YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
>100 Views
January 29, 18
スライド概要
Yahoo! JAPAN Tech Conference 2018 D-1 セッションのスライドです。
2023年10月からSpeaker Deckに移行しました。最新情報はこちらをご覧ください。 https://speakerdeck.com/lycorptech_jp
関連スライド
各ページのテキスト
安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜 大神 渉 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
おおがみ わたる 大神 渉 Yahoo! JAPAN研究所 セキュリティ・プライバシ 研究開発: 安全で使いやすい技術 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
安心安全な次世代認証を目指して 脅威: パスワードの危険性 時代にあった 使いやすい 不安のない パスワードが 不要な標準技術 自然な認証体験 認証後も 安心・安全 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
はじめに: パスワードの危険性 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
パスワード設定の難しさ ID ID PW PW ID PW 各サイト・アプリで 別々のパスワードを ID 設定できていますか? PW Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
48 →ブラウザのパスワードマネージャーが管理するアカウント Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
なりすましの危険性 リスト型攻撃 覚えられないから、 同じIDとPWに・・ 同じIDとPWが 他でも使えるぞ 流出 →自社のみの防御で防げない
良いとされてきた定期変更 定期的に 変更を強制 PW変更 覚えられない・・ auc123から auc124にしよう 推測しやすく 古いPW(auc123)が 手に入った。数字を ずらして使っている? アメリカ国立標準技術研究所 →定期変更をNISTが非推奨
スマートフォンでのパスワード 入力が難しい・・ passwordに 何回も聞かれるから passにしとこう
あなたの生活は守れますか? ○○pay ヘルスケア SNS FinTech →便利な反面、管理がパスワード Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
パスワードがいらない認証技術 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
認証の3要素 • 記憶 本人のみが記憶するデータ →パスワード • 所持 本人のみが所持している物 → ワンタイムパスワードのトークン • 生体 本人の特徴 → 指紋、虹彩、顔 オンラインで安全に使いたい
ファイド FIDO (Fast IDentity Online) 認証 オンライン認証時のセキュアな通信仕様 Universal Authentication Framework パスワードを 置き換える Universal 2nd Factor パスワードに 付け加える
UAF: パスワードに代わる認証プロトコル 決済の認証を 強固にしたい 指紋など強固な 認証を施す 出典: https://fidoalliance.org
U2F: パスワード + α パスワード以外の 認証だけだと 急に変えられない 機器を接続し、 ボタンを押すなどの 簡単な動作 FIDO Alliance | All Rights Reserved | Copyright 2017 出典: https://fidoalliance.org 15
従来の認証方法との違い 1. 2. 3. 4. ローカルのみでの認証 公開鍵暗号の使用 プライバシー保護 幅広い認証方法を適用出来る Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
1. ローカルのみでの認証 自分の生体情報は 端末だけに保存され その外に出ない 発行 (例) 保存してある 指紋と照合が できました この文書は 信頼出来る →認証OK 送信 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
2. 公開鍵暗号の使用 正しい秘密鍵で 作られた署名だ →認証OK 端末内で生成した 秘密鍵で署名 Aさんの 秘密鍵 発行 (例) 保存してある 指紋と照合が できました 送信 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. Aさんの 公開鍵 (Aさんの 秘密鍵と ペア)
3. プライバシー保護 信頼できる第三者 → 必要ではない サーバー → 秘密情報を置かない サービス/アカウント間でlink-ablityをもたない • 必要以上にトラッキングされない Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
4. 幅広い認証方法を適用できる FIDO認証に対応した認証器をシステムに追加可能 FIDO認証器 FIDOクライアント FIDOサーバー 指紋 虹彩 サービス 1 FIDO標準メッセージ サービス 2 顔 USBキー サービス 3 スマートカード サービス N 新認証手段 出典: https://fidoalliance.org 20
