FIDOアライアンス 標準化担当、デビッド・ターナー
本日、FIDO2を構成する2つのコアプロトコル、CTAP(Client To Authenticator Protocol、デバイス間連携仕様、シータップと読む)v2.1とWebAuthn(以下、Web認証)Level2の機能強化を発表します。 両プロトコルは、FIDOの機能を企業ユーザー向けに拡張し、より複雑なアプリケーションのユースケースをサポートするための重要な進歩です。 今回の機能強化は、世界中でパンデミックやリモートワークが続く中、FIDOメソッドに対する需要や採用率が高まっていることを考慮すると、適切なタイミングであるといえます。
FIDO2のWeb認証プロトコルは、ブラウザのセッション内で認証を実現するアプリケーション・プログラミング・インターフェース(API)のセットです。レベル2は、W3Cという団体が管理している規格の最新版で、4月にリリースされました。 この規格により、FIDO認証を使用するウェブアプリケーションをより簡単に開発することができるようになり、現在、5つの主要なエンドポイントOS(Windows、MacOS、Linux、Android、Chrome OS、iOS)でサポートされています。
本日発表する主な改善点は以下の6つです:
エンタープライズ・アテステーション
本日の発表では、デバイスとユーザーのエンタープライズ管理のサポートが強化されます。 CTAPおよびWeb認証プロトコルには、企業が登録プロセス中に特定のユーザーの個人情報の追加を容易にする機能が追加されており、企業の管理者は認証器配布や使用状況をより簡単に把握することができます。 これらの機能は、ユーザーのプライベートな情報(いずれにしても雇用主に共有されていると思われる情報)を明らかにする可能性があるため、この機能は消費者の認証器では直接利用できません。 代わりに、認証器は、企業自身によってこれらのエンタープライズアテステーションを(クレデンシャル登録の前に)事前にプログラムする必要があります。
クロスオリジンの iFrame サポート
この機能により、ウェブベースの e コマース取引をブラウザのポップアップウィンドウ内で完了させることができます。これは、潜在的な中間者攻撃やブラウザ内攻撃のシナリオから守る方法として、以前の FIDO バージョンでは禁止されていました。 新しい規格では、非常に安全でセキュア、かつ暗号化された方法でこれらの取引を行うことができ、送信元のベンダー、ユーザーの銀行口座、クレジットカード発行会社など、複数のドメインから取得したデータを開示する必要がありません。 また、ユーザーが通信帯域幅の限られた環境(Bluetoothや貧弱なWifi信号など)で接続している場合にも、多くのネットワークトラフィックや遅延を伴うことがないので、認証ワークフローを継続して進めることができます。
アップル・アテステーションのサポート
FIDO アライアンスは、過去 18 ヶ月にわたり、アップル社を貢献メンバーとして迎えてきました。 今回の機能追加により、Web認証プロトコルを使用してデバイス上で認証を行うアップル社の方法をサポートします。
生体情報管理の向上
CTAP v2.1では、生体情報の登録・管理機能が強化され、ユーザーが複数の指紋やその他の生体情報を登録できるようになりました。 また、企業はPINの最小長を設定することができます。 より多くのモバイルデバイスに顔や指紋の認証機能が搭載されるようになったことで、FIDOは最新の認証技術に対応します。
ラージBlobのサポート
一元化された認証サービスを実行する代わりに、この機能は、暗号化されたSSH接続を使用するなど、他の認証シナリオで必要となる証明書などを保存する機能を含みます。
レジデント・クレデンシャルの改良
ディスカバラブル・クレデンシャルと呼ばれるようになったこの機能により、パスワードレスのフローでユーザー名を入れることなく認証できるようになりました。 認証ダイアログは自動的に認証器内に登録されているクレデンシャルを見つけて、それをユーザーに提示し、ユーザーの確認を得ることで 、FIDOをより使いやすくすることができます。
常にユーザー検証を要求
この機能により、ユーザーはサービス事業者から独立した何らかの形のユーザー検証を用いて、認証器上のクレデンシャルを保護することができます。 この機能を有効にしたプラットフォーム認証器およびその他の認証器は、常にユーザー検証を行います。 US FIPS 140-3 などの一部の認定プログラムでは、認証器が認証なしに署名を行うことを禁止しています。
