最初の10製品が新しいFIDO認証器セキュリティ認証を取得

カリフォルニア州マウンテンビュー, 2018年3月20日 — FIDOアライアンスは、よりシンプルで強力な認証のための仕様と認証プログラムを開発している250+の加盟団体であり、本日、認証プログラムを拡張し、モバイルデバイスやPCの物理的なセキュリティキーや生体認証などの認証器のマルチレベルのセキュリティ評価を含めることを発表しました。 また、アライアンスは、新しい認証器認定レベル・プログラムで認定された最初の製品も発表しました。

新しい認証器の認証により、標準ベースのFIDO認証デバイスに格納されたユーザー資格情報が、ユーザーのFIDOデバイスに対する標的型攻撃から保護されているという消費者、企業、サービスプロバイダーの信頼がさらに高まります。 この新しいプログラムには、コンプライアンスを測定し、FIDO仕様をサポートする製品やサービス間の相互運用性を保証する従来のFIDO機能認定が組み込まれています。

FIDOアライアンスのエグゼクティブディレクターであるBrett McDowell氏は、「当社の新しいマルチレベル評価プログラムは、FIDO認定認証器のセキュリティをより透明性の高い視点で捉えるという、ますます重要性を増す市場要件に対応しています」と述べています。「この新しい認定プログラムは、FIDOメタデータサービスと組み合わせて使用することで、企業やオンラインサービスがFIDO対応デバイスから認証情報を登録する際に、より多くの情報に基づいたリスク管理上の決定を下すことができます。その結果、バックエンドではより正確で信頼性の高い「スコア」が得られ、フロントエンドでは煩わしい「ステップアップ認証」の課題が減るため、ユーザーエクスペリエンスが向上します。」

使用可能なレベルとセキュリティ要件

FIDOアライアンスは現在、公開されているすべての仕様に対して、FIDO認定レベル1(L1)認証器とFIDO認定レベル2(L2)認証器の2つのセキュリティレベルのテストと認定を提供しています。 後日、あらゆるセキュリティ要件を網羅する追加レベルが導入されます。

すべてのFIDO認定L1認証器は、FIDO仕様に準拠するための相互運用性テストに合格する必要があります。 また、認証器が動作しているオペレーティングシステムに対してセキュリティのベストプラクティスを使用していることを確認するために、FIDO認定要件に対する設計レビューに合格する必要があります。

FIDO L2セキュリティ認定要件では、認証器は、アプリのダウンロード、悪意のあるWebサイトコンテンツ、または同様の脅威から生じるオペレーティングシステムの侵害から生体認証データと認証資格情報を保護するために、信頼できる実行環境(TEE)やセキュアエレメント(SE)などの制限された動作環境を実装することを義務付けています。 また、FIDO認定L2認証器は、FIDO認定の第三者セキュリティ認証ラボによる包括的な設計レビューに合格する必要があります。 L1認定と同様に、認証器は相互運用性テストに合格する必要があります。

消費者、ウェブサービスプロバイダー、テクノロジープロバイダーにとってのメリット

強力な認証のためのFIDO仕様には、公開鍵暗号とシンプルなユーザーエクスペリエンスが組み込まれており、世界がパスワードへの依存を減らすのに役立ちます。 秘密鍵がデバイスに保存され、デバイスから離れることのない公開鍵暗号を使用することで、FIDO認証情報は、パスワード認証情報に対する最も一般的な攻撃形態であるフィッシングなどのスケーラブルな攻撃の影響を受けにくくなります。 これにより、すべてのFIDO認定実装は、パスワードベースのシステムよりも本質的に安全になります。

FIDO認証器の認定レベルは、認証器が暗号鍵の「秘密」(場合によっては生体認証情報)を安全に保ち、プライバシーの原則が満たされていることを確認することで、強力なセキュリティをさらに強化します。

強力な認証のためにFIDO認証資格を受け入れるWebサービスプロバイダーは、消費者が使用するFIDO認証器の評価、要件の設定、保証レベルの向上を容易にする拡張プログラムのメリットを享受できます。 FIDO認証器を市場に投入しているテクノロジープロバイダーは、その実装がサービスプロバイダーの要件を満たし、市場で製品を向上させていると自信を持って報告しています。 現在、Aetna、Facebook、Google、eBay、Bank of Americaなどのサービスプロバイダーは、FIDO認証のメリットを享受しています。

新たに認定された企業、認定ラボ、その他のリソース

本日発表された、L1およびL2認定を取得した組織は次のとおりです。

FIDO認定L1認証器:AuthenTrend Technology Inc.;キャンバスバイオ;i-Sprint Innovations Pte Ltd(アイスプリント・イノベーションズ)ピクセルピン株式会社;シャープ株式会社深セン国家工程デジタルテレビ株式会社
FIDO認定L2認証器: Feitian Technologies Co., Ltd.

L2認定を実施するために認定されたラボは次のとおりです。北京銀聯カード技術有限公司;ブライトサイトBV;DPLSラボ;一般社団法人電気通信技術協会(TTA);UL Verification Services Inc.(UL Verification Services Inc.)とFIDOアライアンスは現在、認定を求める追加のラボの申請を受け付けています。 プロセスを表示するには、 https://fidoalliance.org/certification/accredited-security-laboratories/ にアクセスしてください。

FIDO認証器認定のレベルと費用の詳細、および認定を受けるための製品の申請については、 https://fidoalliance.org/certification/authenticator-certification-levels/ をご覧ください。

FIDOアライアンス、FIDO仕様、FIDO認定製品の詳細については、 https://fidoalliance.org をご覧ください。

FIDOアライアンスについて
FIDO(Fast IDentity Online)アライアンス(www.fidoalliance.org)は、強力な認証技術間の相互運用性の欠如に対処し、ユーザーが複数のユーザー名とパスワードを作成して記憶する際に直面する問題を解決するために、2012年7月に設立されました。 FIDOアライアンスは、パスワードへの依存を軽減する、オープンでスケーラブル、相互運用可能な一連のメカニズムを定義する、よりシンプルで強力な認証のための標準によって、認証の本質を変えようとしている。 FIDO認証は、オンラインサービスへの認証において、より強力でプライベートで使いやすいものです。

接触:

press@fidoalliance.org