Google Chrome、Microsoft Edge、Mozilla Firefoxのサポートにより、FIDO2プロジェクトは、ユビキタスでフィッシングに強い強力な認証の新時代を開き、世界中のWebユーザーを保護します

カリフォルニア州マウンテンビュー、https://www.w3.org/ — 2018年4月10日 –FIDOアライアンスWorld Wide Web Consortium(W3C)は、世界中のユーザーにシンプルかつ強力なWeb認証を提供するための世界的な取り組みにおいて、標準化に関する重要なマイルストーンを達成しました。 W3Cは、FIDOがW3Cに提出したWeb API仕様に基づく共同作業であるAdvanced Web Authentication(WebAuthn)を、Candidate Recommendation(CR)段階に進めています。 CRは、30を超えるメンバー組織の代表者で構成されるWeb認証ワーキンググループの製品です。 CRはWeb標準の最終承認の前段階であり、W3CはオンラインサービスとWebアプリ開発者に WebAuthnの実装を呼びかけています。

WebAuthnは、ブラウザおよび関連するWebプラットフォームインフラストラクチャに組み込むことができる標準のWebAPIを定義し、Web上、ブラウザ内、およびサイトやデバイス間で安全に認証するための新しい方法をユーザーに提供します。 WebAuthnはFIDOアライアンスと共同で開発され、FIDOのClient to Authenticator Protocol(CTAP)仕様とともにFIDO2プロジェクトのコアコンポーネントです。 CTAPを使用すると、セキュリティキーや携帯電話などの外部認証器を使用して、USB、Bluetooth、またはNFCを介してユーザーのインターネットアクセスデバイス(PCまたは携帯電話)にローカルで強力な認証資格情報を通信できます。 FIDO2 仕様をまとめると、ユーザーはフィッシングに強いセキュリティを備えたデスクトップまたはモバイル デバイスを使用して、オンライン サービスに対して簡単に認証できます。

FIDOアライアンスのエグゼクティブディレクターであるBrett McDowell氏は、「本日発表された新しいFIDO2仕様と主要なWebブラウザのサポートにより、FIDO認証をすべてのプラットフォームとデバイスでユビキタスにするための大きな一歩を踏み出しました」と述べています。 「何年にもわたってますます深刻化するデータ侵害とパスワード認証情報の盗難の後、サービスプロバイダーは今こそ、脆弱なパスワードとワンタイムパスコードへの依存をやめ、すべてのWebサイトとアプリケーションにフィッシングに強いFIDO認証を採用する時です。」

Google、Microsoft、Mozillaは、主力ブラウザでWebAuthn標準をサポートすることを約束し、Windows、Mac、Linux、Chrome OS、Androidプラットフォームの実装を開始しました。 WebAuthnCTAPの両方の仕様が現在利用可能であり、開発者やベンダーは、次世代のFIDO認証のサポートを自社の製品やサービスに組み込むための迅速なスタートを切ることができます。

「ウェブ上のセキュリティは長い間、ウェブが社会にもたらす多くの肯定的な貢献を妨げてきた問題でした。Webセキュリティの問題はたくさんあり、すべてを修正することはできませんが、パスワードに頼ることは最も弱いリンクの1つです。WebAuthn の多要素ソリューションにより、この弱点を解消しています」と W3C CEO の Jeff Jaffe は述べています。 「WebAuthnは、人々がウェブにアクセスする方法を変えるでしょう。」

FIDO2標準化の取り組みの完了、W3C標準トラックに沿ったWebAuthnの推進、および主要なブラウザベンダーの実装へのコミットメントにより、インターネットを使用するすべての人にとって、ユビキタスなハードウェアベースのFIDO認証保護の新時代が開かれます。

フィッシング、中間者攻撃、盗まれた認証情報の悪用など、パスワードに関連するリスクから自社と顧客を保護しようとしている企業やオンラインサービスプロバイダーは、ブラウザまたは外部認証システムを介して機能する標準ベースの強力な認証を間もなく導入できます。 FIDO認証を導入することで、オンラインサービスは、携帯電話やセキュリティキーなど、人々が毎日使用するデバイスの相互運用可能なエコシステムからユーザーに選択肢を提供することができます。

ブラウザとオペレーティングシステムにおける新しいFIDO2仕様の標準化により、世界中の規制当局や標準化団体によって参照され、すでに数億台のデバイスで利用可能であり、Googleなどの企業のサービスを通じて世界中の35億以上のユーザーアカウントに提供されているFIDO認証の範囲がさらに拡大します。 Facebook、NTTドコモ、バンク・オブ・アメリカなど。 新しい仕様は、既存のパスワードレスFIDO UAFと2要素FIDO U2Fのユースケースを補完し、FIDO認証の可用性を拡大します。 FIDO2 Webブラウザとオンラインサービスは、以前に認定されたすべてのFIDOセキュリティキーと完全な下位互換性があります。

FIDOはまもなく相互運用性テストを開始し、FIDO2仕様に準拠したサーバー、クライアント、認証器の認定を発行する予定です。 コンフォーマンステストツールは、FIDO のWebサイトで入手できます。 さらに、FIDOは、すべてのFIDO認証タイプ(FIDO UAF、FIDO U2F、WebAuthn、CTAP)と相互運用するサーバー向けに、新しいユニバーサルサーバー認定を導入します。

