FIDOアライアンスの政府および政策プログラム

テクノロジーの進化に合わせて、政策も進化する必要があります。

グローバル市場には、認証技術関連のイノベーションが数え切れないほど存在していますが、政府のセキュリティやユーザビリティのニーズを満たすのに適したソリューションは一部にすぎません。

FIDOアライアンスは、独自の政策プログラムを設け、世界の政策立案者と意義のある議論を進めています。その中で、FIDO仕様が強固な認証のより新しく優れたオプションをどのように提供するか、そうしたオプションを支援するために政策をどのように改訂すべきかについて、意見交換を行っています。

政策立案者に対して、FIDOアライアンスは主に次の点を主張しています。

  • 高負荷・高コストではない2要素認証を実現しています。古い従来型のMFA(多要素)テクノロジーは高負荷・高コストであることを踏まえ、FIDOは、特にコストとユーザビリティの問題に取り組み、政府機関、企業、エンドユーザーが簡単に幅広く採用できるように、よりシンプルで堅牢な認証機能を可能にしました。
  • テクノロジーの十分な成熟により、1台のデバイスで2種類の安全で別個の認証要素が利用できます。 モバイルデバイス、特にハードウェアアーキテクチャの進化により、極めて堅牢で分離した実行環境(TEE、SE、TPMなど)が可能となりました。これにより、こうしたデバイスは、物理的に別個のトークンを使用せずに、グレードの高いセキュリティを達成できます。この技術は、すでに米国政府や欧州銀行監督機構(EBA)に認められています。
  • 政府は強固な認証を促進し、必要としていますが、その認証は「正しい」ものでなければなりません。 政府は、ユーザーに高いコストと負担がかかるために採用が進まないような「古い」認証技術や、ユーザーを危険にさらすようなセキュリティ/プライバシーの問題が存在する認証技術に基づいて、規則を策定すべきではありません。

FIDOアライアンスでは、認証要件に携わる政策立案者を対象としたブリーフィングをご依頼に応じて実施しています。ご希望の方は、こちらのお問い合わせフォームに必要事項をご記入の上、ご送信ください。


FIDOアライアンスの政策関連資料

FIDO Alliance Input to the National Institute of Standards and Technology (NIST): Request for Information (RFI) on the Framework for Improving Critical Infrastructure Cybersecurity(米国国立標準技術研究所(NIST)へのFIDOアライアンスの提言:重要なインフラストラクチャのサイバーセキュリティ向上のためのフレームワークに関する情報提供依頼書(RFI))
FIDOアライアンスは、NISTにサイバーセキュリティフレームワークの変更を提言し、NISTが用語や表現を明確化すること、同フレームワークの次回の改訂に多要素認証(MFA)を明示的に要求することを推奨しています。当アライアンスは、NISTに対して、新たな「認証」サブカテゴリをこのフレームワークに追加することを主張するとともに、「認証済みユーザーの認証は多要素で保護すること」を推奨しています。政府や企業が脆弱な認証を原因として増大するリスクに対応できるようにするためには、この表現でMFAを明示的に表明することが必要であり、これを同フレームワークの改訂の一部として含めるべきです。

Response to the European Banking Authority (EBA) Discussion Paper on Future Draft Regulatory Technical Standards on Strong Customer Authentication and Secure Communication Under the Revised Payment Services Directive (PSD2)(欧州銀行監督機構(EBA)の決済サービス指令改訂版(PSD2)に基づく強力な顧客認証とセキュアな通信に関する規制技術仕様(RTS)のドラフトについてのディスカッションペーパーへの回答)
FIDOアライアンスは、EBAに対する回答の中で、セキュリティのベストプラクティスに従ったFIDO準拠の実装は、PSF2の下での「強力な顧客認証」に関するEBA規制が推進する「事業者やエンドユーザーが簡単に幅広く採用できるよりシンプルで堅牢な認証機能」の好例になることを詳しく説明しています。また、FIDOの公開鍵暗号アーキテクチャをEBAが受け入れることにより、特にこのアーキテクチャをデバイスに内蔵された生体認証と組み合わせた場合、決済サービスプロバイダの脆弱性リスクが軽減されるだけではなく、結果としてオンライン詐欺の発生が抑制され、さらにユーザー体験でのストレスが減ることで、オンライン決済を総体的に加速することにつながると述べています。

Input to the Commission on Enhancing National Cybersecurity(米国サイバーセキュリティ強化委員会への提言)
FIDOアライアンスは、この提言書において、サイバー脅威への対応策として、次の3点を米国政府に提言しています:1. パスワードやその他の「共有される秘密情報」による認証方式から別のよりセキュアなソリューションへの転換を国家的な優先事項にすること、2. 認証のベストプラクティスとして、FIDOなどの新しい認証標準の使用を促進すること、3. このようなソリューションへの需要の創出を支援する活動を通じて、強力な認証の採用を加速すること。

FIDO Privacy: FIDO Alliance White Paper(FIDOのプライバシー:FIDOアライアンスのホワイトペーパー)
このホワイトペーパーでは、FIDOプロトコルの設計におけるプライバシーの考慮、規制当局からのプライバシー要件への適合性について説明しています。


リソース
動画:
FIDOに関する解説
FIDO認定製品の紹介 オンラインセミナー: FIDOと政策 FIDOソリューションのデプロイ

その他のリソース: