テクノロジーの進化とともに、政策も進化する必要がある。
世界市場は、認証技術をめぐるイノベーションであふれかえっているが、政府機関のセキュリ ティとユーザビリティのニーズを満たすのに適したソリューションもある。
FIDO アライアンス は、その作業部会およびメンバーの公共政策リードを通じて、FIDO 仕様が強 力な認証のためにどのように新しくより良い選択肢を提供するかについて、世界中の政策立案者 と有意義な議論を行い、関連する政策の更新を推奨している。
FIDO アライアンス政策立案者への重要なポイントは以下の通りである:
- 二要素認証は、もはや高い負担やコストをもたらすものではない。 この声明は、従来のMFA技術にも当てはまりますが、FIDOは特にこれらのコストとユーザビリティの問題に対処し、政府、企業、消費者が容易に大規模に採用できる、よりシンプルで強力な認証機能を実現します。
- 現在、技術は十分に成熟し、1つのデバイスで2つの安全で異なる認証要素を可能にする。 モバイル・デバイスの進化、特に、TEE、SE、TPMといった高度に堅牢で分離された実行環境を提供するハードウェア・アーキテクチャの進化により、これらのデバイスは、物理的に異なるトークンを必要とすることなく、高度なセキュリティを実現できるようになった。 このことは、すでに米国政府と欧州銀行監督機構(EBA)によって認識されている。
- 政府が強力な認証を推進または要求する際には、それが「正しい」認証であることを確認する。 政府は、利用者に多大なコストと負担を課すことで採用を妨げる可能性のある「古い」 認証技術に関する規則を構築すべきではない。また、利用者を危険にさらすセキュリ ティやプライバシーの問題がある認証技術に関する規則を構築すべきではない。
認証要件に取り組んでいる政策立案者は、FIDO アライアンス のブリーフィングをこちらのフォームに記入してリクエストすることができる。
世界中の政府がFIDOを導入している。 FIDO政府展開のページでそれらについて学んでください。
FIDO アライアンス 公共政策の提出
FIDO アライアンス インド準備銀行(RBI)への意見書(2024年12月):このインプット文書では、 がインド準備銀行(RBI)に対してコメントする:インド準備銀行(RBI)に対する意見(案):デジタル決済取引の代替認証機 構に関する意見枠組み(案)。FIDO アライアンス
FIDO アライアンス ENISAへのインプット(2024年12月):このインプット文書では、 が ENISA にコメントする:NIS2 セキュリティ対策の実施ガイダンス(案)。FIDO アライアンス
FIDO アライアンス NIST へのインプット(2024 年 10 月)とコメントテンプレート:この入力文書では、 が NIST – SP 800-63-4 Suite (Second Public Draft)に対してコメントしている。FIDO アライアンス
FIDO アライアンス 欧州委員会への意見書(2024年9月):この意見書では、 が欧州委員会に対してコメントする:欧州デジタルIDウォレット実施法草案:完全性と中核機能FIDO アライアンス
FIDO アライアンス 欧州委員会への意見書(2024年7月):このインプット文書において、 は欧州委員会にコメントする:NIS2指令ドラフト要件。FIDO アライアンス
FIDO アライアンス 経済産業省への意見(2024 年 4 月):本意見書では、 、経済産業省(METI):IoT製品セキュリティ適合性評価スキーム方針(案)に対して意見を述べる。FIDO アライアンス
FIDO アライアンス BRSA への意見書(2024 年 1 月):このインプット文書では、 、トルコ銀行規制監督庁(BRSA)の通達2023/1に対するコメントを掲載している。FIDO アライアンス
FIDO アライアンス NISTへの意見(2024年1月):この入力文書では、 が NIST SP 800-171r3 に対してコメントしている:Protecting Controlled Unclassified Information (CUI) in Nonfederal Systems and Organizations.FIDO アライアンス
FIDO アライアンス USG が提案した請負業者向け FAR 条項(2023 年 11 月)への意見:この入力文書では、 、FAR Case 2021-019: Standardizing Cybersecurity Requirements for Unclassified Federal Information Systems(未分類の連邦情報システムに対するサイバーセキュリティ要件の標準化)に対してコメントしている。FIDO アライアンス
FIDO アライアンス ニューヨーク州金融サービス局(DFS)への意見(2023年8月): 本意見書では、 、DFS – 23 NYCRR 500 -Cybersecurity Requirements for Financial Services Companies(23NYCRR500-金融サービス会社に対するサイバーセキュリティー要件)の改訂第2次修正案- にコメントする。
FIDO アライアンス
FIDO アライアンス NIST へのインプット(2023 年 6 月): このインプット文書では、 が NIST – Identity and Access Management Roadmap (Draft) にコメントする。
FIDO アライアンス
FIDO アライアンス NIST への入力(2023 年 4 月)とコメントテンプレート: この入力文書では、 が NIST – SP 800-63-4 デジタル ID ガイドライン(草案)にコメントする。
