英国全土の患者が複数のデジタルヘルスおよびソーシャルケアサービスに安全にアクセスできるようにするために、国民保健サービス(NHS)は、一般市民が1回のログインでNHSリソースにアクセスできるOpenID Connectに基づく認証およびID検証サービスであるNHSログインを作成しました。 NHSログインは、NHSログインボタンを表示するアプリやWebサイトを通じて、機密性の高い健康およびケア情報に安全にアクセスするために使用できます。
NHSアプリは、iOSとAndroidで医療予約や処方箋の繰り返し注文など、さまざまなNHSサービスへのシンプルで安全なアクセスを提供し、NHSログインを使用してユーザーを識別および確認する最初のサービスでした。 NHSログインとNHSアプリは当初連携して展開されたため、2つのプログラムが緊密に連携し、最初のユーザーフィードバックを収集する機会が生まれました。
NHSログインとNHSアプリにより、NHSは、公共サービスに設定された基準とガイドラインを満たす、安全でユーザーフレンドリーな多要素認証メカニズムを短期間で提供するという課題に直面しました。 NHSは、この課題を解決するためにFIDO認証に目を向けました。
挑戦
準拠したユーザーフレンドリーなログイン
NHSアプリが提供する情報は機密性が高いため、セキュリティが最も重要です。 そのため、ユーザーはアプリにログインするときに2要素認証(2FA)を使用する必要があり、パスワードとSMSワンタイムパスコード(OTP)の両方が必要でした。 認証方法がユーザーにとって煩雑すぎることがすぐに明らかになり、採用の真の障壁になりました。 NHSは、ユーザーの日常的なアクセスを簡素化するために、パスワード不要の代替ログイン方法が必要であることに気付きました。
これは、NHSログインとNHSアプリを作成したNHS Digitalチームにとって課題でした:新しいソリューションは、公共サービスに設定されたセキュリティ基準とガイドラインを満たす必要があるだけでなく、閣僚レベルのコミットメントのために非常に厳しい期限で実行する必要がありました。
FIDOへの道:
NHSログインとNHSアプリに関するNHSの評価プロセス
NHSログインとNHSアプリの基本的な要件は、英国政府が承認したID保証の原則に準拠した、医療とケアのID管理に対する全国的に合意されたアプローチです。 NHS Digitalは、これらの基準を満たすために、生体認証ログインをアプリケーションの代替ログイン方法にすることを決定しました。 NHSログインは、オープンスタンダードで分散型の認証プロトコルであるOpenID Connect Authorization Code Flowプロトコルをユーザー認証にすでに使用していたため、生体認証ログインの開発に使用されるプラットフォームは、オープンでスケーラブルな標準を備えたプラットフォームの開発に重点を置く必要があります。
NHSのログインチームは、ニーズを満たすことができる多くのプラットフォームを検討し、それぞれを以下の6つの基準で測定しました。
1. オープンでスケーラブルな標準
2. 公開鍵暗号
3. NHSや医療提供者のサーバーではなく、ユーザーのデバイスに保存される生体認証情報
4.AndroidおよびiOSモバイルプラットフォームのサポート
5. 市場/セクターにとらわれない
6.定評のあるアプリケーションや組織で使用されています
NHSログインチームの調査によると、FIDO認証、特にFIDOアライアンスのFIDO UAFプロトコルは、上記の基準をすべて満たしていることが明らかになりました。 その結果、FIDOをOpenID Connect認証コードフローと組み合わせて使用することで、NHSのログインが可能になり、パートナーがデバイスベースの生体認証を通じて患者に強化されたログイン体験を提供できるようになることがわかりました。
概要
FIDOを含むFIDOプロトコル
UAF および FIDO2 仕様では、
標準公開鍵暗号方式
共有シークレットの代わりにテクニック
より強力な認証を提供するには
フィッシングからの保護と
チャネル攻撃。 プロトコルは次のとおりです
また、ゼロから設計され、
ユーザーのプライバシーを保護します。
プロトコルは提供しません
によって使用される情報
コラボレーションするためのさまざまなオンラインサービス
サービス全体でユーザーを追跡します。
生体認証は、使用される場合、決して
ユーザーのデバイスから離れます。 以上です
ユーザーフレンドリーでバランスの取れた
ユーザーエクスペリエンスの保護
ログイン時の簡単な操作(スワイプなど)
指、PINの入力、話しかけ
マイク、秒を挿入-
factor device またはボタンを押す。
ソリューション