WebAuthn と FIDO2 プロジェクトのメリット
W3C の WebAuthn API は、ブラウザや関連する Web プラットフォーム インフラストラクチャに組み込むことができる標準の Web API であり、各サイトに対して強力で一意の公開鍵ベースの資格情報を有効にし、あるサイトから盗まれたパスワードが別のサイトで使用されるリスクを排除します。 FIDO認証システムを搭載したデバイスにロードされたブラウザで動作するWebアプリケーションは、パブリックAPIを簡単に呼び出して、パスワード交換の代わりに、またはパスワード交換に加えて、暗号化操作を使用してユーザーのよりシンプルで強力なFIDO認証を可能にし、サービスプロバイダーとユーザーの両方に多くの利点をもたらします。

  • よりシンプルな認証:ユーザーは、次のものを使用して、1つのジェスチャーでログインするだけです。
    • PC、ラップトップ、および/またはモバイルデバイスの内部または組み込みの認証システム(指紋や顔の生体認証など)
    • WebAuthnを補完するFIDOアライアンスが開発した外部認証器のプロトコルであるCTAPを使用したデバイス間認証のためのセキュリティキーやモバイルデバイスなどの便利な外部認証器
  • より強力な認証:FIDO認証は、パスワードや関連する認証形式のみに依存するよりもはるかに強力であり、次のような利点があります。
    • ユーザー資格情報と生体認証テンプレートは、ユーザーのデバイスから離れることはなく、サーバーに保存されることもありません
    • アカウントは、盗まれたパスワードを使用するフィッシング、中間者攻撃、リプレイ攻撃から保護されます
  • 開発者、FIDOの新しい開発者向けリソースページで、FIDO認証を活用したアプリやサービスの作成を開始できます。

サポートするブラウザベンダーからの引用

Sam Srinivas 氏 (プロダクト マネジメント ディレクター、Google Cloud Security)
「Google Chrome は、より優れたウェブの構築に力を注いでいます。デベロッパーが構造化された方法で安全なキーストアを操作できるようにすることで、このミッションを継続することができます。FIDO内のU2FおよびFIDO2ワーキンググループの創設メンバーとして、これらの規格の立ち上げを楽しみにしており、継続的なコラボレーションを楽しみにしています。」

Dave Bossio 氏 (Microsoft オペレーティング システム セキュリティ担当グループ プログラム マネージャー)
「デバイス、アプリ、ブラウザ、Webサイト全体で機能するパスワードの代替手段を提供することで、パスワードのない未来へのコミットメントを実現します。FIDO Allianceとの協力により、現在承認プロセスの段階にあるWebAuthn APIと、Microsoft EdgeでW3Cのサポートが追加されることを発表できることを嬉しく思います。」

Selena Deckelmann 氏 (Mozilla、Firefox ランタイム、エンジニアリング担当シニアディレクター)
「Web 認証により、Firefox を使用しているユーザーに、ブラウジング体験に別のセキュリティレイヤーを追加する機会を提供します。人々がオンラインでのセキュリティ管理方法をより詳細に制御できるようにし、インターネットをより安全にすることは、Web をオープンに保ち、すべての人がアクセスできるようにするという Mozilla の使命の中核をなすものです。

本日の発表を支持するFIDOメンバーからのコメントは、 FIDO2プロジェクトのウェブページでご覧いただけます。

FIDOアライアンスについて
FIDO(Fast IDentity Online)アライアンス(www.fidoalliance.org)は、強力な認証技術間の相互運用性の欠如に対処し、ユーザーが複数のユーザー名とパスワードを作成して記憶する際に直面する問題を解決するために、2012年7月に設立されました。 FIDOアライアンスは、パスワードへの依存を軽減する、オープンでスケーラブル、相互運用可能な一連のメカニズムを定義する、よりシンプルで強力な認証のための標準によって、認証の本質を変えようとしている。 FIDO認証は、オンラインサービスへの認証において、より強力でプライベートで使いやすいものです。

W3Cについて
World Wide Web Consortium (W3C) の使命は、世界中のすべての人にとって Web がオープンでアクセス可能で相互運用可能な状態を維持するための技術標準とガイドラインを作成することにより、Web の可能性を最大限に引き出すことです。 W3C は、HTML5、CSS、Open Web Platform などのよく知られた仕様を開発し、セキュリティとプライバシーに関する作業を行っていますが、これらはすべてオープンに作成され、独自の W3C 特許ポリシーに基づいて無料で提供されています。

W3C のビジョンである “One Web” には、400 以上の 会員組織 と数十の産業分野を代表する数千人の技術者が集結しています。 W3C は、米国の MIT Computer Science and Artificial Intelligence Laboratory (MIT CSAIL)、フランスに本部を置く European Research Consortium for Informatics and Mathematics (ERCIM)、 日本の慶應義塾大学中国の Beihang University が共同で主催しています。

FIDOアライアンスのPR連絡先
マイク・スミスまたはエイドリアン・ロス
モントナーテックPR
203-226-9290
fidopr@montner.com

W3C PR 連絡先
エイミー・ファン・デル・ヒール
W3C メディアリレーションズコーディネーター
w3t-pr@w3.org
+1.617.253.5628 (米国東部標準時)