサービスと共有されることはない。
いいえ、この種の情報交換はFIDO認証で防止されています。 各デバイスとウェブサイトのペアリングには、個別の登録と個別の暗号キー・ペアが必要です。 一度登録すれば、ユーザーは同じデバイスから複数のサイトに簡単に認証することができるが、各サイトはユーザーと他のサイトとのやり取りを知らない。 FIDOは、オンラインでのユーザーの行動を相関させるために使用される可能性のある、新たな追跡メカニズムを導入するものではない。
FIDOアライアンスは最近、認証器認定プログラムを開始した。 このプログラムは、認証器のセキュリティ要件を、認証器に特化したFIDO認定プログラムに紹介する。 FIDO 認定プログラムの下で認定される各認証器は、ベンダーの求めるセキュリティレベルに応じて、 特定のセキュリティ保証レベルを満たすことが検証される。 レベルが高ければ高いほど、セキュリティの保証は高くなる。 このプログラムに関する詳細は、https://fidoalliance.org/certification/authenticator-certification-levels/。
大規模な攻撃や詐欺に対して脆弱であることが証明されている現在のパスワードベースの認証モデルとは異なり、FIDO認証クレデンシャルは決して共有されることはなく、集中化されたデータベースに保存されることもない。 FIDO クレデンシャルは、ユーザー自身のデバイスによってのみ知られ、維持される。 サービス・プロバイダーが保管するのは、秘密鍵が保管されているユーザーのデバイスとペアリングされた公開鍵だけである。 さらなるセキュリティとプライバシーのために、FIDO認証で使用されるバイオメトリクスはデバイスから離れることはない。 このセキュリティ・モデルは、フィッシングやあらゆる形態のパスワード盗難、リプレイ攻撃のリスクを排除する。 攻撃者となりうる者がハッキングを試みるには、ユーザーの物理的なデバイスが必要だ(詳しくは後述の「デバイスを盗めばアカウントに侵入できないのか」を参照)。 FIDOエコシステムは、攻撃者が利益を得るにははるかに難しく、高価で、リスクが高い。
FIDO認証で使用される場合、ユーザーのバイオメトリックデータがデバイスから離れることはなく、違反時に盗まれる可能性のある中央サーバーに保存されることもない。 FIDOの認証用オンデバイス・モデルは、リモート攻撃のリスクを排除する。 もし攻撃者となる人物がユーザーの実機にアクセスできたとしたら、なりすましを成功させるのはかなり難しいだろう。 まず、攻撃者は、ターゲットユーザーのデバイスにも登録されている、完全に形成された完全な潜伏指紋を入手しなければならない。 そして攻撃者は、その1台のデバイスだけをコントロールするために、ユーザーのデバイスにアクセスしなければならない。 単一のなりすましは、たとえ達成されたとしても、何百万、何億ものユーザーの認証情報を採取することになる、今日の典型的な大規模攻撃による潜在的な被害には及ばない。
いや。 アカウントに侵入するためには、犯人はアカウントにFIDO認証器として登録されたユーザーのデバイスだけでなく、認証器が秘密鍵を保護するために使用するユーザー識別チャレンジ(ユーザー名やPIN、バイオメトリックなど)を破る能力も必要となる。 このため、FIDO対応アカウントに侵入するのは極めて難しい。
FIDOはどのように機能するのか?
FIDOモデルの目的は、オンライン・サービスに安全でシンプルな認証体験を提供することである。 認証には、あるデバイスを持つユーザーがネットワーク経由でサービスに接続することが含まれる。
はい、1台のFIDOデバイスから複数のウェブサイトを利用できます。 各デバイスとウェブサイトのペアリングには、個別の登録と個別の暗号鍵ペアが必要です。 一度登録すれば、ユーザーは同じデバイスから複数のサイトに簡単に認証することができるが、各サイトはユーザーと他のサイトとのやり取りを知らない。
ユーザーが新しいデバイスを取得した場合、または複数のFIDOデバイスを使用したい場合、ユーザーは使用したいサイトで各デバイスを登録するだけでよい。 いったんデバイスがサイトに登録されると、ユーザーがそのサイトで認証を必要とするときはいつでも、そのデバイスが認識される。 登録されていない新しいデバイスでユーザがサイトを訪問すると、自動的に認識されないため、ユーザは新しい FIDO デバイスを登録するよう促され、そのサイトで新しいデバイスによる FIDO 認証が有効になります。
はい、FIDO認証は企業環境に導入できます。 強力な認証の導入やサポートにかかるコストの削減など、企業に大きなメリットをもたらします。 アライアンス内には、ベストプラクティスに関するホワイトペーパーを作成する、活発な企業展開ワーキンググループがある。 このガイダンスはFIDOナレッジベース内にある。 ナレッジベースでは、Googleが85,000人の従業員に FIDOを導入し 、フィッシング攻撃の成功を確認できなかった方法も紹介しています。
FIDO2
FIDO2は、FIDOアライアンスの最新の強力な認証標準の包括的な用語である。 FIDO2 には 2 つの仕様がある:W3CのWeb認証(WebAuthn)とFIDOアライアンスのClient to Authenticator Protocol(CTAP)である。
FIDO2標準によって、ユーザーは一般的なデバイスを活用し、モバイルとデスクトップの両方の環境でオンラインサービスを簡単に認証できるようになり、パスワードやSMS OTPよりもはるかに高いセキュリティを確保できる。
FIDO2には2つの仕様がある:
- W3C WebAuthn. Web Authentication仕様は、ブラウザ・ユーザーがパスワードよりも強力な暗号キー・ペアでサインインできるようにするための1つの標準Web APIを定義している。 この仕様では、パスワードレスログインと第二要素ログインをサポートしている。 この仕様は、すべてのウェブブラウザと関連するウェブプラットフォームインフラストラクチャにわたって強力なFIDO認証を可能にする。 (詳しくは「FIDO2とW3C WebAuthnの関係は?)
- FIDO CTAP。 CTAPは、ブラウザやオペレーティング・システムが、USBベースのデバイスやNFC、Bluetooth対応デバイスなどの外部認証機能と通信することを可能にし、ユーザーが使用するデバイスごとに再登録する必要性をなくす。 この仕様により、ユーザーは、例えば接続されたデバイスや携帯電話を使って、ブラウザやプラットフォーム経由でコンピューター、タブレット、IoTデバイスなどにログインすることができる。
FIDO2は、FIDOの最新規格一式の正式名称である。
FIDOアライアンスの目標は常に、ウェブ全体で強力な認証をユビキタスにすることだ。 それは、人々が毎日使うあらゆるデバイスにFIDO認証のサポートを組み込むことを意味する。 アライアンスは、初期のFIDO U2FおよびFIDO UAF仕様で、特にモバイルプラットフォームにおいて顕著な進展を遂げた。 FIDO2は、FIDO認証をブラウザやウェブプラットフォームのビルトイン機能にすることで、FIDO認証の範囲を拡大するものであり、これはアライアンスの全体的な目標に向けた重要な一歩である。
経験則として、この簡単な方程式を覚えておくといいだろう:
FIDO2 = W3C WebAuthn + CTAP
これがFIDO2開発の全貌である:
FIDO UAFおよびFIDO U2F仕様のリリース後、FIDOアライアンスはFIDO認証を世界中のユーザーがより利用しやすくすることに注力した。 アライアンスは、ウェブベースの API を定義する 3 つの技術仕様を策定し、FIDO 認証をブラウザやプラットフォームに直接組み込むことを可能にした。 これらの仕様は、2015年11月にワールド・ワイド・ウェブの国際標準化団体であるW3Cに提出された。 FIDOアライアンスのメンバー企業は、W3CのWeb認証ワーキンググループの中で、WebAuthnとして知られるようになったAPIを完成させるために働いた。 WebAuthnは2019年3月にW3Cのウェブ標準として正式に認定された。
同時期に、FIDOアライアンスは、WebAuthnを補完する仕様であるClient to Authenticator Protocol(CTAP)を作成し、最終化した。 CTAPは、携帯電話、セキュリティキー、Windows 10 PCなど、すでに所有しているデバイスを使用してWebAuthn対応のブラウザやプラットフォームで認証できるようにすることで、ユーザーにとってWebAuthnをさらに身近なものにします。
WebAuthnとCTAPを合わせてFIDO2と呼ぶ。 FIDOアライアンスは、クライアント、サーバー、認証デバイスなど、市場に存在するすべてのFIDO2実装の相互運用性を確保するための認定プログラムを管理・維持している。
FIDOアライアンスはW3Cと提携し、ウェブプラットフォーム全体のFIDO認証器を標準化することで、FIDOエコシステムは標準をサポートするウェブブラウザやウェブアプリケーションサーバのコミュニティ全体によって成長することができる。 W3Cは、ウェブコミュニティが標準を作成する場所なので、そのフォーラムで作業する方が現実的でした。
FIDO2標準は公表されており、今日から実装可能である。 WebAuthnは2019年3月にW3Cの最終勧告に達し、公式なウェブ標準となった。 CTAPはFIDOアライアンスの最終仕様である。
現在の採用状況はこちら。
FIDO2 の仕様は、既存のパスワードレス FIDO UAF および FIDO U2F のユースケースと仕様をサポートし、FIDO 認証の可用性を拡大する。 すでにFIDO U2Fセキュリティキーなどの外部FIDO準拠デバイスを持っているユーザーは、WebAuthnをサポートするウェブアプリケーションでこれらのデバイスを引き続き使用することができます。 既存のFIDO UAFデバイスは、FIDO UAFプロトコルに基づく新しいサービスだけでなく、既存のサービスでも使用することができる。
