デジタル革命時代の「攻めと守りの認証/ID管理」（基調講演：NIST SP800-63-3 などに見る、サイバーセキュリティ対策の国際動向／みずほ銀行など採用、パスワード不要のFIDO最新動向） | セキュリティ／認証

次世代認証方式「FIDO」の
最新動向と活用事例
富士通株式会社
サービステクノロジー本部
ポータルサービス事業部
揚田 昌人
FUJITSU CONFIDENTIAL
0
Copyright 2018 FUJITSU LIMITED
FIDO規格に準拠した
生体認証について
FUJITSU CONFIDENTIAL
1
Copyright 2018 FUJITSU LIMITED
セキュリティの被害状況
日本の動向
世界動向
個人情報漏えい総件数 個人情報漏えい総件数
約11.2億件 約1,510万件
【Symantec 2017年インターネットセキュリティ 【JNSA 2016年 情報セキュリティインシデントに関する調査報告
脅威レポート】 書】
1年でセキュリティ被害にあっ 1年でセキュリティ被害にあった
た企業の割合 企業の割合
38％ 41.9％
【Kaspersky Lab Report: Measuring the Financial
【トレンドマイクロ株式会社 法人組織における
Impact of IT Security on Businesses 】
セキュリティ実態調査 2017年版】
スマートデバイスの急速な普及に伴い、
インターネット利用における情報漏えいが増加
FUJITSU CONFIDENTIAL
2
Copyright 2018 FUJITSU LIMITED
オンラインサービスを利用する上での課題
インターネットバンキング
での不正送金
オンラインゲーム、
コミュニティサイトの
不正操作
不正アクセス
総数
1,840件
なりすましによる
金銭の不正移動が多い
インターネット
ショッピングでの不正購入
出典：不正アクセス行為の発生状況及びアクセス制御機能
に関する技術の研究開発の状況（2017年）
この課題を解決するためには本人認証の強化が重要
FUJITSU CONFIDENTIAL
3
Copyright 2018 FUJITSU LIMITED
本人認証の３要素
記憶
●●●●
user001
ID/パスワード、
PINコード
所持
銀行ATM
第２暗唱番号
業務システム
生体
OTPトークン、
キャッシュカード
指紋、静脈、顔
虹彩、声紋






SNS
Webメール
ファッション通販
家電通販
モバイルバンキング
業務システム
セキュリティルーム
銀行ATM
スマートフォン
サービス利用の本人認証においては、
記憶認証の中のパスワード認証が広く利用されている
FUJITSU CONFIDENTIAL
4
Copyright 2018 FUJITSU LIMITED
サービスで最も利用されているID/パスワード認証例
ID/パスワード認証のリスク
代表例：SNSサービス
フィッシング
キーロガー
リスト攻撃
パスワード運用による対策
ID/パスワード
複数の文字種別を要求（P@22woRD#）
最低文字数 16文字以上
３ヶ月ごとに変更を促す
その結果、利用者は
覚えきれない
忘れてログイン
できない
変更が面倒
そもそもID/PWには脆弱性
FUJITSU CONFIDENTIAL
PW使い回し
サポートに電話
複雑なPW運用は利便性が低下⇒機会損失
5
Copyright 2018 FUJITSU LIMITED
新たな認証「FIDO」
セキュリティ・信頼性
使い回し
フィッシング
キーロガー
利便性・UX
本人認証
パスワードだらけ…
入れるのが手間…
定期的な変更…
Fast IDentity Online
“パスワードの要らない世界”を実現する
オンライン認証の新標準
FUJITSU CONFIDENTIAL
6
Copyright 2018 FUJITSU LIMITED
FIDOの特長
１．生体情報をサーバで保持しない
認証情報は個人端末で完結し、サーバに保持しない。
公開鍵暗号方式をもって認証結果を署名データのみを通信し、正当性を照合。
2. 次世代オンライン認証の国際規格
２．次世代オンライン認証の国際規格
国内外グローバルカンパニーがFIDO Allianceに加盟・推進
（Google、Microsoft、Samsung、Paypal、NTTドコモ ・・・）
３．様々な端末や認証方式が利用可能
3. 様々な端末や認証方法が利用可能
個人端末（iPhone/Android等）を活用。事業者が特定デバイスを用意不要。
複数の認証方式に対応（指紋、虹彩、顔・・・）
FUJITSU CONFIDENTIAL
7
Copyright 2018 FUJITSU LIMITED
特長１．生体情報をサーバで保持しない
パスワード認証
