テクノロジーの進化とともに、政策も進化する必要がある。
世界市場は、認証技術をめぐるイノベーションであふれかえっているが、政府機関のセキュリ ティとユーザビリティのニーズを満たすのに適したソリューションもある。
FIDO アライアンスは、ワーキンググループとメンバーの公共政策リーダーを通じて、FIDOの仕様が強力な認証のための新しくより良いオプションをどのように提供するかについて、世界中の政策立案者と有意義な議論を行い、関連するポリシーの更新を推奨しています。
FIDO アライアンスの政策立案者向けの重要なポイントは次のとおりです。
- 二要素認証は、もはや高い負担やコストをもたらすものではない。 この声明は、従来のMFA技術にも当てはまりますが、FIDOは特にこれらのコストとユーザビリティの問題に対処し、政府、企業、消費者が容易に大規模に採用できる、よりシンプルで強力な認証機能を実現します。
- 現在、技術は十分に成熟し、1つのデバイスで2つの安全で異なる認証要素を可能にする。 モバイル・デバイスの進化、特に、TEE、SE、TPMといった高度に堅牢で分離された実行環境を提供するハードウェア・アーキテクチャの進化により、これらのデバイスは、物理的に異なるトークンを必要とすることなく、高度なセキュリティを実現できるようになった。 このことは、すでに米国政府と欧州銀行監督機構(EBA)によって認識されている。
- 政府が強力な認証を推進または要求する際には、それが「正しい」認証であることを確認する。 政府は、利用者に多大なコストと負担を課すことで採用を妨げる可能性のある「古い」 認証技術に関する規則を構築すべきではない。また、利用者を危険にさらすセキュリ ティやプライバシーの問題がある認証技術に関する規則を構築すべきではない。
認証要件に取り組んでいる政策立案者は、こちらのフォームに記入してFIDO アライアンスにブリーフィングをリクエストできます。
世界中の政府がFIDOを導入している。 FIDO政府展開のページでそれらについて学んでください。
FIDO アライアンス 公共政策への提出
FIDO アライアンス NIST (2024 年 10 月) への入力と コメント テンプレート: この入力ドキュメントでは、 FIDO アライアンス が NIST – SP 800-63-4 Suite (第 2 回公開ドラフト) にコメントしています。
FIDO アライアンス 欧州委員会への意見 書(2024年9月):この意見書では、 FIDO アライアンス が欧州委員会にコメントしています:実施法案 – 欧州デジタルIDウォレット:完全性とコア機能。
FIDO アライアンス 欧州委員会への意見 書(2024年7月):この意見書では、 FIDO アライアンス が欧州委員会にコメントしています:NIS2指令ドラフト要件。
FIDO アライアンス 経済産業省への意見書 (2024年4月):この意見書では、 FIDO アライアンス が経済産業省の「IoT製品セキュリティ適合性評価スキームの方針案」にコメントしています。
FIDO アライアンス BRSA へのインプット (2024 年 1 月): このインプット ドキュメントでは、 FIDO アライアンス はトルコ銀行規制監督庁 (BRSA) の通達 2023/1 にコメントしています。
FIDO アライアンス NIST への入力 (2024 年 1 月): この入力ドキュメントでは、 FIDO アライアンス は NIST SP 800-171r3: Protecting Controlled Unclassified Information (CUI) in Nonfederal Systems and Organizations にコメントしています。
FIDO アライアンス USG Proposed FAR Clauses for Contractors (2023 年 11 月) へのインプット: このインプット ドキュメントでは、 FIDO アライアンス が FAR Case 2021–019: Standardizing Cybersecurity Requirements for Unclassified Federal Information Systems にコメントしています。
FIDO アライアンス からニューヨーク金融サービス局(DFS)への意見 (2023年8月):
このインプット ドキュメントでは、 FIDO アライアンス が DFS – Revised Proposed 2nd Amendment to Regulation 23 NYCRR 500 – Cybersecurity Requirements for Financial Services Companies にコメントしています。
FIDO アライアンス インプット (2023年6月):
