ヤフー株式会社は、検索エンジン、オークション、ニュース、天気予報、スポーツ、メール、ショッピングなど、100以上のサービスを5,100万人以上のアクティブユーザーに提供するインターネット企業です。

ヤフーにとって、サインインという行為は、すべてのサービスへの入り口です。 そのため、そのエントリ ポイントでのエクスペリエンスがすべてのユーザーにとってポジティブなものであることが重要になります。 同時に、すべてのユーザーの個人情報が十分に保護されていることも同様に重要です。

利便性とセキュリティの適切なバランスを見つけるために、ヤフーはFIDO認証に目を向けました。

初期メンバーから早期導入者へ

ヤフーは、2014年4月に FIDO アライアンスに加盟した初期のメンバーの1つです。 ヤフーの役員は、メンバーとして、アライアンスの コンシューマー Deployment Working Groupを通じて、ユーザー認証仕様、特にFIDO2規格の策定や、消費者向けのFIDO採用のベストプラクティスに参加しました。 ヤフーは、2019年に FIDO アライアンス の取締役に就任しました。

FIDO アライアンスに積極的に貢献していたこの時期に、ヤフーは自社のサービスに対してFIDOの評価を行っていました。 JAPANは、2要素認証用のSMSワンタイムパスコードを提供していましたが、ユーザーにとって迅速、安全、または簡単なものではありませんでした。 ヤフーは、FIDOの標準ベースのアプローチ、特にFIDO2標準を採用することで、サポートされている何十億ものモバイルデバイス、デスクトップ、ラップトップデバイスで、デバイス上の生体認証を介して非常に簡単な方法で強力な認証を提供できることを学びました。

ヤフーは、2018年に日本で初めてFIDO認証をユーザーに提供するために必要なFIDO2サーバーの認証を取得したことから、FIDO導入の道のりをスタートさせました。 2018年10月、ヤフーは社内で徹底的なテストと試験運用を行い、証明書利用者による初のAndroid Chromeへの導入を発表しました。 現在、同社はAndroidとiOSの両方で、ブラウザとネイティブアプリケーションの両方でFIDO認証を提供しています(展開の過程については、図1を参照してください)。 今後、ヤフーはデスクトップPCとノートPCでFIDO認証を提供する予定です。

FIDOの導入と同時に、ヤフーはパスワードを完全に無効にし、パスワードを設定することなく新しいアカウントを登録する機会をユーザーに提供し始めました。

FIDOにオプトインしているYahoo!JAPANユーザーの方は、サインインが非常に簡単です
(図2を参照):

  1. ユーザーはユーザーIDを入力し、[次へ]をクリックします
  2. デバイスは、指紋などの生体認証を要求します
  3. ユーザーは生体認証を提示し、正常にサインインします

概要


FIDO UAFやFIDO2仕様などのFIDOプロトコルは、共有シークレットの代わりに標準の公開鍵暗号技術を使用して、より強力な認証とフィッシング攻撃やチャネル攻撃からの保護を提供します。 また、プロトコルは、ユーザーのプライバシーを保護するためにゼロから設計されています。

このプロトコルは、さまざまなオンラインサービスがサービス間でユーザーを協力して追跡するために使用できる情報を提供しておらず、生体認証を使用すると、ユーザーのデバイスから離れることはありません。 これはすべて、指をスワイプする、PINを入力する、マイクに話す、第2要素デバイスの挿入、ボタンを押すなど、ログイン時の簡単なアクションによるユーザーフレンドリーで安全なユーザーエクスペリエンスとバランスが取れています。


その展開にあたり、ヤフーはFIDO2規格と生体認証システムを活用しました。

「パスワードの無効化は、プラットフォーム全体のセキュリティとユーザビリティの最終目標であり、FIDOは、より早くそれを実現するための重要な要素であると考えています」 — Yahoo! JAPANプロダクトマネージャー、芦田由美氏


また、ヤフーは、 FIDO アライアンス への加盟を高く評価しており、導入の容易化と採用拡大に貢献しています。メンバーシップは、企業がオペレーティング システム プラットフォーム プロバイダーを含む他の利害関係者に直接フィードバックを提供し、彼らが直面する課題を克服するために直接協力するためのプラットフォームを提供します。また、デプロイに取り組んでいる他のサービスプロバイダーと協力して、経験やベストプラクティスを共有することもできます。

「FIDO認証をコンシューマ環境に導入している企業にとっては、必要な時間とリソースを理解することが重要です。 しかし、FIDOがもたらす有意義な影響を考えると、それだけの価値は十分にあります」 — Yahoo! JAPANプロダクトマネージャー、芦田由美氏

FIDOのメリットを実感

FIDOのユーザーがYahoo! JAPANのサービスにアクセスする場合、サインイン時間は他のログイン方法と比較して37%と大幅に短縮されました。 「サインインはすべてのサービスへの入り口であるため、サインインの迅速化と成功は、ユーザーがより迅速にサービスにアクセスできることを意味します。これは、当社のプラットフォームでのユーザーの全体的なエクスペリエンスに大きなプラスの影響を与えます」と、Yahoo! JAPANのプロダクトマネージャーである芦田由美氏は述べています。

Yahoo! JAPANでは、採用率を高め、より多くのユーザーにこれらのメリットを体験してもらうために、メールプロモーションやログイン時のポップアップ通知など、多くの戦術を活用してユーザーをFIDOへの登録に招待しています。 この戦略の鍵となるのは、サインインの高速化、セキュリティの強化、ログインフローからのパスワードの削除機能など、FIDO認証の利点を伝えることです。 同時に、ヤフーはFIDOによるユーザー体験の最適化に継続的に取り組んでいます。