全然違うよ。 FIDO U2Fの機能はFIDO2のCTAP2プロトコルに統合され、FIDO U2Fセキュリティキーは、FIDO2認証をサポートしているサービスと同様に、U2F認証をサポートしているサービスでも機能し続ける。
FIDOアライアンスの活動は始まったばかりだ。 仕様と認証プログラムは進化を続けており、我々の配備作業はさらに重要性を増している。 さらに、アライアンスは、IoT と ID 検証の新しい作業分野を立ち上げたばかりであり、これは、ユーザー認証に関連する技術の標準化を支援するために、世界中の主要組織からなるアライアンスの広範な連合体を活用するものである。 これらの仕事場についての詳細は、https://fidoalliance.org/fido-alliance-announces-id-and-iot-initiatives/。
メタデータ・サービス
FIDOアライアンスメタデータサービス(MDS)は、FIDO認証器ベンダーがFIDOサーバーがダウンロードできるメタデータステートメントを公開できるウェブベースのツールである。 これにより、FIDO サーバを配備する組織は、FIDO 認証子に関する一元化された信頼できる情報源を得ることができる。
FIDOアライアンス・メタデータ・サービスに関するより広範なFAQは、こちらをご覧ください。
FIDO認定
そうだ。 ベンダーがウェブサイト、製品資料、パッケージなどに含めることができる、認識可能なFIDO Certifiedロゴがある。
FIDO Certifiedロゴの使用にはTMLAへの署名が必要です。 ウェブサイトに認証ロゴの使用を希望する依拠当事者には、「クリックレス」ライセンス契約を含む合理化されたプロセスがある。
製品は、そのFIDO実装のコードベースが実質的に変更されない限り、無期限に認証される。 認定は、実装がテストツールや相互運用性イベントに不適切に合格したと判断された場合など、まれな場合にのみ終了することができる。 認定は、特定の仕様および実装クラス(すなわち、「UAF 認証器」)にのみ適用される。 新しいメジャーバージョンの仕様がリリースされ(FIDO認定ワーキンググループが決定)、実装がその仕様への適合性を主張したい場合、新たな認定が必要となる。
UAF認証子仕様は、ベンダーIDとデバイスIDを半分ずつ持つAAIDフィールドを定義し、各認証 子を一意に識別する。 ベンダー ID は、FIDO が UAF 認証機能を実装する各企業に割り当てる一意の識別子である。 AAID フィールドの残り半分であるデバイス ID は、実装会社によって認証子に割り当てられる。 UAF 認証器のみベンダー ID が必要です。
そうだ。 非会員の方の実装認証も歓迎します。
料金は、認証された実施1件あたりの料金であり、認証書が発行される前に支払わなければならない。
プログラムごとのFIDO認定料金の概要については、認定料金のページをご覧ください。
相互運用性イベントは、少なくとも90日ごとに開催されるが、実施者の要望に応じて、より頻繁に開催されることもある。
派生認証は、基本的にすべて同じ実装に基づく認証を大量に持つ実装者の認証プロセスを合理化するために創設された。 この場合、実装者は1つの実装を認証し、残りはその基本認証の「派生」として登録することができる。 デリバティブは、認証取得のために相互運用性イベントに参加する必要はないが、デリバティブの実装を実行し、適合性テストに合格する必要がある。 実装は、当社のテストツールおよび相互運用性テストを通じて取得したオリジナルの認証から、実質的な方法で変更することはできません。 実装に変更がある場合は、FIDO影響分析を経て、実装にデルタ認定または再認定が必要かどうかを判断する必要がある。
いや。 しかし、FIDO Certifiedであると主張し、FIDO Certifiedロゴを使用するには、製品が認証されていなければならない。
FIDOアライアンスのスタッフは、FIDO認定ロゴの使用状況および公表されている認定の主張を毎月監査する。 実際の実施状況の監査は、市場からのフィードバックによって行われる。 何らかの懸念が生じた場合は、認定ロゴ違反 フォームを通じてフィードバックを提出することができます。
FIDOアライアンスが発行する認定証には、以下の数値形式がある:
SSSXYZAYYYMDD####
SSS – 仕様番号(UAFまたはU2F)
X – 仕様番号
Y – 仕様書のマイナー番号
Z – 仕様書の改訂番号
A – 仕様エラッタ番号
YYYY – 発行年
MM – 発行月
DD – 日間発行
#### – The number of the certificate issued today
いや。 FIDO認定プログラムを通過し、認定番号を付与された製品のみがFIDO認定製品を名乗ることができる。
そうだ。 実装は、認証を受けようとする実装クラスごとに認証を申請(および認証料の支払い)しなければならない。 例えば、ある実装がFIDO UAFサーバーとFIDO2サーバーの両方を認証する場合、その実装は両方の認証プロセスに従わなければならない(そして両方の認証料を支払わなければならない)。 最終的には2つの認証を受けることになる。 異なる仕様のテストの主な違いは、テストツールが異なることと、相互運用性イベントが異なることだ。
FIDO UAF プログラムにご興味のある方は、FIDO UAF 認証器のみ、$3,000 の追加ベンダー ID 料金が必要となり、認証プロセスを完了し、FIDO 認証を申請する際に、認証料に充当されます。
認定は、FIDOアライアンスが提供するテストツールの使用による仕様適合性の自己評価から始まり、その後、FIDOアライアンス主催のテストイベントにおいて、少なくとも3社のテストパートナーとの相互運用性テストが行われる。 現時点では、認定プログラムにラボの側面はないが、認定ワーキンググループは現在、機能的ラボ認定プログラムを開発・実施するための要件を検討している。 詳しくはGetting Startedウェブページをご覧ください。
テストには大きく分けて4つのステップがある:
- コンフォーマンスの自己検証:テストツールを使って、以下のことを確認する。
の実装は仕様に準拠している。 - 相互運用性テスト:実装者が集まり、それぞれの実装を一緒にテストする。
- 認定登録:実装が認定のためにFIDOに提出される。
- オプションの商標契約;FIDO認証マークを製品やサービスに使用することを可能にする。
はい。すべての認証器は、追加のセキュリティ要件を満たし、少なくともレベル 1 (L1) 認証器認定を選択する必要があります。 オーセンティケータには5つの主要なテスト・ステップがあり、選択したセキュリティ・レベルによって異なる:
レベル1:
- コンフォーマンスの自己検証:テストツールを使って、以下のことを確認する。
の実装は仕様に準拠している。 - 相互運用性テスト:実装者が集まり、それぞれの実装を一緒にテストする。
- 認証器は、相互運用性の間、FIDO 認証器セキュリティ要件に基づく追加的な相互運用性を示す必要がある。
- 認証器認定プロセス;
- 実装仕様(すなわち、UAF、U2F、または FIDO2)に従って、すべての L1 要件のベンダー質問票に記入する。
- FIDOセキュリティ事務局による審査のため、記入済みのベンダー質問書をFIDOに提出すること。
- 認定登録:実装が認定のためにFIDOに提出される。 すべての認証プロセスは、認証書の発行前に完了が確認される。
- オプションの商標契約;FIDO認証マークを製品やサービスに使用することを可能にする。
レベル2以上:
- コンフォーマンスの自己検証:テストツールを使って、以下のことを確認する。
の実装は仕様に準拠している。 - 相互運用性テスト:実装者が集まり、それぞれの実装を一緒にテストする。
- 認証器ベンダーは、認定セキュリティラボのリストから選択し、評価プロセスについて交渉する:
- ベンダーは、選択されたレベルおよび仕様に基づいてベンダー質問書に記入し、評価のために契約ラボに記入済みの質問書を提出する。
- ラボはベンダーと協力して評価を完了する。
- ラボは、最終的な結果検証のため、完成したFIDO評価報告書をFIDOセキュリティ事務局に提出する。
- 認定登録:実装が認定のためにFIDOに提出される。 すべての認証プロセスは、認証書の発行前に完了が確認される。
- オプションの商標契約;FIDO認証マークを製品やサービスに使用することを可能にする。
実装は主に2つの基準を満たさなければならない:FIDO仕様に適合していること(私たちが判断できる限りにおいて)、そして他の実装と相互運用できることが知られていること。 このことは、FIDO 認証実装が、より強力で、よりシンプルな認証という FIDO の価値を実現し ているという確信を、企業と消費者の双方に与えるはずである。
ほとんどの場合、FIDOの模範と見なされる前に、実装には解決すべきバグがある。
いや。 ただし、製造者はFIDOアライアンスに登録し、有効なFIDOアライアンスのベンダーIDを取得した企業でなければならない。 依拠当事者によってはFIDO認証された製品を好む場合があるため、メタデータには製品がFIDO認証されているかどうかを示すフィールドがある。
バイオメトリクス・プログラム
バイオメトリック・コンポーネント認定プログラム– 業界全体にとって初のこのようなプログラム。 このプログラムは、バイオメトリック・サブコンポーネントが、バイオメトリック認識性能とプレゼンテーション・アタック検出(PAD)に関して世界的に認められた性能基準を満たしており、商業使用に適していることを認定するために、認定された独立研究所を利用している。
FIDOアライアンスは、新しいバイオメトリックコンポーネント認定プログラムを通じて、バイオメトリック認識システムのプロバイダーとユーザーにいくつかのメリットを提供することを目指しています。 これまでは、デューデリジェンスは、そのようなレビューを行う能力のある企業顧客によって行われていた。 そのため、バイオメトリック・ベンダーは、顧客ごとに性能を繰り返し証明する必要があった。