このインプット ドキュメントでは、 FIDO アライアンス が NIST – Identity and Access Management Roadmap (Draft) にコメントしています。
FIDO アライアンス NIST (2023 年 4 月) への入力と コメント テンプレート:
この入力ドキュメントでは、 FIDO アライアンス が NIST – SP 800-63-4 デジタル ID ガイドライン (ドラフト) にコメントしています。
FIDO アライアンス のCFPBへの意見 (2023年1月):
このインプットドキュメントでは、 FIDO アライアンス がCFPB – Small Business Advisory Review Panelにコメントし、個人の財務日付の権利に関する必要なルールメイキングについてコメントしています。
FIDO アライアンス からDFSへの意見 (2023年1月):
このインプット ドキュメントでは、 FIDO アライアンス が DFS – Proposed Cybersecurity Requirements for Financial Services Companies – 23 NYCRR Part 500 にコメントしています。
FIDO アライアンス からDFSへの意見 (2022年8月):
このインプット ドキュメントでは、 FIDO アライアンス が DFS – Proposed Cybersecurity Requirements for Financial Services Companies にコメントしています。
FIDO アライアンス のSECへのインプット (2022年4月):
このインプット ドキュメントでは、 FIDO アライアンス が SEC にコメントしています – 投資アドバイザー、登録投資会社、および事業開発会社向けのサイバーセキュリティ リスク管理規則案。
FIDO アライアンス のFCCへの意見 (2021年11月):
このインプットドキュメントでは、 FIDO アライアンス がFCC – NPRMに対して、SIMスワッピングとポートアウト詐欺を防止するためのルールについてコメントしています。
FIDO アライアンス インプット (2021年10月):
このインプット ドキュメントでは、 FIDO アライアンス が NIST の コンシューマー ラベルについてコメントしています。
FIDO アライアンス の欧州委員会への意見 (2021年10月):
このインプットドキュメントでは、 FIDO アライアンス がeIDAS 2.0のFIDO標準を使用して、欧州委員会についてコメントしています。
FIDO アライアンス からCISAへのインプット (2021年10月):
このインプット ドキュメントでは、 FIDO アライアンス が Draft Zero Trust Maturity Model と Cloud Security Technical Reference Architecture についてコメントしています。
FIDO アライアンス のOMBへのインプット (2021年9月):
このインプット ドキュメントでは、 FIDO アライアンス は、ホワイトハウス行政管理予算局 (OMB) が発行した連邦ゼロ トラスト戦略の草案についてコメントしています。
FIDO アライアンス インプット (2021年2月):
このインプット ドキュメントでは、 FIDO アライアンス が NIST の連邦政府機関と IoT デバイス製造業者向けのガイダンス草案についてコメントしています。
FIDO アライアンス から コンシューマー 金融保護局への意見 (2021年2月):
このインプット ドキュメントでは、 FIDO アライアンス が コンシューマー Financial Protection Bureau (CFPB) に対して、 コンシューマー Access to Financial Records についてコメントしています。
FIDO アライアンス インプット (2020年10月):
このインプット ドキュメントでは、 FIDO アライアンス が NIST の Trusted Internet of Things (IoT) Device Network-Layer Onboarding and Lifecycle Management に関するドラフトについてコメントしています。
FIDO アライアンス の欧州委員会への意見 (2020年9月):
このインプット ドキュメントでは、 FIDO アライアンス が eIDAS の将来に関する欧州委員会 (EC) の Inception Impact Assessment についてコメントしています。 FIDO アライアンス は、ECが検討すべき4つの分野でコメントしています。 1.認証に関して – EC は、LOA High ソリューションが高保証認証を必要とすることを保証す べきである。 2.オプション2によるeIDASの民間部門への拡張は、多くの企業に受け入れられるだろう。 3.物理的な ID 文書のデジタル・バージョンを作成するための新たな選択肢を設けることで、 すべての欧州人が恩恵を受けることができる。 4.事前承認された ID 製品の相互承認と再使用。