FIDO アライアンス
FIDO アライアンス CFPB へのインプット(2023 年 1 月): このインプット文書では、 が CFPB – 中小企業諮問検討委員会(Small Business Advisory Review Panel on Required Rulemaking on Personal Financial Date Rights)に対してコメントしている。
FIDO アライアンス
FIDO アライアンス DFS へのインプット(2023 年 1 月): このインプット文書では、 が DFS – Proposed Cybersecurity Requirements for Financial Services Companies – 23 NYCRR Part 500 にコメントしている。
FIDO アライアンス
FIDO アライアンス DFS へのインプット(2022 年 8 月): このインプット文書では、 が DFS – Proposed Cybersecurity Requirements for Financial Services Companies(金融サービス会社に対するサイバーセキュリティ要件提案)に対してコメントしている。
FIDO アライアンス
FIDO アライアンス SEC へのインプット(2022 年 4 月): このインプット文書では、 が SEC – Proposed Cybersecurity Risk Management Rules for Investment Advisers, Registered Investment Companies, and Business Development Companies – にコメントした。
FIDO アライアンス
FIDO アライアンス FCC へのインプット(2021 年 11 月): このインプット文書では、 が FCC – NPRM on Rules to Prevent SIM Swapping and Port-Out Fraud にコメントしている。
FIDO アライアンス
FIDO アライアンス NIST へのインプット(2021 年 10 月): このインプット文書では、 が NIST の Labeling for IoT Devices についてコメントしている。
FIDO アライアンス コンシューマー
FIDO アライアンス 欧州委員会への意見書(2021年10月): この意見書では、 、欧州委員会 – eIDAS 2.0におけるFIDO標準の使用についてコメントしている。
FIDO アライアンス
FIDO アライアンス CISA へのインプット(2021 年 10 月): このインプット文書では、 、「ゼロトラスト成熟度モデル(案)」と「クラウド・セキュリティ・テクニカル・リファレンス・アーキテクチャー(案)」についてコメントする。
FIDO アライアンス
FIDO アライアンス OMB への意見書(2021 年 9 月): この意見書では、 、ホワイトハウス行政管理予算局(OMB) が公表した「連邦ゼロ・トラスト戦略草案」についてコメントしている。
FIDO アライアンス
FIDO アライアンス NIST へのインプット(2021 年 2 月): このインプット文書では、 が NIST の「連邦政府機関および IoT 機器製造業者向けガイダンス草案」についてコメントしている。
FIDO アライアンス
FIDO アライアンス コンシューマー コンシューマー 金融保護局への意見書(2021年2月): この意見書では、 金融記録へのアクセスに関する 金融保護局(CFPB)への意見。
FIDO アライアンス コンシューマー
FIDO アライアンス NIST へのインプット(2020 年 10 月): このインプット文書では、 、NIST の Trusted Internet of Things (IoT) Device Network-Layer Onboarding and Lifecycle Management に関する草案についてコメントする。
FIDO アライアンス
FIDO アライアンス の欧州委員会への意見 (2020年9月):
このインプット ドキュメントでは、 FIDO アライアンス が eIDAS の将来に関する欧州委員会 (EC) の Inception Impact Assessment についてコメントしています。 FIDO アライアンス は、ECが検討すべき4つの分野でコメントしています。 1.認証に関して – EC は、LOA High ソリューションが高保証認証を必要とすることを保証す べきである。 2.オプション2によるeIDASの民間部門への拡張は、多くの企業に受け入れられるだろう。 3.物理的な ID 文書のデジタル・バージョンを作成するための新たな選択肢を設けることで、 すべての欧州人が恩恵を受けることができる。 4.事前承認された ID 製品の相互承認と再使用。
米国国立標準技術研究所(NIST)へのFIDO アライアンスインプット(2020年8月):
このインプット ドキュメントでは、 FIDO アライアンス が NIST のデジタル ID ガイドラインに関する草案前のコメント募集についてコメントしています。 FIDO アライアンス は、NISTの検討のために3つの分野でコメントを提供しています。 1.SP 800-63-3 の発行以降の脅威と技術の変化を認識する。 2.AAL3 – 新しい道を探る。 3.FIDO 標準への言及。
FIDO アライアンス 麻薬取締局(DEA)への意見(2020年6月): この意見書では、 、Docket No.
