FIDOアライアンスの沿革

2009年後半、指紋センサーメーカーValidity Sensorsの当時のCTO(最高技術責任者)のRamesh Kesanupalli氏は、決済サービス会社PayPalの当時のCISO(最高情報セキュリティ責任者)Michael Barrett氏を訪問し、PayPal.comでパスワードの代わりに生体情報を認証に使用してオンラインユザーの本人確認を行う構想を提案しました。Barrett氏は、この構想に関心を示しながらも、複数ベンダーをサポートする業界標準に基づくソリューションが必要であると主張しました。

Kesanupalli氏は、その意見に従い、他の指紋センサーメーカーの技術責任者、大手デバイス販売会社、業界の専門家にも相談を持ちかけました。議論の末、デバイスに格納されている暗号鍵利用のロック解除に生体情報を使うという結論に達しました。この構想では、対となる鍵がサーバに登録されます。それ以降の認証では、この鍵ペアに基づく署名の提示が求められることになります。これにより、クライアントデバイス上の認証のみに裏付けられたパスワードレスログインが可能となります。

この共同作業が基となり、2012年夏にPayPal、Lenovo、Nok Nok Labs、Validity Sensors、Infineon、Agnitioにより、FIDOアライアンスが設立されました。Barrett氏とKesanupalli氏がリーダーとなり、パスワードレス認証プロトコルに関するを開始しました。2013年2月、FIDOアライアンスは正式に発足しました。

同年4月、FIDOアライアンスは、Google、Yubico、NXPが2011年から開発してきたオープンな2要素認証に関する活動を承認しました。この活動では、2要素認証デバイスが自己発行した鍵をサーバに登録するという、FIDOの生体認証ソリューションの基本理念が共有されました。サーバに鍵を登録した後の認証は、サービスが認証チャレンジを発行し、デバイスに格納されている鍵を使用して応答する仕組みに基づきます。この鍵は、ボタンを押すなど、ユーザが実在することを示すジェスチャーによって利用可能となります。2要素認証プロトコルを正式公開する前段として、Googleの社員に2要素認証デバイスを使用してもらい、正常に動作することを確認しました。

歴史的に、堅牢な認証はユーザ個人を識別する情報の照合や中央サービスプロバイダーによる管理に依存していました。2要素認証プロトコルの開発中に、YubicoのCTOであるJakob Ehrensvard氏が秘密を共有せずに複数のサービスにわたって動作する認証器(オーセンティケーター)の構想を提案しました。ユーザは、この認証器を使用することで、匿名でありながら、複数の個人識別情報をセキュアに持つことができるようになりました。この技術は、今日、すべてのFIDO標準の中核となるイノベーションであり、基盤となっています。

2014年12月9日、パスワードレスプロトコルのv1.0(Universal Authentication Framework:UAF)と2要素認証プロトコル(Universal 2nd Factor:U2F)が完成し、同時に公開されました。その後、v1.0に完全準拠したデバイスとサーバが製品化され、その展開範囲が拡大していきました。

設立メンバーの流れをくんで、FIDOにはさまざまな分野から代表的な企業が多く加盟しており、パスワード非依存型でデバイスベースのシンプルで堅牢な認証のビジョンを推進しています。現在、FIDOには、主要ソフトウェアプラットフォームベンダー、決済サービスプロバイダー、大手セキュリティハードウェアベンダー、トップクラスの生体認証ベンダーなどが加盟しています。

2015年には、新しいメンバーの尽力により、FIDOアライアンスのプログラム検討が加速し、FIDOのエコシステムは大きく成長しました。2015年5月、FIDOアライアンスはFIDO® Certified(認定)テストプログラムを導入し、最初のFIDO 認定テストセッションを実施しました。現在、FIDOアライアンスは、世界各地で定期的に認定ワークショップを実施しています。

その後、FIDOのエコシステムでは、初のFIDO 認定された iOS製品や世界的大手のOEMメーカーによる各種スマートフォンの発売、Bluetoothや近距離無線通信(NFC)を介した非接触通信への対応など、さまざまな進展がありました。NTTドコモは、移動通信事業者としては初めてFIDO認証を導入し、6,500万人の日本のユーザがパスワードレス認証を利用できる環境を構築しています。また、2017年に公開予定の新しいFIDO仕様に貢献してきたMicrosoftは、Windows 10でFIDO認証に対応することを表明しました。

また、FIDOアライアンスは、政府機関向けのメンバーシッププログラムし、米国、英国、ドイツ、オーストラリアの各種政府機関が加盟しています。これに加え、各団体との提携やリエゾンについてのプログラムを新たに開始し、FIDO標準の開発に影響を与える世界の業界団体に加盟を呼びかけています。

2016年2月、World Wide Web Consortium(W3C)がFIDOアライアンスによるFIDO 2.0 Web APIに基づくウェブ認証の新たな取り組みを採用したことにより、FIDOアライアンスは新たな段階を迎えました。この取り組みは、ウェブブラウザおよびウェブプラットフォーム全体で強力な認証の標準化を図ることを目的としています。

このほか、FIDOは、国際的な決済規格標準化団体EMVCoと共同で、FIDO認証標準のEMVモバイル決済用途への対応に取り組んでいます。この取り組みの主な目的は、生体認証などの端末上の認証器を使用したシンプルで堅牢な認証を提供することにより、モバイル決済を行うカード保有者向けの、優れたカスタマーエクスペリエンスを維持しながら、詐欺被害を減らすことにあります。

2016年末までに、FIDOアライアンスは、200種類を超えるソリューションを認定し、標準に基づく相互運用可能な認証を提供する世界最大のエコシステムとして確立されました。2017年初めには、Facebookも、FIDO認証に対応することを表明しました。これにより、30 億人を超えるユーザがFIDO認定された認証体験を利用できるようになります。