米国国立標準技術研究所(NIST)へのFIDO アライアンスインプット(2020年8月):
このインプット ドキュメントでは、 FIDO アライアンス が NIST のデジタル ID ガイドラインに関する草案前のコメント募集についてコメントしています。 FIDO アライアンス は、NISTの検討のために3つの分野でコメントを提供しています。 1.SP 800-63-3 の発行以降の脅威と技術の変化を認識する。 2.AAL3 – 新しい道を探る。 3.FIDO 標準への言及。
FIDO アライアンス から麻薬取締局(DEA)への意見 (2020年6月):
このインプットドキュメントでは、 FIDO アライアンス はDocket No. DEA-218I、麻薬取締局(DEA)による規制薬物電子処方(EPCS)の暫定最終規則に関する意見募集。 FIDO アライアンス は4つの部分からコメントを出し、主に暫定最終ルールの認証要件に焦点を当てたコメント依頼の部分に焦点を当てています。 1.現在の規制と過去10年間のテクノロジーの進化についての見解。 2. FIDO認証および FIDO アライアンス 認定プログラムの紹介。 3.意見募集に記載されたDEAの特定の質問に対する回答。 4.技術や脅威が進化する中で、DEAが改正されたEPCS規制を最新に保つための方法についての提案。
FIDO標準がPSD2の強力な顧客認証に関する規制技術基準要件を満たす方法 (2018年12月):
このドキュメントでは、PSD2 (RTS) に基づく強力な顧客認証および共通で安全な通信の規制技術基準に記載されているセキュリティ要件の詳細なレビューを提供し、FIDO 標準がそのような要件をどのように満たすかについて説明します。
GDPRのFIDO関連性に関するFAQ (2018年9月):
このドキュメントでは、認証、ユーザーの同意、生体認証の使用に関する質問に対する回答を提供します。欧州一般データ保護規則の文脈で。 FIDO認証が、サービス・プロバイダーの規制遵守にどのように役立つかを示している。
決済サービス指令2に関するFIDO アライアンスレター(2017年8月):
FIDO アライアンスが欧州委員会と欧州議会に宛てた書簡(PSD2のフォールバックオプションとしてスクリーンスクレイピングを認めるべきかどうかについて)
米国国立標準技術研究所(NIST)へのFIDO アライアンスインプット:重要インフラのサイバーセキュリティを改善するためのフレームワークに関する情報提供依頼書(RFI)(2017年4月):
FIDO アライアンスは、サイバーセキュリティフレームワークの変更案に関するNISTへの意見書の中で、NISTがフレームワークの次回の更新で言語を明確にし、MFAを明示的に要求することを推奨しています。 アライアンスは、NISTに対し、フレームワークのコアに「認証」サブカテゴリを新たに追加し、「許可されたユーザーの認証は複数の要素によって保護される」ことを推奨するよう要請しています。 この文言で MFA を明示的に取り上げることは、脆弱な認証によって増大するリスクに政府 と業界が対処するために必要であり、フレームワークの適切な更新の一部となるべきである。
欧州銀行監督局(EBA)のディスカッションペーパー「Focused Regulatory Technical Standards on Strong Customer Authentication and Secure Communication Under the Revised Payment Services Directive (PSD2)」に対する回答
EBAに対するこの回答では、 FIDO アライアンス は、セキュリティのベストプラクティスに従ったFIDO準拠の実装が、PSD2に基づく「強力な顧客認証」に関するEBA規制が促進しようとしていること、つまり、加盟店と消費者が大規模に採用する、よりシンプルで強力な認証機能の理想的な例であることを詳しく説明しています。 この回答はまた、EBAがFIDOの公開鍵暗号アーキテクチャを受け入れることで、特にデバイス上の生体認証と組み合わせた場合、決済サービスプロバイダーの脆弱性表面が減少し、その結果オンライン詐欺率も減少すると推定され、ユーザー体験の摩擦が減少することでオンライン決済量全体が加速することを説明している。
FIDOプライバシー: FIDO アライアンス ホワイトペーパー
このホワイトペーパーでは、FIDOプロトコルの設計でプライバシーがどのように考慮されているか、および特定の規制当局からのプライバシー要件を満たすためにどのように役立つかについて説明します。