FIDOアライアンスプログラムにより、ベンダーはシステムの性能を検証するためのテストと認証を一度だけ行い、その第三者による検証を潜在顧客や既存顧客全体で再利用することができるため、時間とコストを大幅に節約することができる。 規制を受けるオンライン・サービス・プロバイダー、OEM、企業などの顧客にとって、指紋、虹彩、顔、音声認識のために依存しているバイオメトリック・システムがユーザーを確実に識別し、プレゼンテーション攻撃を検出できることを信頼するための標準化された方法を提供します。
いいえ、バイオメトリック・コンポーネント認定プログラムは、FIDO認定プログラムとは別のものです。 ベンダーが FIDO 認証を受けるには、FIDO 認証器認定プログラムを経る必要がある。 FIDO 認証器認定プログラムは、バイオメトリック認証器が暗号化 FIDO 仕様に準拠し、市場の他製品と相互運用でき、バイオメトリック性能に加えて特定のセキュリティ要件を満たしていることを検証する。
バイオメトリック・センサを組み込んだ認証器については、バイオメトリック・サブコンポーネント証明 書は、最高レベルの FIDO 認証器セキュリティ認定を取得するために必要であるが、低レベルの保証につい ては任意である。 FIDO 認証器認定プログラムを首尾よく完了したもののみが、FIDO または FIDO Certified の商標を使用することができる。
バイオメトリクス・コンポーネント認定プログラムの要件は、ISO 規格に従って策定された:ISO/IEC 19795 および SO/IEC 30107。
いいえ、検査は認定を受けた第三者機関によって行われます。 認定ラボのリストはこちらからご覧いただけます: https://fidoalliance.org/certification/biometric-component-certification/fido-accredited-biometric-laboratories/
バイオメトリック・コンポーネント認定プログラムの試験プロセスの概要については、https://fidoalliance.org/certification/biometric-component-certification/をご覧ください。
https://fidoalliance.org/certification/biometric-component-certification/は、すべてのバイオメトリクス認証機サブコンポーネントに開かれている。
認定を受けたベンダーには、FIDOアライアンスと認定ラボが実施する明確なテストに合格したことを示すバイオメトリックサブコンポーネント認定証が発行されます。
同プログラムへの参加に関心のあるバイオメトリック技術サプライヤーは、https://fidoalliance.org/biometric-component-certification-program。
FIDOと規制
600を超えるFIDO認証製品が市場に存在する中、FIDO認証は、GDPRの厳格な要件を満たす、よりシンプルで強力な認証を導入するための組織にとって最良の方法であり、同時にユーザーエクスペリエンスを向上させるものでもある。 詳しくは「FIDO認証と一般データ保護規則」(GDPR)をお読みください。
そうだ! FIDO標準は、組織がPSD2のSCA要件を満たすと同時に、トランザクションの利便性に対する組織とユーザーの要求を満たす、導入が容易な方法を提供する。 その理由と方法については、「FIDOとPSD2:強力な消費者認証のニーズに応える」という論文で詳しく説明している。
FIDO IoT
IoTデバイスのオンボーディングには、物理デバイスのインストールと、ターゲットとなるクラウドやプラットフォームと安全に通信できるようにするための認証情報の設定が含まれる。 今日、このオンボーディング・プロセスは通常、技術者が手作業で行っている。 業界関係者によれば、設置やセットアップの費用が機器本体の費用を上回ることも珍しくないとのことだ。
その結果、企業は「インターネットのUSB」、つまりキーボードをPCに接続するのと同じように、簡単、安全、かつ効果的にデバイスをネットワークに接続する方法を求めている。 FDOは、完全に自動化された標準ベースの安全なセットアップ・プロセスを企業に提供することで、IoTを阻むセキュリティとオンボーディングの問題を解決する。
FDOを使えば、企業はもはや、長くて高度に技術的なインストール・プロセスに、機器そのものにかかる費用以上のものを支払う必要はない。 その代わり、(製造ではなく)設置の時点で、どのネットワークやクラウドプラットフォームにデバイスを搭載するかを決めることができる。 これはいくつかの点で重要である。 メーカーにとっては、顧客ごとに個別のSKUを作成する必要がなくなった。 設置業者にとっては、デバイスを搭載するための高コストの技術者が不要になり、ネットワークにデバイスを追加するために機密情報やビジネス・クリティカルな情報が不要になる。 その結果、IoTデバイスをオンボーディングするための、よりスケーラブルでコスト効率に優れ、安全な方法が実現した。
FDOはこのような特徴と利点を提供している:
簡素化 – 企業はもはや、デバイス自体の購入よりも、長くて高度に技術的なインストール・プロセスに多くの費用を支払う必要はありません。 高度に自動化されたFDOプロセスは、どんなレベルの経験者でも迅速かつ効率的に実施できる。
柔軟性 – 企業は、(製造時ではなく)インストール時点で、どのクラウドプラットフォームにデバイスを搭載するかを決定できる。 単一のデバイスSKUをあらゆるプラットフォームに搭載できるため、デバイスのサプライチェーンが大幅に簡素化される。
セキュリティー – FDOは「信頼されないインストーラー」アプローチを活用しているため、インストーラーは機密性の高いインフラやアクセス・コントロールを必要とせず、またアクセスすることもない。
FDOによるオンボーディングの完全な説明については、こちらの論文をお読みください。
設置時には、設置業者がIoTデバイスの物理的な設置を行う。 FDOプロトコルは、デバイスに最初に電源が入ったときに起動される。 デバイス、ランデブーサーバー、および新所有者の間でプロトコルが協力することで、デバイスと新所有者は、新所有者がデバイスの新しい暗号制御を確立するのに十分な、自分自身を互いに証明することができる。 このプロセスが終了すると、デバイスには新しい所有者から提供されたクレデンシャルが装備される。 FDOによるオンボーディングの完全な説明については、こちらの論文をお読みください。
現状では、”エンドユーザー “という言葉は、個人というよりむしろ組織を指している。 関係者は、サプライチェーン全体にわたって、あらゆるメーカーのデバイスを安全な相互運用可能な方法でオンボードすることができる。
アプリはローカルで、あるいはバックグラウンドでクラウドサービスを利用できるため、エンドユーザーとサービスプロバイダー/クラウドプロバイダーは必ずしも区別されない。
FDOの相互運用性は、メーカーにとって非常に魅力的だ。 レイトバインディングと相互運用性は、メーカーが1つのSKUを製造すれば、それがどのFDO互換環境でも安全に展開できることを意味する。 以前は、メーカーは異なる展開環境ごとに個別のSKUを作成する必要があった。
FDOは “信頼されないインストーラー “アプローチを活用している。つまり、専門的なインストーラーはもはや必要なく、インストーラーは機密性の高いインフラやアクセス制御を必要としないし、アクセスすることもできない。 これにより、機器の設置がより迅速に、よりコスト効率よく、より安全に行える。
現在、認証プログラムを開発中であり、既存のFIDO認証を調べるとともに、テスト基準を決定している。
すでにモレックス、IBM、BT、インテルなどの企業で採用が進んでいる。 アーリーアダプターのコメントについては、こちらの論文を参照されたい。
FIDO Device Onboardは、IntelのRichard Kerslake氏、QualcommのGiridhar Mandyam氏、およびIntelのGeof Cooper氏が共同議長を務めるアライアンスのIoT技術作業部会の作業を通じて開発された。 このほか、アマゾン ウェブ サービス(AWS)、グーグル、マイクロソフト、ARMなど、仕様編集を担当する企業がある。
パスキー
パスワードを使わないあらゆるFIDO認証資格情報がパスキーです。
Passkeys(パスキー)はパスワードの置き換えとなり、ユーザーが保持するデバイスをまたがって、ウェブサイトやアプリへの迅速で、容易かつ、より安全なサインインを提供します。 パスワードとは異なり、パスキーはフィッシング耐性があり、常に堅牢で、秘密(シークレット)を共有することがないように設計されています。
アプリやウェブサイトのアカウント登録を簡素化し、使いやすく、ユーザーのすべてのデバイス、さらには物理的に近接した他のデバイスでも機能します。
技術的な観点からは、パスキーは、ブラウザによって発見可能な、あるいはネイティブ・アプリケーション内に収容されるFIDOクレデンシャルであり、パスワードレス認証のためのセキュリティ・キーである。 パスキーは、パスワードを暗号キー・ペアに置き換えることで、フィッシングに強いサインイン・セキュリティを実現し、ユーザー・エクスペリエンスを向上させます。 暗号鍵は、エンドユーザー・デバイス(コンピュータ、電話、またはセキュリティ・キー)からユーザー認証のために使用される。
携帯電話やパソコンのOSで管理されているパスキーは、クラウドサービスを介してユーザーのデバイス間で自動的に同期されます。 クラウドサービスは、FIDO認証資格情報の暗号化されたコピーも保存します。 1つのデバイスからのみパスキーを利用可能とし、FIDO認証資格情報の暗号化されたコピーを不可とするような設計をすることも可能です。 このようなパスキーは、「単一デバイス・パスキー」と呼ばれることがあります。 たとえば、物理的なセキュリティキーは、複数の単一デバイス・パスキーを含むことができます。
