ヤフー株式会社(以下、Yahoo! JAPAN)は、5,100万人以上のアクティブユーザーに、検索エンジン、オークション、ニュース、天気、スポーツ、メール、ショッピングなど、100以上のサービスを提供するインターネット企業です。
Yahoo! JAPANでは、サインインするという行為がすべてのサービスへの入り口となります。そのため、すべてのユーザーにとって、その入り口での体験がポジティブなものであることが重要です。同時に、すべてのユーザーの個人情報をしっかりと守ることも重要です。
利便性とセキュリティのバランスをとるために、Yahoo! JAPANはFIDO認証を採用しました。
初期メンバーからアーリーアダプター へ
Yahoo! JAPANは、2014年4月にFIDOアライアンスに加盟した初期メンバーの1社です。メンバーとしての役割を果たす中で、Yahoo! JAPANのエグゼクティブは、アライアンスのコンシューマー・デプロイメント・ワーキンググループ(を通じて、ユーザー認証の仕様策定、特にFIDO2仕様や、コンシューマーへのFIDO導入のベストプラクティスの開発に参加し、Yahoo! JAPANは、2019年にFIDOアライアンスのボードメンバーに任命されました。
FIDOアライアンスに積極的に貢献していたこの時期、Yahoo! JAPANは自社のサービスでFIDOの評価検証を行っていました。Yahoo! JAPANは二要素認証のためにSMSのワンタイムパスコードを提供していましたが、それらはユーザーにとって迅速性、安全性、容易性が欠けていました。FIDO、特にFIDO2標準規格に基づいたアプローチをとることで、何十億ものモバイル、デスクトップそしてラップトップデバイス上でサポートされている生体認証を通じて、Yahoo! JAPANは非常にシンプルな方法で堅牢な認証を提供できることが分かりました。
Yahoo! JAPANのFIDO展開の歩みは、2018年に、ユーザーにFIDO認証を提供するために必要なFIDO2サーバー認定を日本で初めて取得したことから始まりました。社内での広範なテストと試験運用を経て、Yahoo! JAPANは2018年10月にAndroid Chromeで最初の展開を公開しました 。現在は、AndroidとiOSにおいて、ブラウザとネイティブアプリの両方でFIDO認証を提供しています(展開の歩みは図1を参照)。次は、Yahoo! JAPANがデスクトップPCやノートPCでFIDO認証を提供する予定です。
Yahoo! JAPANは、FIDOの導入と同時に、ユーザーがパスワードを完全に無効化し、パスワードを設定することなく新規アカウントを登録できるサービスを開始しました。Yahoo! JAPANの広報担当者は、「パスワードの無効化は、Yahoo! JAPANのプラットフォームのセキュリティとユーザビリティを向上させるための最終的な目標であり、FIDOはその目標をより早く達成するための重要な要素であると考えています」と述べています。
FIDOの利用登録済のYahoo! JAPANユーザーは、サインインはとても簡単です。 (下記図参照):
- ユーザーはユーザーIDを入力し、「次へ」をクリックします
- 指紋などの生体情報の入力を求められます
- ユーザーが生体情報で認証後、サインインに成功
OVERVIEW
FIDO UAFおよびFIDO2仕様を含むFIDOプロトコルは、共有された秘密の代わりに標準的な公開鍵暗号技術を使用することで、より堅牢な認証と、フィッシングやチャネル攻撃からの保護を実現しています。また、これらのプロトコルは、ユーザーのプライバシーを保護するためにゼロから設計されています。
このプロトコルは、異なるオンラインサービスが連携してサービス間でユーザーを追跡するために使用できる情報を提供することはありません。生体情報が使用された場合は、ユーザーのデバイスからそれらが外部に漏洩することはありません。また、ログイン時には、指でスワイプする、PINを入力する、マイクに向かって話す、2要素目となるデバイスを挿入するもしくはボタンを押すなどの簡単な操作で、ユーザーフレンドリーで安全なユーザー体験を提供し、FIDO認証ではこれらすべてがバランスよく実現されています。
Yahoo! JAPANでは、FIDO2仕様と生体情報を利用した認証器が採用され実装しています。
「パスワードの無効化は、私たちのプラットフォームの全体的なセキュリティとユーザビリティのための最終目標であり、FIDOは私たちがその目標をより早く達成するための重要な要素だと考えています」 – Yahoo! JAPAN プロダクトマネージャー 芦田有未
Yahoo! JAPANはFIDOアライアンスのメンバーであることが、導入を容易にし、普及を促進する役割を果たしていると評価しています。FIDOアライアンスのメンバーシップは、OSプラットフォームプロバイダーを含む他のステークホルダーに直接フィードバックを行い、彼らが直面する課題を克服するために直接協力できるプラットフォームとなります。さらに、導入に取り組んでいる他のサービスプロバイダーと協力して、経験やベストプラクティスを共有することができます。
Yahoo! JAPANの広報担当者は、「コンシューマー環境にFIDO認証を導入する場合は、必要となる時間とリソースを理解することが重要です。しかし、FIDOがもたらす重要なインパクトを考えれば、それだけの価値が十分にあると思います」と述べています。
FIDOのメリットを実感
FIDOを利用してYahoo! JAPANのサービスにアクセスしたユーザーのサインイン時間は、他のログイン方法と比べて37%も短縮されました。Yahoo! JAPANの広報担当者は、「サインインは当社のすべてのサービスへの入り口であるため、サインインが迅速に行われることは、ユーザーが当社のサービスに迅速にアクセスできることを意味し、これはユーザーのプラットフォームでの体験全体に大きなプラスの影響を与えます」と述べています。
普及率を高め、より多くのユーザーにこれらのメリットを体験してもらうために、Yahoo! JAPANではメールによるプロモーションやログイン時のポップアップ通知など、さまざまな方法を駆使してユーザーにFIDOの利用を呼びかけています。この戦略の鍵となるのは、より迅速なサインイン、より高いセキュリティ、ログインフローからパスワードを取り除くことができるなど、FIDO認証のメリットを伝えることです。同時に、Yahoo! JAPANは、FIDOを利用したユーザー体験が最適化されるよう継続的に取り組んでいます。
MORE FIDOリソース