FIDO アライアンス DEA-218I、麻薬取締局(DEA)による規制薬物電子処方(EPCS)の暫定最終規則に関する意見募集。 FIDO アライアンス コメントは4部構成となっており、意見募集のうち、中間最終規則の認証要件に焦点を当てた部分に主に焦点を当てている: 1.現在の規制と過去10年間のテクノロジーの進化についての見解。 2.FIDO 認証とFIDO アライアンス 認証プログラムの紹介。 3.意見募集に記載されたDEAの特定の質問に対する回答。 4.技術や脅威が進化する中で、DEAが改正されたEPCS規制を最新に保つための方法についての提案。
FIDO標準がPSD2の強力な顧客認証に関する規制技術基準要件を満たす方法 (2018年12月):
このドキュメントでは、PSD2 (RTS) に基づく強力な顧客認証および共通で安全な通信の規制技術基準に記載されているセキュリティ要件の詳細なレビューを提供し、FIDO 標準がそのような要件をどのように満たすかについて説明します。
GDPRのFIDO関連性に関するFAQ (2018年9月):
このドキュメントでは、認証、ユーザーの同意、生体認証の使用に関する質問に対する回答を提供します。欧州一般データ保護規則の文脈で。 FIDO認証が、サービス・プロバイダーの規制遵守にどのように役立つかを示している。
FIDO アライアンス Letter Regarding Payment Services Directive 2(August 2017): ‘s letter to European Commission and European Parliament on whether screen scraping be allowed as fallback option under PSD2.
FIDO アライアンス
FIDO アライアンス 米国国立標準技術研究所(NIST)への意見:Request for Information (RFI) on the Framework for Improving Critical Infrastructure Cybersecurity(April 2017): サイバーセキュリティ・フレームワークの変更案に関するNISTへの意見で、 は、NISTがその文言を明確にし、フレームワークの次回の更新でMFAを明示的に要求するよう提言している。
FIDO アライアンス アライアンスは、NISTに対し、フレームワークのコアに「認証」サブカテゴリを新たに追加し、「許可されたユーザーの認証は複数の要素によって保護される」ことを推奨するよう要請しています。 この文言で MFA を明示的に取り上げることは、脆弱な認証によって増大するリスクに政府 と業界が対処するために必要であり、フレームワークの適切な更新の一部となるべきである。
欧州銀行監督機構(EBA)、改正決済サービス指令(PSD2)の下での強固な顧客認証およびセキュアな通信に関する今後の規制技術基準草案に関するディスカッション・ペーパーへの回答
この EBA への回答では、FIDO アライアンス 、セキュリティのベスト・プラクティスに従う FIDO 準拠の実装が、PSD2 の下での「強固な顧客認証」に関する EBA 規制が育成しようとしている理想的な例、すなわち加盟店と消費者が大規模に採用する、シンプルで堅牢な認証機能であることを詳述している。 この回答はまた、EBAがFIDOの公開鍵暗号アーキテクチャを受け入れることで、特にデバイス上の生体認証と組み合わせた場合、決済サービスプロバイダーの脆弱性表面が減少し、その結果オンライン詐欺率も減少すると推定され、ユーザー体験の摩擦が減少することでオンライン決済量全体が加速することを説明している。
FIDOプライバシー FIDO アライアンス ホワイトペーパー
このホワイトペーパーでは、FIDOプロトコルの設計においてプライバシーがどのように考慮されているか、また、特定の規制当局からのプライバシー要件を満たすためにどのように役立つかを説明しています。