安全なのはわかったが・・・ どうやって FIDO認証を 使ったら いいの? ユーザー Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
認定制度 FIDO仕様が適切に実装されていることを認定 サービスや 端末の ロゴをみて 判別 FIDO®Certified (認定)ロゴ Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. 出典: https://fidoalliance.org
認定1: 相互接続性を確認 異なる企業間・サーバー間でも疎通を確認 サーバー クライアント 認証器 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. 出典: https://fidoalliance.org
認定2: 認証器のセキュリティレベル レベル4 レベル3 レベル2 レベル1 ・ ・ ・ ハードウェアによる 鍵の保護 ソフトウェアだけで 実装可能 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
FIDO認証は既に浸透し始めている 386の製品が認定を取得 →製品やサービスの提供も活発に UAF アプリケーション提供者 例: Docomo、DNPなど 出典: https://fidoalliance.org U2F Webサービス提供者 例: Google、Facebookなど Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
アプリ以外でもUAFを使いたい UAFの安全性をブラウザ経由で利用可能にする仕様 FIDO2 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
ブラウザを通して認証器にアクセス JavaScriptのAPIを通じて認証器を呼び出す サーバー 1. 認証要求 利用者 認証器 Web認証API ブラウザー ID 認証用 秘密鍵 2. 利用者の本人性確認 3. 以下のデータを生成 秘密鍵の情報 アサーション(検証 結果の証明書) 署名 4. アサーションを含めた 署名付きデータを返信 認証用 公開鍵 5. 署名検証 6. 利用者IDの抽出
Web認証 (W3Cとの連携) • Webの標準化団体であるW3C (World Wide Web Consortium)内で新設された Web認証WG (Web Authentication Working Group) では、FIDOアライアンス と連携しながら、同アライアンスが提案したドラフト仕様を元にした「Web認証 (Web Authentication) 仕様」の策定が進んでいる(近々、正式版としてリリース 予定)。FIDOアライアンスでは、この活動をFIDO 2 と位置づけ、2015年11月に 初期ドラフトを提案した。 • 主要なWebプラットフォーム(OSやWebブラウザなど)にFIDO認証を組み込み、 利用者がデバイスを購入すれば直ちに利用できる環境にしていく方針だ。既に Chrome、Edge、Firefoxで実装が進められており、今後の普及が見込まれる。 • FIDO UAFやU2Fと同様にFIDO認証モデルを踏襲しており、同様の公開鍵暗号 方式を採用しているが、改めてWebブラウザからも汎用的にアクセスするための 方式を規定した。 • Web認証で外部の認証器をBLEなどで接続して使う場合のプロトコルの標準化 (CTAP仕様)は、W3CのWeb認証WGではなく、FIDOアライアンスが実施し ている。 ブラウザの標準機能を決定する 団体(W3C)にて仕様を策定中 FIDO Alliance | All Rights Reserved | Copyright 2017 出典: https://fidoalliance.org 28
ブラウザを持つ機器が 必ずしも認証器をもたないのでは・・? 外付けの認証器を使う → CTAP 例 スマホの指紋 認証機能を利用 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
認証器の多様性に対応 内蔵認証器 ユーザーデバイス 外部認証器 着脱型 C T A P 認証器 認証器 クライアント Web認証API クライアント 無線型 Web認証API C T A P 認証器 Web認証API クライアント CTAP (Client To Authenticator Protocol) FIDO Alliance | All Rights Reserved | Copyright 2017 出典: https://fidoalliance.org 30
パスワードがいらない認証技術 次世代デファクトスタンダード:FIDO認証 パスワードにかわり、アプリやブラウザで 様々な認証方法が安全に利用可能に →Yahoo! JAPAN IDの認証方法として検討中 ※会場内「Yahoo! ID連携」ブースもどうぞ Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
認証時の体験 パスワードさえなくせば全て解決・・? Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
こんなことありませんか 認証の機会 多すぎ、少なすぎ また え、もう 認証!? 注文完了!? 認証行為の難しさ • 入力 • 場所や環境に適さない 寒いのに 指紋・・ (周りの人に 見られる・・)