「パスキー」という単語は普通名詞で、「パスワード」と同じような意味合いと考えてください。 文頭を除いては小文字で書くべきです。 「パスキー」(および複数形の「パスキー」)という用語は、クロスプラットフォームの汎用用語であり、特定のプラットフォームに結びついた機能ではありません。
区別する場合には、クラウドサービスを介してユーザーのデバイス間で同期するパスキーは、一般的に「同期パスキー」と呼ばれ、1つのデバイスから外に出ることのない(UAFアプリ上のものを含む)パスキーは、「デバイス固定パスキー」と呼ばれます。
同期パスキーの主な用途は、アカウント認証の第一/主要な要素としてパスワードを置き換えることです。
例えば、ユーザーは携帯電話でパスワードの代わりに同期パスキーを使ってウェブサービスにサインインすることができます。 携帯電話ベースの同期パスキーはユーザーのすべてのデバイスで同期されるため、新しい携帯電話にアップグレードする際にもシームレスに移行することができます。
ユーザーがウェブサイトやアプリへのサインインを求められたとき、ユーザーのデバイス(携帯電話、パソコンまたはセキュリティキー)のロック解除をするのと同じ生体情報やPIN情報を使って、サインインを承認します。 アプリやウェブサイトは、従来のユーザー名とパスワードの代わりに、このメカニズムを利用できます。
そうだ。 ユーザーのデバイス(携帯電話、パソコン、セキュリティキー)が実行しているローカルでの生体情報処理に変更はありません。 生体情報と、その処理はデバイスに残り、リモートのサーバーに送られることはありません。(サーバーは生体情報の検証が成功したことの保証を見るのみです)
長年にわたり、パスワードの使いまわしやデータベースに対する侵害の横行により、パスワードはフィッシング攻撃やクレデンシャルスタッフィング攻撃の対象になってきました。
第一の要素であるパスワードは、根本的に複数の点で問題があるため、業界では、第二の要素を追加する方法が広く採用されています。 しかし、残念なことに、ワンタイムパスワード(OTP)や電話による承認など、最も一般的な第二の要素は、不便で安全ではありません。 フィッシングされる可能性がある。 そして今日、大規模にフィッシングされている。
パスキーはFIDO認証資格情報なので、単独で「パスワード+OTP」または「パスワード+電話による承認」の組み合わせよりも安全な第一の要素を手に入れることができます。
同期パスキーの同期はエンドツーエンドで暗号化されており、同期を提供するOSプラットフォーマーは強力なアカウントセキュリティ保護機能を備えています。
さらに、できるだけ多くの場面でパスワードを置き換えることにより、サインインをより簡単に、根本的に安全にすることをミッションとするFIDOにとって、同期が非常に重要となります。
なぜなら、パスワードを置き換えるということは、3つの側面でパスワードと「競合」することを意味するからです。
- スピード: パスワードの作成や使用よりも速くなければならない。
- 利便性: パスワードを使うより便利とまではいかなくても、少なくとも同じくらい便利でなければならない。
- セキュリティ: フィッシングに耐性があり、アプリ/ウェブサイト/サービスごとにユニークであることが保証されていること。
スピード
同期パスキーを生成することで、ユーザーはパスワード利用に求められる複雑な要件に対応する必要がなくなります。 登録は生体認証やPINコードの入力と同じくらい簡単で、同期パスキーによるサインインも生体認証やPINコードだけでよく、どちらもパスワードの入力より高速です。
利便性
パスワードの代替に求められる利用のしやすさは、パスワードの利便性と同等かそれ以上であることが必要です。利用しやすいという視点からのパスワードの主な利点の1つは、どのデバイスからでも使用できることです。
同期することで、同期を提供する同じOSプラットフォーマーを利用しているユーザーのすべてのデバイスから同期パスキーを利用できるようになります。 また、パスワードと同様に、他のデバイスからウェブサイトを訪問しても、認証資格情報の登録/生成フローを経る必要はありません。Bluetooth Low Energy(BLE)を使用して物理的な近接性を確認するFIDOアライアンスのClient to Authenticator Protocol(CTAP)の拡張機能によって、OSプラットフォームをまたがるデバイス間でのサインインがサポートされています。
暗号鍵がユーザーのパソコンまたはモバイル・デバイスに紐付けされている場合、ユーザーが新しいデバイスを取得するたびに、RP(Relying Party, サービス提供者)は他の認証方法(通常はパスワードなどの知識ベースの認証資格情報)にフォールバックする必要があります。 実際には、新しいデバイスでの最初のサインインが不便で フィッシングされやすいことを意味することが多い。
Passkeys solve this issue because they are available on the user’s device if and when the user needs them — starting from the very first sign-in to a website from that device.
また、パスワードを忘れてしまったり、メールや電話番号のバックアップをとっていなかったりすることもあります。 同期パスキーの場合は、デバイスさえあればサインインできるので、忘れることはありません。 また、同期パスキーはバックアップが可能なため、紛失防止にも役立ちます。
セキュリティ
FIDO認証資格情報であるパスキーは、(フィッシング、クレデンシャルスタッフィング、パスワードデータベース侵害などの脅威に常に直面している)RP(Relying Party, サービス提供者)が、パスワードをFIDO認証資格情報に置き換えることを可能にするものです。 FIDO は、非対称暗号に基づくチャレンジ・レスポンス認証プロトコルをRPに提供します。 これは、フィッシング耐性があり、サーバー上に秘密(シークレット)を保持しないことを意味し、結果としてセキュリティにおける大きな前進となります。
フィッシング耐性は、FIDO認証の中核となる設計目標です。 この目標は、暗号鍵がハードウェアに紐付けされているか否かにかかわらず、サインイン時に達成されます。 さらに、攻撃者にとってパスワードデータベースに対する侵害は魅力的な攻撃ですが、盗むべきパスワードが存在しないため、もはや脅威とはなりません。
RP(Relying Party, サービス提供者)はRPのウェブサイトやアプリにサインインするのに同期パスキーを使う場合、それに対応するWebAuthnとFIDO APIsを使うことになります。 同期パスキーは主要なモバイルOSやパソコンOSおよびブラウザで、そのサポートが組み込み済み、もしくは組み込まれる予定です。
ユーザーのすべてのデバイスに自動的に同期するOSプラットフォームに組み込まれたパスキーは、現在利用可能か、近い将来に利用可能となります。
- Apple社は、2022年9月にiOS 16ですでにサポート済みで、2022年10月にiPadOS 16とmacOS Venturaでサポートを開始済みです。
- Google社は、2022年10月にAndroidやChromeでのサポートを発表し、現在すでにサポート済みです。2023年中までにChromeOSでのパスキーのサポートを計画しています。
- マイクロソフトは、Windows Insiders Build内でパスキーのサポートを発表しており、2023年後半から2024年にかけて、より広範なパスキーのサポートを提供する予定だ。
ほとんどのプラットフォームでは、携帯電話やセキュリティキーなど、近くにあるデバイスからの同期パスキーによるサインインにすでに対応しています。 これらは以下の通りです:
- WindowsのMicrosoft EdgeとGoogle Chrome
- macOSのEdge、Safari、Google Chrome
- ChromeOS
詳しくは、次の2つの質問もご参照ください。 同期パスキーは、2019年からすべてのOSプラットフォームとブラウザで利用できるようになった同じWebAuthn APIを使用してアクセスされます。 同期パスキーのデバイスをまたがっての同期は、OSによって透過的に管理されます。
デバイスOSプラットフォームでは、デバイス(携帯電話やノートパソコンなど)の同期パスキーが、ユーザーのプラットフォーム・アカウント(iOS/macOSではApple ID、Android/ChromeOSではGoogleアカウント、WindowsではMicrosoftアカウント)に紐付いてデバイスクラウドに同期される機能が実装されています。 同期パスキーの同期はエンドツーエンドで暗号化されています。
ユーザーが自身のデバイスのどれかで同期パスキーを生成した時、同じOSプラットフォームを使っているユーザーの他のデバイスのすべてで同期を取ることができます。 このように、同期パスキーは一つのデバイスで生成されれば、すべてのデバイスで利用可能となります。
注目すべきは、ユーザーが同じプラットフォームOSを搭載した新しいデバイスを入手し、プラットフォーム・アカウントで設定した場合、ユーザーの同期パスキーは新しいデバイスに同期され、新しいデバイス上でRP(Relying Party, サービス提供者)のサービス(ウェブサイトやアプリ)にサインインする際に利用可能になる点です。
例を用いて説明します。ユーザーがRP(Relying Party, サービス提供者)の提供するサービス向けの同期パスキーをすでに保持しているAndroidスマートフォンを持っているとします。 ユーザーが過去にサインインしたことのないWindowsコンピュータからRPの提供するウェブサイトへサインインしたい場合を考えます。