NHS Digitalは、生体認証がそのニーズに最も適していると判断し、
要件、FIDOアライアンスのFIDO UAFは、オープンでスケーラブルな標準やモバイルブラウザのサポートなどの基準を最もよく満たしていることがわかりました。
導入の効果
NHSアプリとオプション
生体認証ログインのユーザー数は約120万人で、平均して増加しています
週あたり32,000人の新規ユーザーの割合。 NHS Digitalがユーザーに送信する必要があったSMS OTPの数は、ユーザー1人あたり月間約1.5件と、ほぼ3分の2に減少しました
ユーザーあたり月に約 4 つから、組織にとって大幅なコスト削減になります。
FIDOプロトコルの内部
以下を含むFIDOプロトコル FIDO UAF、標準公開鍵を使用 暗号化技術の代わりに より強力なものを提供するための共有シークレット 認証。 プロトコルは次のとおりです また、ゼロから設計され、 ユーザーのプライバシーを保護します。 プロトコルは できる情報を提供しない さまざまなオンラインサービスで使用されます ユーザーを共同で追跡する サービス、生体認証情報 ユーザーのデバイスから離れることはありません。 これ ユーザーフレンドリーな そして、安全なユーザーエクスペリエンスを提供します。 ログイン時の単純なアクション ( 指紋または顔の生体認証。
「FIDO生体認証は、
デバイスベースを使用するユーザー
アクセスする認証
を使用してNHSサービスに
NHSへのログインがさらに簡単になりました。 私たち
継続的に肯定的なものを受け取る
速度に関するフィードバック
そして率直さ
健康へのアクセスと
ケアのウェブサイトとアプリ
指紋と顔を使う
レコグニション」
– Melissa Ruscoe、NHSログインのプログラム責任者
FIDO UAF開発
NHSは、社内の開発チームを使用してFIDO UAFを統合し、eBayのオープンソースUAFサーバーを採用しました。 また、NHSログインはサーバーレスアーキテクチャであるため、NHS Digitalは、DynamoDBを基盤とするPythonで、AWS Lambda上で最適に動作するようにFIDOサーバーを書き換える必要がありました。 NHSアプリでは、Android実装のガイドとしてeBayオープンソースUAFクライアントも使用しました。 これには、Kotlin で書き直したり、クライアントとしてパッケージ化したりするなど、かなりの調整が必要でした。 NHSアプリは、Cocoapodsを使用してパッケージ化されたSwiftプログラミング言語を使用して、iOS UAFクライアントも作成しました。
FIDO UAFのデプロイとユーザーエクスペリエンス
当初は、FIDO UAFを利用してNHSアプリを患者のための包括的なゲートウェイとして構築する必要があると考えていましたが、NHS Digitalは、患者が通常オンラインで求める基本的な情報のみを含めるだけで済みました。 NHS Digitalは、それを「薄型」に保つことで、プラットフォームを使用する人々がNHS Appの上に独自の機能を考え出すことを可能にします。 ユーザー開発を促進するために、NHS DigitalはAPIを公開し、他のユーザーがデータへの安全でセキュアなアクセスを許可しながら、ユーザーの特定のニーズを満たす独自のアプリを開発できるようにしました。
2020 年 10 月現在、NHS ログインと統合されているライブ パートナーとサービスが 20 あります。 生体認証ログインのオプションを備えたNHSアプリには、約120万人のユーザーベースがあり、毎週平均250,000件のFIDO認証リクエストが行われています。 一方、ユーザーベースは週に32,000人の新規ユーザーの割合で成長を続けており、そのうち約25,000人がFIDO UAF生体認証を設定しています。 生体認証により、NHS Digitalがユーザーに送信しなければならなかったSMSワンタイムパスワード(OTP)の数は、ユーザーあたり月に約4人だったのが、月に3分の2近くに減少し、1.5ユーザーにまで大幅に減少しました。 これは、各SMS OTPの平均コストが1.58ペンスと付加価値税であるため、組織にとって大幅なコスト削減にもつながります。
今後の改善点
NHS digitalは、このソリューションのオープンソース化に取り組んでおり、FIDOクライアントライブラリはすでにiOSとAndroidの両方で利用可能であり、FIDOサーバーライブラリのオープンソース化に取り組んでいます。
将来的には、NHS DigitalはFIDO2 WebAuthnを採用して、より幅広いユースケースとアプリケーションをサポートすることを検討しています。
NHSのケーススタディの PDFドキュメントはこちらからご覧いただけます。