ユーザー毎に認証する環境が異なる 個々のユーザーの環境に応じた適切な認証方法を 提供したい (コンテキストアウェアネス) 家族と一緒にいる 子供を抱いており パターンロックでも 大変・・ 一人で在宅 自宅に1人でいるけど 何度も認証が必要と 言われる 飛行機に乗っている 周囲に人がいるのに 声紋認証を 求められる
自然な認証体験 コンテキストを判断し、適切な認証方法を提供 他の家族が プッシュで 内容を確認 帰宅時だけ 認証し、以後 認証しない 虹彩や 指紋で認証
実現の可能性 IoT: 小型の接続機器の普及により、ユーザーの 「今」の状況を知る手段が増えた 以前データを中継した 端末があるから近くに いるのは家族だな いつもつないでいる Wi-Fiだから自宅だな すごい速さで 移動しているから 飛行機の中だな 様々な要素との組み合わせ→状況を更に知ることが可能に
認証方法の変更で適切なユーザー保護 ユーザーの状況で、セキュリティレベルを変更 中継した機器が付近に あるが、最後の検知は 2年前だから怪しい 自宅付近にはいるが 家の中にいることは わからないから 振り込みはさせない 飛行機での移動中に 決済はさせない アクションの制限や取引の留保で不正な攻撃リスクを 少なくする効果が見込める
実現例: スマートスピーカー 続々と製品を発表 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
既にマルチユーザー判別が可能 例: Google Homeでは設定後に話者を判別 →自分のユーザー情報に触れることなく スピーカーの機能を共有 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
将来的に認証機会・体験が溶け込む 話して家電を操作 → あなたの実在を認証 ID:Wataru.Ogami 部屋の中 何もしなくても 認証されている 誰か入ってきたら Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. 指紋で決済
認証”後” 強固で使いやすい認証でもう大丈夫・・・? Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
課題1: 改竄の危険性 強固な認証の裏で、ユーザーが騙される • フィッシングやMiTB • 振り込み先や金額は正しい? Bさんに 1万円送ろう Aさん 振込 Bさん 1万円 Aさんが指定した 攻撃者に 100万円送金 振込 攻撃者 100万円 内容を 改竄 実際の取引内容 BANK
取引認証transaction confirmation 通信内容が、ユーザーが真に同意をしたもので あることをサーバーが確認する機能 ※FIDO仕様: 秘密鍵で取引内容に署名し、 サーバーが公開鍵で検証可能 署名 正しい指紋 のみ アクセス 秘密鍵 Aさんに 10万円 サーバーへ 検証 公開鍵 サーバーが 保管
取引認証をしても完璧ではない ユーザーがだまされる攻撃は防御が難しい 例: WYSIWYSの担保 • What You See Is What You Sign 見たもの = 署名したもの • ユーザーが意図した内容にのみ署名を打てること
攻撃の例:Overlay アタック 端末の画面 攻撃者が署名させたい 取引内容 ユーザー ユーザーが確認する 取引内容 マルウェアによりユーザーが騙されて署名を打ってしまう
デバイスの機能やUIの工夫で対策可 overlayできない ハード ウェア上の 安全な領域 デバイス ここで表示 内容を生成 Overlayがある場合 この上から操作できない
課題2: 認証対象の本人確認 認証だけでは「悪い」人を弾けない ID:Wataru.Ogami 普通の人に見えても 実は悪い人かも・・?
海外: エストニア(1/2) エストニアは政府発行の国民IDで本人確認を オンラインで行っており。その普及率も高い 人口:約135万人 有効:約126万枚(93%) e-Residency(電子居住)カード 誰でも登録でき、以下が可能 参考:http://id.ee/?lang=en&id= • • • • 署名 署名検証 暗号化・送信 会社登記 • • • 銀行口座の管理 決済システムへの アクセス 税務処理
海外: エストニア(2/2) ICカードだけではなく、モバイルで 使いやすいSIMカードでの提供も 行っている(Mobile-ID) 所定のPINコードとユーザーIDを 入力すれば銀行などのログインが でき、他のデバイスのログインも SMSを使って安全に行う 参考:http://id.ee/index.php?id=36882
国内: デジタルwatashi 経済産業省 ID連携トラストフレームワーク検討会 • 個人番号カードで身元確認した結果をアプリに格納 • 強固な認証を行い、利便性高く情報活用 個人番号 カード ・税務処理の負担軽減 ・予約・領収書の電子化 ・Webサービス上でも 格納 参考:デジタルwatashiアプリを利用したユースケースの御紹介 http://www.meti.go.jp/policy/it_policy/id_renkei/160317_02.pdf
まとめ: 「パスワード」→意識しない認証へ パスワードがいらない世界へ: FIDO認証 FIDO Allianceへ参加して標準化活動に貢献 認証体験の改善 研究開発を進行中 認証後 公的な機関とも連携できる未来へ Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
さいごに 認証行為が社会に溶け込んでいく未来へ • 安全性が向上し、パスワードは必要ない • 認証の機会は減り、体験はさらに簡単に • 本人性の高いサービスが安全に受けられる Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.