ユーザーはWindowsコンピュータ上でRPのウェブサイトに行きます。 それからRPのウェブのログイン画面に表示されたサインイン・ボタンをクリックします。 他のデバイスを使ってサインインするオプションがあることが表示され、ユーザーはそれを認識します。
他のデバイス(ユーザーのAndroidスマートフォン)がWindowsコンピュータに物理的に十分近接(BLE通信が可能な範囲)していれば、ユーザーはAndroid OSからのポップアップ・メッセージを見ることになります。 このポップアップは(要するに)「この近くのコンピューターでRPにサインインしようとしているようですが、私が持っているアカウントはこちらです」と尋ねてくる。 ユーザーがアカウントを選択すると、アンドロイドOSが「このアカウントでコンピューターへのサインインを承認するためにロックを解除してください。 ユーザーはロック解除の操作を実行し、ウェブサイトにサインインします。
別の方法では、RP(Relying Party, サービス提供者)にすでに登録済みのセキュリティキー・デバイスを使って、ユーザーはかなり似たようなフローでサインインを実行できます。 ユーザーはWindowsコンピュータ上でRPのウェブサイトに行きます。 RPのログインウェブページに「サインイン」ボタンがあるので、そのボタンを押します。 RPが認証を求めた時、ユーザーはセキュリティキー・デバイスを挿入し、生体情報またはPINでセキュリティキーのロック解除を行い、ウェブサイトへサインインします。
上記の例で示されたフローはユーザーの携帯電話のOSや、ターゲットのデバイス(例えば、パソコン、タブレット端末、TV等)上で利用可能なOSとブラウザに関係なく、ログインを実行できます。またはユーザーが持つFIDO準拠のセキュリティキーのモデルに関係なく動作します。
上記で示されたフローは、Chrome OS、Windows、MacおよびLinux上のGoogle ChromeおよびMicrosoft Edgeで利用可能です。
CTAP2.2を使ったデバイスをまたがるFIDO認証フローは、物理的な近接性を確認するためにBluetoothを使用し、サインインの実際のセキュリティのためにBluetoothセキュリティプロパティに依存することはありません。 データを保護するために「hybrid」と名付けられたCTAPトランスポートが、標準のBluetoothのセキュリティ特性の上で、標準的な暗号化技術の追加レイヤーを使用しています。
同期パスキーはユーザーのデバイス上で保持されており(ユーザーが「保持」するもの)、RP(Relying Party, サービス提供者)がユーザー検証を要求した場合、ユーザーは生体情報(ユーザー「自身」を表すもの)またはPIN(ユーザーが「知っている」もの)と組み合わせた場合にのみに使うことができます。 したがって、パスキーを使った認証は多要素認証の大原則に則っています。
RPは、デバイス上に存在する同期パスキーがOSプラットフォーム・ベンダーのアカウントから単一の要素(例えばパスワード)によって、攻撃者が利用可能になることを懸念しているかもしれません。 。OSプラットフォーム・ベンダーは、ユーザーを認証し、デバイスに同期パスキーを復元する際に、ユーザーのパスワード以外の(ユーザーが認識可能なもの、認識できないものを含め)複数のシグナルを考慮していますので、懸念には該当しません。
いくつかの法律・規制に対する準拠という観点からは、同期パスキーが多要素の1つとして公式にリストアップされるには、時間を要すると考えられることに留意してください。 これは、現在FIDOアライアンスが積極的に取り組んでいる分野です。
ユーザーが使用していたデバイスをまだ保持しているなら、ユーザーは使用していたデバイス(例えばAndroidデバイス)上の同期パスキーを使って、新たなデバイス(例えばiOSデバイス)にサインインします。 いったんサインインすれば、ユーザーは新しいプラットフォーム・アカウントにパスキーを生成可能です。
ユーザーがFIDOセキュリティキーを持っているなら、セキュリティキーを使って、新しいデバイスで安全に認証を実行できます。
ユーザーが使用していたデバイスやセキュリティキーを持っていない場合、通常のアカウント・リカバリ状態として、RPは新しいデバイスからのサインインとして扱い、ユーザーのサインインに適した手順を実行します。
はい、FIDOセキュリティキーは今日、デバイス固定パスキーをサポートしており、FIDO2がユーザー検証を伴う発見可能な認証資格情報によるパスワードレス・サインインのサポートを追加した2019年からそうなっています。 すべてのクライアントOSプラットフォームとブラウザーは、すでにセキュリティキーを行使するためのネイティブサポートを備えています。 セキュリティキー・ベンダーは、将来的に同期パスキーの同期をサポートすることを選択する可能性があります。
ウェブサービスは同期パスキーを活用して、さまざまなユースケースをサポートすることができます。 例えば、ユーザーが新しいコンピュータを入手した場合、コンピュータに近接してセキュリティキーを提示し(USBに差し込む、NFCをタップするなど)、オンラインアカウントにサインインすることが可能です。
すべてのパスキーはFIDO認証資格情報であるため、FIDOのサポートを実装するウェブサービスは、すべてのパスキーの実装をサポートすることができます。
特定のコンプライアンス要件を持つ特定の環境では、暗号鍵のコピーが1つだけ利用可能であることを保証する必要があるかもしれません。 FIDOセキュリティキー上のパスキーは、そのようなユースケースに最適なソリューションです。
また、ユーザーが同期パスキーが同期されている他の携帯電話やその他のデバイスのすべてにアクセスできなくなったシナリオでは、そのようなFIDOセキュリティキーはリカバリの認証資格情報として機能することが可能です。
なぜFIDOアライアンスへの加盟を検討する必要があるのでしょうか?
あなたの会社がFIDOベースのソリューションを市場に投入しようとしているベンダーであろうと、あなたの組織があなたの顧客や従業員にFIDO認証を展開する最も効果的な方法を理解しようとしているサービスプロバイダであろうと、メンバーとしてFIDOアライアンスに参加することには大きなメリットがあります。 詳しくはこちらで。
FIDOアライアンスに加盟するためのプロセスは?
FIDOアライアンスの会員ページで必要な手順をご覧ください。
FIDOはPKIと比較してどうなのか?
FIDOは、非対称公開鍵暗号に「軽量」なアプローチをとっており、サービスプロバイダに、公開鍵暗号のセキュリティ上の利点をより広範なアプリケーション、ドメイン、デバイスに拡大する方法を提供している。 FIDOはPKIに取って代わるものではなく、むしろPKIを補完するものであり、非対称暗号を用いてより多くのユーザーとアプリケーションを保護することを可能にする。 これは、ユーザー名とパスワードで代替してきた状況では特に重要である。
FIDOをサポートしているデバイスやプラットフォームは?
FIDOアライアンスは、FIDO認証機能をより多くのデバイス、プラットフォーム、ウェブブラウザに組み込むことを可能にするため、W3CとともにFIDO2仕様を策定した。 FIDOは現在、Google Chrome、Mozilla Firefox、Microsoft Edge、Apple Safari(MacOS)、iOSウェブブラウザ、Windows 10、Androidプラットフォームでサポートされている。
現在、FIDOが市場で導入されている例にはどのようなものがあるか。
世界中の多くの大手組織が従業員やユーザーにFIDO認証を導入し、セキュリティリスクを低減し、ユーザーエクスペリエンスを向上させている。 ホームページの「Who’s using FIDO」でサンプルをご覧ください。
なぜFIDOは複数の仕様を公表したのか? 何が違うのか?
FIDO アライアンスは、よりシンプルで堅牢な認証のために、FIDO U2F、FIDO UAF、FIDO2 の 3 つの仕様セットを発表している:
FIDOの仕様はいつ発表されたのですか?
設立当初から、FIDO アライアンスは、オンライン・サービスのユーザーを安全に認証するために、パスワードへの依存に取って代わる、オープンでスケーラブル、相互運用可能な一連のメカニズムを定義する仕様を開発することによって、認証の本質を変える意図を表明してきた。 発足から2年後の2014年12月、アライアンスはそのビジョンを実現するための最終的な1.0仕様を発表した。 これは、よりシンプルで強力な認証のユビキタス化に向けた業界の重要なマイルストーンであり、多くの導入により、世界中のユーザーにFIDO認証が提供された。 デバイスやプラットフォームを超えたFIDO認証のサポートをさらに追加するため、FIDOアライアンスは2019年3月、2つ目の仕様であるFIDO2を発表した。 詳しくは「なぜFIDOアライアンスはFIDO2の必要性を感じたのか」を参照。
FIDOの仕様とは?
FIDO アライアンスは、シンプルで堅牢な認証のための 3 つの仕様セットを発表している:FIDO Universal Second Factor (FIDO U2F), FIDO Universal Authentication Framework (FIDO UAF) and the Client to Authenticator Protocols (CTAP). CTAPはW3CのWeb Authentication(WebAuthn)仕様を補完するもので、両者を合わせてFIDO2と呼ぶ。
FIDOの進展をフォローする最善の方法は?
FIDOアライアンスのウェブサイトは、アライアンス、その仕様、FIDO認定製品、リソースやベストプラクティスの知識ベース、一般的な進捗状況に関する包括的な情報を提供しています。 また、最新情報や今後のイベントへの招待状を受け取るために登録することも可能で、その多くは一般公開されている。 TwitterやLinkedInで @FIDOallianceをフォローすることもできる。
FIDOアライアンスは非営利団体ですか? スコープとは?
