第５回FIDOアライアンス東京セミナーに参加してきた

12月7日に開催されたFIDOのセミナーに参加した。一応、自社で認証周りの仕事をしていて、将来的にはパスワードレスだ！という世の中の機運も感じているので、有給休暇を利用して行ってきた。（有給使わなくても良さそうだったが、レポート書いたりフィードバックしたりするのが面倒＆飽きても途中抜けできないのでプライベートとして行った）　メモ書きレベルだけど残しておこう。

fidoアライアンスとfido認証の概要：ブレット・マクドウェル

既ににパスワード管理は限界
2016年で、14回に１回はフィッシングに成功
大規模企業で年間にかかるパスワードリセットのコストとは年間１M$
fidoはUXとセキュリティとの融合を目指す。

fido japan WGの活動　森山光一

docomo, yahoo, LINEが企業として参加
yahoo, KDDI, LINEがfido2の認定製品をリリース。
今後を考えると、たとえば日本企業のサービスを日本に一時的にきている外国人が使ったとして、これまでのパスワード管理だと日本のサーバーにパスワードを残して帰国してしまう。
でもfidoなら日本にパスワードが残らないので安心。みたいなことも言える。
本人の知らないところにパスワードがたくさん！どう管理されてるかもわからない、みたいなことが避けられる。

グーグルにおけるfidoのとりくみ：北村英志

フィッシングの原因のうち81％が弱いパスワードか弱いwebサイトから盗まれたパスワードによるもの。

パスワードの種類。Something….
・You know (パスワード)
・You have (one time password)
・You are (指紋、虹彩など)

グーグルも最近one time passwordを始めたが問題もある。
コストがかかる(SMSだろうがハードウェアトークンだろうが)、フィッシングに脆弱。

※フィッシングはなぜ怖いのか
　フィッシングで取れる情報はパスワードだけではないから。IPアドレス、ブラウザの種類、その他環境情報。攻撃者がより強い認証を使えてしまう。

yubikeyみたいなauthenticatorが優れているのは、これでsomething you have とyou are の２つを同時に満たせること。グーグルのwebAuthN拡張。たとえばPCでログインしようとしたときに、近くのデバイスで認証すればPCでも認証通るように。
webAuthNの　トランスポート　の標準だと、USBやNFCはあるが近くのスマホなどでやる想定にはなっていない。

クラウド時代の認証保護　河野省二(マイクロソフト)

セキュリティの鍵は昔から変わっていない。ID管理とアクセスコントロール。

Fido support for GDPR ：Alain Martin（ジェムアルト)

今日のテーマ
　データ保護
　データ保持の目的
　データ保持の目的の正しさ？

GDPRにおけるspecial categories of data
政治思想や性的指向などに加え、バイオメトリックデータも対象になる。
パスワードなんかも。（これからヨーロッパでビジネスする上ではネットワークにバイオメトリックデータも流せないので、fidoが必須、ということかな）

富士通によるfidoソリューションの展開　揚田昌人

金融業界以外の領域にもfidoの本人認証を広げたい。例：チケット売買など。

※fidoサーバを提供するベンダーも増えてきたみたいだし、自社で構築する必要もないのでは？他者のfidoサーバにバイオメトリック情報が残るわけでもないんだし。AWS使うようなものだよね。

FIDO2導入とヤフーがめざすパスワードレスの世界　酒井 公希

背景として、伸び続けるアクティブID (前年比10％以上、現在４５００万ID)の中で、リストアタックの脅威からどう守るか。
ヤフーの会員のうち、リストアタックを知らない人は80％以上。
一般論としてパスワードを使いまわしている人はめっちゃ多い。
その中でヤフーのサービスは１００以上、さらにヤフーID連携で外部サービスでもIDが増えているとなるといかにIDを守るかが企業の社会的責任になる。
※グーグルの調査でも、フィッシングの原因のうち弱いパスワードと他企業からのパスワードリスト漏れが大部分とのことだった。他社から漏れるのもうちが漏らすのもアウトという時代がきている中、取り急ぎ自社ではID(メアド)もパスワードもやめますっていうのは流れ作ってくれてるなー。

#fido #WebAuthN #セキュリティ #社会人