FIDO(Fast IDentity Online)アライアンスは、2012年半ばに設立された501(c)6非営利団体で、強力な認証デバイス間の相互運用性の欠如や、ユーザーが複数のユーザー名やパスワードを作成したり記憶したりする際に直面する問題に対処するための標準を開発している。 FIDOアライアンスのガバナンスと組織について詳しくは、FIDOについて、およびメンバーシップの詳細ページをご覧ください。
FIDOの仕様を使えば、誰でもFIDO認証製品を開発・提供できるようになるのか。
FIDOの仕様は公開されており、誰でも読んで分析することができる。 しかし、FIDOアライアンスメンバーだけが、他のメンバーの実装に対して特許権を主張しないという「約束」の恩恵を受けることができる(詳細はFIDOアライアンスメンバーシップ契約を参照)。 誰でもFIDOアライアンスに参加することができます。私たちは、非常に低コストで非常に小規模な企業であっても、エントリーレベルで参加することを奨励しています。 すべてのレベルのメンバーは、相互の非アサート保護の恩恵を受けるだけでなく、FIDOアライアンスのメンバー、活動、開発に参加することができます。アソシエイトには、より限定的な参加特典があります(https://fidoalliance.org/members/membership-benefits/)。すべての人がFIDOアライアンスに加入し、参加することができます。
あるFIDOトークン/ドングル/デバイスは他のものより優れているのか? どれを買えばいいのですか?
FIDO仕様はデバイスにとらわれず、FIDOセキュリティ・キーや指紋・虹彩スキャナー、音声・顔認証などの生体認証、PINやパターンで保護されたmicroSDカードなど、あらゆる認証技術をサポートしている。 FIDO仕様は、TPM(Trusted Platform Module)、USBセキュリティトークン、eSE(embedded Secure Elements)、スマートカード、BLE(Bluetooth Low Energy)、NFC(Near Field Communication)といった既存のソリューションや通信規格も可能にする。 FIDOの仕様はオープンであるため、拡張性があり、既存の投資を保護するだけでなく、将来の技術革新にも対応できるように設計されている。
FIDOは実施権を誰でも利用できるようにしたのか?
FIDOアライアンスメンバーは、FIDO 1.0最終仕様(メンバーシップ契約では「提案された標準」と呼ばれる)の他のメンバー実装に対して特許を主張しないことを、メンバーシップ契約に含まれる約束にコミットしています。 FIDOに準拠したソリューションの導入に関心のある人は、アライアンスに加盟しなくても可能であり、その導入を可能にするためにFIDO認証製品を使用することが強く推奨される。
購入しようとしている製品がFIDO基準に適合していることを、どうすれば確認できますか?
FIDOアライアンス認定ワーキンググループは、製品がFIDO仕様に適合しているかどうか、およびそれらの実装間の相互運用性をテストする責任を担っている。 FIDO® Certifiedプログラムの詳細については、こちらをご覧ください。
なぜスタンダードが重要なのか?
オープンな業界標準は、既存および将来の製品や製品に互換性があり、誰もが技術を評価できることを保証する。 ユーザーは、FIDO認証がサポートされている場所であればどこでも、FIDOデバイスの動作に依存することができる。 サービスプロバイダーや企業は、新たな投資をしたり、独自の構成に戻したりすることなく、さまざまなデバイスやサービスに対応することができる。
デバイスを盗めば、誰かがアカウントに侵入することはできないのか?
いや。 アカウントに侵入するためには、犯人はアカウントにFIDO認証器として登録されたユーザーのデバイスだけでなく、認証器が秘密鍵を保護するために使用するユーザー識別チャレンジ(ユーザー名やPIN、バイオメトリックなど)を破る能力も必要となる。 このため、FIDO対応アカウントに侵入するのは極めて難しい。
生体認証に対するFIDOのアプローチは、ユーザーをどのように安全にするのか? 誰かが私のバイオメトリック情報をデバイスやオンライン・サービスから盗む可能性はありますか?
FIDO認証で使用される場合、ユーザーのバイオメトリックデータがデバイスから離れることはなく、違反時に盗まれる可能性のある中央サーバーに保存されることもない。 FIDOの認証用オンデバイス・モデルは、リモート攻撃のリスクを排除する。 もし攻撃者となる人物がユーザーの実機にアクセスできたとしたら、なりすましを成功させるのはかなり難しいだろう。 まず、攻撃者は、ターゲットユーザーのデバイスにも登録されている、完全に形成された完全な潜伏指紋を入手しなければならない。 そして攻撃者は、その1台のデバイスだけをコントロールするために、ユーザーのデバイスにアクセスしなければならない。 単一のなりすましは、たとえ達成されたとしても、何百万、何億ものユーザーの認証情報を採取することになる、今日の典型的な大規模攻撃による潜在的な被害には及ばない。
FIDO認証はウェブ上でどのようにユーザーを安全にするのか?
大規模な攻撃や詐欺に対して脆弱であることが証明されている現在のパスワードベースの認証モデルとは異なり、FIDO認証クレデンシャルは決して共有されることはなく、集中化されたデータベースに保存されることもない。 FIDO クレデンシャルは、ユーザー自身のデバイスによってのみ知られ、維持される。 サービス・プロバイダーが保管するのは、秘密鍵が保管されているユーザーのデバイスとペアリングされた公開鍵だけである。 さらなるセキュリティとプライバシーのために、FIDO認証で使用されるバイオメトリクスはデバイスから離れることはない。 このセキュリティ・モデルは、フィッシングやあらゆる形態のパスワード盗難、リプレイ攻撃のリスクを排除する。 攻撃者となりうる者がハッキングを試みるには、ユーザーの物理的なデバイスが必要だ(詳しくは後述の「デバイスを盗めばアカウントに侵入できないのか」を参照)。 FIDOエコシステムは、攻撃者が利益を得るにははるかに難しく、高価で、リスクが高い。
内蔵指紋センサーに対するルートキットやマルウェア攻撃からどのように保護しますか?
FIDOアライアンスは最近、認証器認定プログラムを開始した。 このプログラムは、認証器のセキュリティ要件を、認証器に特化したFIDO認定プログラムに紹介する。 FIDO 認定プログラムの下で認定される各認証器は、ベンダーの求めるセキュリティレベルに応じて、 特定のセキュリティ保証レベルを満たすことが検証される。 レベルが高ければ高いほど、セキュリティの保証は高くなる。 このプログラムに関する詳細は、https://fidoalliance.org/certification/authenticator-certification-levels/。
複数のウェブサイトで同じデバイスを使用する場合、あるサイトが私が別のサイトで使用していることを知ることはできますか?
いいえ、この種の情報交換はFIDO認証で防止されています。 各デバイスとウェブサイトのペアリングには、個別の登録と個別の暗号キー・ペアが必要です。 一度登録すれば、ユーザーは同じデバイスから複数のサイトに簡単に認証することができるが、各サイトはユーザーと他のサイトとのやり取りを知らない。 FIDOは、オンラインでのユーザーの行動を相関させるために使用される可能性のある、新たな追跡メカニズムを導入するものではない。
FIDOは私の個人情報を入手しますか?
いや。 FIDO アライアンスは、強力な認証のための標準を指定し、その標準に準拠しているかどうか実装 をテストするだけであり、サービスを提供したり、機器やサイトを装備したりすることはない。 デバイス・メーカー、オンライン・サービス・プロバイダ、企業、および開発者は、FIDO 仕様を使用して、製品を構築し、サービスを提供し、FIDO 認証でサイトやブラウザを有効にする。 FIDOの仕様では、ユーザーの認証情報はユーザーのデバイスに残されなければならず、プロバイダーやサービスと共有されることはない。
企業はFIDOアライアンスの新しい作業領域にどのように関わることができますか?
IDWGとIoT TWGは現在、業界参加者に開かれている。 FIDOアライアンスのワーキンググループへの参加は、FIDOアライアンスの役員およびスポンサーレベルのメンバーであれば誰でも参加できます。 アライアンスへの加盟に関する詳細は、https://fidoalliance.org/members/membership-benefits。
IoT技術作業部会は何をするのか?
IoT TWG は、アライアンスの基本的な使命であるパスワードレス認証に沿い、IoT 機器のための包括的な認証フレームワークを提供する。 IoT TWG は、以下のようなユースケース、ターゲット・アーキテクチャ、仕様を策定する:サービス・プロバイダーと IoT 機器間の相互運用性を実現するための IoT 機器認証/認証プロファイル、自動化されたオンボーディング、アプリケーションやユーザーと IoT 機器のバインディング、スマート・ルーターや IoT ハブを介した IoT 機器認証とプロビジョニング。
本人確認およびバインディング・ワーキンググループは何をするのか?
FIDO アライアンスは、生体「自撮り」マッチングおよび政府発行 ID 文書認証を含む、より新し いリモートでの所持ベースの技法が、新規アカウントのオンボーディングおよびアカウント回復のための ID 保証の質を大幅に改善する可能性があるとしている。 IDWG は、この種のリモート ID 検証およびその他の基準を定義し、その基準の採用を支援す る認定プログラムおよび教材を開発する。
アライアンスは、これらの新しい基準や認証イニシアチブをどのように実現していくのでしょうか?
アライアンスは、ID検証およびバインディング・ワーキンググループ(IDWG)とIoTテクニカル・ワーキンググループ(IoT TWG)という2つの新しいワーキンググループを結成し、これらの分野におけるガイドラインと認証基準を策定している。 FIDO アライアンスは、そのユーザー認証標準と関連プログラムの開発と採用に引き続き注 力し、現メンバーと新たな業界参加者の貢献により、この拡大作業の基盤として利用する。
これらの新しい分野は、ユーザー認証とどのように関係しているのか?
認証器と IoT セキュリティは、FIDO アライアンスの中核であるユーザー認証に隣接している。 FIDO 認証で保護されたアカウントでは、FIDO デバイスが紛失または盗難された場合のアカウント回復プロ セスのための本人確認が、ユーザーのアカウントの完全性を維持するために重要になる。 IoTデバイスの場合、典型的な業界慣行では、デフォルトのパスワード認証情報を使って出荷し、手動でオンボーディングを行うが、これでは攻撃にさらされる可能性がある。 この両分野におけるセキュリティ・ギャップは、サイロ化した独自のアプローチではなく、業界の協力と標準化によって最も効果的に対処することができる。
FIDOアライアンスは、これらの新しい取り組みで何を達成しようとしているのか。
最終的にアライアンスは、ウェブ上にセキュリティの脆弱性を残す隣接する技術分野に取り組むことで、FIDO認証の有効性と市場導入の拡大に努めている。 FIDO 認証標準によって提供される高い保証と、アカウント回復や IoT 認証のための ID 検証で使用される低い保証方法との間にはギャップがある。 アライアンスは、より良いアカウント回復をサポートするために本人確認保証を強化し、IoTからパスワードの使用を排除するために安全なデバイスオンボーディングを自動化することを目指している。
FIDOアライアンスの新たな活動領域とは?
アライアンスは、本人確認とモノのインターネット(IoT)における標準と認証プログラムを開発する新しい作業分野を発表した。
FIDOアライアンスとFIDOスタンダードの今後は?
FIDOアライアンスの活動は始まったばかりだ。 仕様と認証プログラムは進化を続けており、我々の配備作業はさらに重要性を増している。 さらに、アライアンスは、IoT と ID 検証の新しい作業分野を立ち上げたばかりであり、これは、ユーザー認証に関連する技術の標準化を支援するために、世界中の主要組織からなるアライアンスの広範な連合体を活用するものである。 これらの仕事場についての詳細は、https://fidoalliance.org/fido-alliance-announces-id-and-iot-initiatives/。
FIDOアライアンスはどのようにしてFIDO2との相互運用性を確保しているのですか?
FIDOアライアンスは、FIDO2仕様に準拠したサーバー、クライアント、認証器の相互運用性テストと 認定を提供します。 さらに、アライアンスは、すべてのFIDO認証器タイプ(UAF、U2F、CTAP)と相互運用するサーバを対象とした新しいユニバーサルサーバ認定を導入した。 ベストプラクティスとして、FIDOアライアンスはオンラインサービスおよび企業に対し、すべてのFIDO認証器のサポートを保証するユニバーサルサーバーの導入を推奨している。
FIDO2はFIDO U2Fが死んだことを意味するのか?
全然違うよ。 FIDO U2Fの機能はFIDO2のCTAP2プロトコルに統合され、FIDO U2Fセキュリティキーは、FIDO2認証をサポートしているサービスと同様に、U2F認証をサポートしているサービスでも機能し続ける。
FIDO2はFIDO U2FとFIDO UAFの仕様に取って代わるものですか?
FIDO2 の仕様は、既存のパスワードレス FIDO UAF および FIDO U2F のユースケースと仕様をサポートし、FIDO 認証の可用性を拡大する。 すでにFIDO U2Fセキュリティキーなどの外部FIDO準拠デバイスを持っているユーザーは、WebAuthnをサポートするウェブアプリケーションでこれらのデバイスを引き続き使用することができます。 既存のFIDO UAFデバイスは、FIDO UAFプロトコルに基づく新しいサービスだけでなく、既存のサービスでも使用することができる。
FIDO2ブラウザとプラットフォームの実装状況は?
現在の採用状況はこちら。
FIDO2の仕様策定状況は?
FIDO2標準は公表されており、今日から実装可能である。 WebAuthnは2019年3月にW3Cの最終勧告に達し、公式なウェブ標準となった。 CTAPはFIDOアライアンスの最終仕様である。
なぜFIDOアライアンスはW3Cに仕様を提出したのか?
FIDOアライアンスはW3Cと提携し、ウェブプラットフォーム全体のFIDO認証器を標準化することで、FIDOエコシステムは標準をサポートするウェブブラウザやウェブアプリケーションサーバのコミュニティ全体によって成長することができる。 W3Cは、ウェブコミュニティが標準を作成する場所なので、そのフォーラムで作業する方が現実的でした。
FIDO2とW3CのWebAuthnの関係は?
経験則として、この簡単な方程式を覚えておくといいだろう:
FIDO2 = W3C WebAuthn + CTAP
これがFIDO2開発の全貌である:
FIDO UAFおよびFIDO U2F仕様のリリース後、FIDOアライアンスはFIDO認証を世界中のユーザーがより利用しやすくすることに注力した。 アライアンスは、ウェブベースの API を定義する 3 つの技術仕様を策定し、FIDO 認証をブラウザやプラットフォームに直接組み込むことを可能にした。 これらの仕様は、2015年11月にワールド・ワイド・ウェブの国際標準化団体であるW3Cに提出された。 FIDOアライアンスのメンバー企業は、W3CのWeb認証ワーキンググループの中で、WebAuthnとして知られるようになったAPIを完成させるために働いた。 WebAuthnは2019年3月にW3Cのウェブ標準として正式に認定された。
同時期に、FIDOアライアンスは、WebAuthnを補完する仕様であるClient to Authenticator Protocol(CTAP)を作成し、最終化した。 CTAPは、携帯電話、セキュリティキー、Windows 10 PCなど、すでに所有しているデバイスを使用してWebAuthn対応のブラウザやプラットフォームで認証できるようにすることで、ユーザーにとってWebAuthnをさらに身近なものにします。
WebAuthnとCTAPを合わせてFIDO2と呼ぶ。 FIDOアライアンスは、クライアント、サーバー、認証デバイスなど、市場に存在するすべてのFIDO2実装の相互運用性を確保するための認定プログラムを管理・維持している。
なぜFIDOアライアンスはFIDO2の必要性を感じたのか?
FIDOアライアンスの目標は常に、ウェブ全体で強力な認証をユビキタスにすることだ。 それは、人々が毎日使うあらゆるデバイスにFIDO認証のサポートを組み込むことを意味する。 アライアンスは、初期のFIDO U2FおよびFIDO UAF仕様で、特にモバイルプラットフォームにおいて顕著な進展を遂げた。 FIDO2は、FIDO認証をブラウザやウェブプラットフォームのビルトイン機能にすることで、FIDO認証の範囲を拡大するものであり、これはアライアンスの全体的な目標に向けた重要な一歩である。
FIDO2」なのか「FIDO2.0」なのか。
FIDO2は、FIDOの最新規格一式の正式名称である。
FIDO2にはどのような仕様が含まれていますか?
FIDO2には2つの仕様がある:
FIDO2とは?
FIDO2は、FIDOアライアンスの最新の強力な認証標準の包括的な用語である。 FIDO2 には 2 つの仕様がある:W3CのWeb認証(WebAuthn)とFIDOアライアンスのClient to Authenticator Protocol(CTAP)である。
複数のウェブサイトで同じFIDOデバイスを使用できますか? 同じウェブサイトで複数のFIDOデバイスを使用できますか?
はい、1台のFIDOデバイスから複数のウェブサイトを利用できます。 各デバイスとウェブサイトのペアリングには、個別の登録と個別の暗号鍵ペアが必要です。 一度登録すれば、ユーザーは同じデバイスから複数のサイトに簡単に認証することができるが、各サイトはユーザーと他のサイトとのやり取りを知らない。
ユーザーが新しいデバイスを取得した場合、または複数のFIDOデバイスを使用したい場合、ユーザーは使用したいサイトで各デバイスを登録するだけでよい。 いったんデバイスがサイトに登録されると、ユーザーがそのサイトで認証を必要とするときはいつでも、そのデバイスが認識される。 登録されていない新しいデバイスでユーザがサイトを訪問すると、自動的に認識されないため、ユーザは新しい FIDO デバイスを登録するよう促され、そのサイトで新しいデバイスによる FIDO 認証が有効になります。
FIDOデバイスはインターネットに接続できないときでも使えますか?
FIDOモデルの目的は、オンライン・サービスに安全でシンプルな認証体験を提供することである。 認証には、あるデバイスを持つユーザーがネットワーク経由でサービスに接続することが含まれる。
FIDOアライアンスが発行する認定証の認定番号形式は何ですか。
FIDOアライアンス認定番号の形式は以下の通りです:AA はプログラム識別子、NNNNN は認定番号、SSSSS は製品識別子である。 プログラム識別子は、証明書が発行された認証プログラムに対応する。
市場における製品の監査プロセスとは?
FIDOアライアンスのスタッフは、FIDO認定ロゴの使用状況および公表されている認定の主張を毎月監査する。 実際の実施状況の監査は、市場からのフィードバックによって行われる。 何らかの懸念が生じた場合は、認定ロゴ違反 フォームを通じてフィードバックを提出することができます。
製品を販売するためには認証が必要ですか?
いや。 しかし、FIDO Certifiedであると主張し、FIDO Certifiedロゴを使用するには、製品が認証されていなければならない。
FIDOアライアンスはどのように派生製品を認定しているのですか?
派生認証は、基本的にすべて同じ実装に基づく認証を大量に持つ実装者の認証プロセスを合理化するために創設された。 この場合、実装者は1つの実装を認証し、残りはその基本認証の「派生」として登録することができる。 デリバティブは、認証取得のために相互運用性イベントに参加する必要はないが、デリバティブの実装を実行し、適合性テストに合格する必要がある。 実装は、当社のテストツールおよび相互運用性テストを通じて取得したオリジナルの認証から、実質的な方法で変更することはできません。 実装に変更がある場合は、FIDO影響分析を経て、実装にデルタ認定または再認定が必要かどうかを判断する必要がある。
テストはどのくらいの頻度で行われるのですか?
相互運用性イベントは、少なくとも90日ごとに開催されるが、実施者の要望に応じて、より頻繁に開催されることもある。
認証取得にかかる費用は?
料金は、認証された実施1件あたりの料金であり、認証書が発行される前に支払わなければならない。
プログラムごとのFIDO認定料金の概要については、認定料金のページをご覧ください。
FIDOアライアンスメンバーでなくてもFIDO Certifiedになれますか?
そうだ。 非会員の方の実装認証も歓迎します。
ベンダーIDとは何ですか?
UAF認証子仕様は、ベンダーIDとデバイスIDを半分ずつ持つAAIDフィールドを定義し、各認証 子を一意に識別する。 ベンダー ID は、FIDO が UAF 認証機能を実装する各企業に割り当てる一意の識別子である。 AAID フィールドの残り半分であるデバイス ID は、実装会社によって認証子に割り当てられる。 UAF 認証器のみベンダー ID が必要です。
製品の認証期間と、プロトコルが変更された場合の再認証は必要ですか?
製品は、そのFIDO実装のコードベースが実質的に変更されない限り、無期限に認証される。 認定は、実装がテストツールや相互運用性イベントに不適切に合格したと判断された場合など、まれな場合にのみ終了することができる。 認定は、特定の仕様および実装クラス(すなわち、「UAF 認証器」)にのみ適用される。 仕様の新しいメジャーバージョンがリリースされ(FIDO認定ワーキンググループが決定)、実装がその仕様への適合性を主張したい場合、新たな認定が必要となる。
ロゴの使用には商標ライセンス契約(TMLA)が必要ですか?
FIDO Certifiedロゴの使用にはTMLAへの署名が必要です。 ウェブサイトに認証ロゴの使用を希望する依拠当事者には、「クリックレス」ライセンス契約を含む合理化されたプロセスがある。
FIDO Certifiedのロゴはありますか?
そうだ。 ベンダーがウェブサイト、製品資料、パッケージなどに記載するための、認識可能なFIDO Certifiedロゴがある。
どうすれば始められますか?
あなたの実装が適合性テストに合格していることを確認することから始めましょう(登録が必要です)。 実装を検証した後、相互運用性イベントに登録すれば、製品認証への道が開けます。
FIDOアライアンスのメタデータサービスとは何ですか?
FIDOアライアンスメタデータサービス(MDS)は、FIDO認証器ベンダーがFIDOサーバーがダウンロードできるメタデータステートメントを公開できるウェブベースのツールである。 これにより、FIDO サーバを配備する組織は、FIDO 認証子に関する一元化された信頼できる情報源を得ることができる。
どのような企業が参加すべきか?
FIDOベースのソリューションを市場に投入しようとしているベンダー企業や、FIDO認証を導入する最も効果的な方法を理解しようとしている組織サービスプロバイダーは、FIDOアライアンスのワーキンググループに参加することで最大の利益を得ることができる。
ワーキンググループに参加することで、企業にどのようなメリットがあるのか?
FIDOアライアンスの技術ワーキンググループに参加することで、メンバーはFIDOの技術的アウトプットを形成し、早期に可視化することができます。 また、ワーキンググループに参加することで、自社の実装に役立つピアベースのフィードバックを得ることができ、同時に、自社のビジョンを展開ガイドラインや推奨事項に反映させる機会を作ることができる。
機能テストのプロセスについて教えてください。
テストには大きく分けて4つのステップがある:
検査はどのように行われるのですか?
認定は、FIDOアライアンスが提供するテストツールの使用による仕様適合性の自己評価から始まり、その後、FIDOアライアンス主催のテストイベントにおいて、少なくとも3社のテストパートナーとの相互運用性テストが行われる。 現時点では、認定プログラムにラボの側面はないが、認定ワーキンググループは現在、機能的ラボ認定プログラムを開発・実施するための要件を検討している。 詳しくはGetting Startedウェブページをご覧ください。
FIDOアライアンスの各仕様に対するテストには、別途提出料が必要ですか?
そうだ。 実装は、認証を受けようとする実装クラスごとに認証を申請(および認証料の支払い)しなければならない。 例えば、ある実装がFIDO UAFサーバーとFIDO2サーバーの両方を認証する場合、その実装は両方の認証プロセスに従わなければならない(そして両方の認証料を支払わなければならない)。 最終的には2つの認証を受けることになる。 異なる仕様のテストの主な違いは、テストツールが異なることと、相互運用性イベントが異なることだ。
私たちの会社は新製品を作ったばかりですが、まだ認証を受けていません。 FIDO認証の取得を目指しながら、FIDO認証済みと言えるのか?
いや。 FIDO認定プログラムを通過し、認定番号を付与された製品のみがFIDO認定製品を名乗ることができる。
FIDOアライアンスが発行する認定証の認定番号形式は何ですか。
FIDOアライアンスが発行する認定証には、以下の数値形式がある:
SSSXYZAYYYMDD####
SSS – 仕様番号(UAFまたはU2F)
X – 仕様番号
Y – 仕様書のマイナー番号
Z – 仕様書の改訂番号
A – 仕様エラッタ番号
YYYY – 発行年
MM – 発行月
DD – 日間発行
#### – The number of the certificate issued today
市場における製品の監査プロセスとは?
FIDOアライアンスのスタッフは、FIDO認定ロゴの使用状況および公表されている認定の主張を毎月監査する。 実際の実施状況の監査は、市場からのフィードバックによって行われる。 何らかの懸念が生じた場合は、認定ロゴ違反 フォームを通じてフィードバックを提出することができます。
製品を販売するためには認証が必要ですか?
いや。 しかし、FIDO Certifiedであると主張し、FIDO Certifiedロゴを使用するには、製品が認証されていなければならない。
FIDOアライアンスはどのように派生製品を認定しているのですか?
派生認証は、基本的にすべて同じ実装に基づく認証を大量に持つ実装者の認証プロセスを合理化するために創設された。 この場合、実装者は1つの実装を認証し、残りはその基本認証の「派生」として登録することができる。 デリバティブは、認証取得のために相互運用性イベントに参加する必要はないが、デリバティブの実装を実行し、適合性テストに合格する必要がある。 実装は、当社のテストツールおよび相互運用性テストを通じて取得したオリジナルの認証から、実質的な方法で変更することはできません。 実装に変更がある場合は、FIDO影響分析を経て、実装にデルタ認定または再認定が必要かどうかを判断する必要がある。
テストはどのくらいの頻度で行われるのですか?
相互運用性イベントは、少なくとも90日ごとに開催されるが、実施者の要望に応じて、より頻繁に開催されることもある。
認証取得にかかる費用は?
料金は、認証された実施1件あたりの料金であり、認証書が発行される前に支払わなければならない。
FIDOアライアンスメンバーでなくてもFIDO Certifiedになれますか?
そうだ。 非会員の方の実装認証も歓迎します。
ベンダーIDとは何ですか?
UAF認証子仕様は、ベンダーIDとデバイスIDを半分ずつ持つAAIDフィールドを定義し、各認証 子を一意に識別する。 ベンダー ID は、FIDO が UAF 認証機能を実装する各企業に割り当てる一意の識別子である。 AAID フィールドの残り半分であるデバイス ID は、実装会社によって認証子に割り当てられる。 UAF 認証器のみベンダー ID が必要です。
製品の認証期間と、プロトコルが変更された場合の再認証は必要ですか?
製品は、そのFIDO実装のコードベースが実質的に変更されない限り、無期限に認証される。 認定は、実装がテストツールや相互運用性イベントに不適切に合格したと判断された場合など、まれな場合にのみ終了することができる。 認定は、特定の仕様および実装クラス(すなわち、「UAF 認証器」)にのみ適用される。 仕様の新しいメジャーバージョンがリリースされ(FIDO認定ワーキンググループが決定)、実装がその仕様への適合性を主張したい場合、新たな認定が必要となる。
ロゴの使用には商標ライセンス契約(TMLA)が必要ですか?
FIDO Certifiedロゴの使用にはTMLAへの署名が必要です。 ウェブサイトに認証ロゴの使用を希望する依拠当事者には、「クリックレス」ライセンス契約を含む合理化されたプロセスがある。
FIDO Certifiedのロゴはありますか?
そうだ。 ベンダーがウェブサイト、製品資料、パッケージなどに記載するための、認識可能なFIDO Certifiedロゴがある。
どうすれば始められますか?
あなたの実装が適合性テストに合格していることを確認することから始めましょう(登録が必要です)。 実装を検証した後、相互運用性イベントに登録すれば、製品認証への道が開けます。
FIDOアライアンスのメタデータサービスとは何ですか?
FIDOアライアンスメタデータサービス(MDS)は、FIDO認証器ベンダーがFIDOサーバーがダウンロードできるメタデータステートメントを公開できるウェブベースのツールである。 これにより、FIDO サーバを配備する組織は、FIDO 認証子に関する一元化された信頼できる情報源を得ることができる。
どのような企業が参加すべきか?
FIDOベースのソリューションを市場に投入しようとしているベンダー企業や、FIDO認証を導入する最も効果的な方法を理解しようとしている組織サービスプロバイダーは、FIDOアライアンスのワーキンググループに参加することで最大の利益を得ることができる。