事業者サーバ
利用者
ID・パスワード
ID・パスワード 認証
ID・パスワード
オンラインサービス
FIDO認証
FIDOサーバ
利用者
チャレンジ
生体情報
認証
暗号化された認証結果
レスポンス
（署名されたチャレンジのHash）
生体情報はデバイス内でセキュアに管理
ローカル認証で外部へ出ないため
漏洩リスク無し
FUJITSU CONFIDENTIAL
乱数
デバイス認証
暗号化された認証結果
オンライン認証は公開鍵暗号方式により
セキュリティを確保
8
Copyright 2018 FUJITSU LIMITED
特長２．次世代オンライン認証の国際規格
標準化団体 FIDO Alliance によって2012年7月に設立。（2018年8月現在250社以上）
業界のリーディングカンパニーが多く、様々な業種レイヤーの企業が参画
Board
member
等、34社
Sponsor
member
等、65社
Associate
member
150社以上
各種標準化団体とリエゾン関係
LIAISON
等、29団体
今後のオンライン認証のデファクトスタンダ―ドになると世界で注目
FUJITSU CONFIDENTIAL
9
Copyright 2018 FUJITSU LIMITED
特長３．様々な端末や認証方式で利用可能
どんな端末でも
どんな認証方式でも
スマートフォン
虹彩
タブレット
指紋
PC
専用ハード不要
123456789
端末や認証方法に
依存せずに
利用可能
顔
・・・
FUJITSU CONFIDENTIAL
10
Copyright 2018 FUJITSU LIMITED
FIDOの導入事例・取組み・発表
日本国内
グローバル
FUJITSU CONFIDENTIAL
11
Copyright 2018 FUJITSU LIMITED
近年の日本国内での主な取組み・発表
ボードメンバー
として加盟
NTTドコモによるFIDO UAF 1.0を活用した
dアカウントFIDO生体認証の商用導入
(2015/5/26)
iOS対応(2016/3/7)
第4回
FIDO東京セミナー
2017/12/8
2017/5/17
「みずほダイレクト」
ログインにFIDO導入
FIDO準拠の認証サービス着手
「Windows HelloにYahoo! JAPAN
ログインも対応する」と表明
2017/10/11
2017/4/11
FIDO Japan WG設置発表
2017/4/20
2016/12/8
2016/11/10
2015/5/26
2016/3/7
2016/7/14
dアカウント
FIDO対応
2017/10/18
機種が38
まで拡大
認証基盤ソフトウェアを
FIDO対応
FIDO準拠の「オンライン生体認証サービス」
提供開始
（出展：「FIDO Japan Working Group Updates」資料を元に弊社で編集）
FUJITSU CONFIDENTIAL
12
Copyright 2018 FUJITSU LIMITED
グローバルでの代表的なFIDO導入状況
金融系
その他サービス
企業／サービス
1
種別
企業／サービス 種別
銀行
2
1 Google メール等
銀行
Bank of America
2 Facebook SNS
Dropbox クラウド
3 Shinhan 銀行 3
Bank
4 ING 銀行 4
Bank
5
Wells Fargo
CRM
5
銀行
GitHub ソフトウェア開発プロジェク
ト共有サービス
6 決済 6 FastMail メール
7 決済 7 Aetna ヘルスケア
EC 8 Cigna ヘルスケア
9 GALLAGHER 製造
8
11st
9 eBay EC
10 JD.com EC
11 USAA 保険
FUJITSU CONFIDENTIAL
13
Copyright 2018 FUJITSU LIMITED
弊社の「オンライン生体認証サービス」
について
FUJITSU CONFIDENTIAL
14
Copyright 2018 FUJITSU LIMITED
オンライン生体認証サービスの概要
パスワードの要らない世界を目指す、
次世代オンライン認証規格であるFIDO認証に
準拠した認証機能をSaaSとして提供
FIDOサーバの提供およびシステムの構築支援
FIDOを導入に必要なFIDOサーバと構築支援サービスを提供
FIDOクライアントソフトの提供およびアプリケーションの開発支援
FIDO対応クライアントアプリ用のSDKおよび開発支援サービスを提供
FUJITSU CONFIDENTIAL
15
Copyright 2018 FUJITSU LIMITED
オンライン生体認証サービスの特長
特長Ⅰ サーバへのインテグレーションから、
シンプル＆ クライアントアプリケーション開発の支援まで
トータルサポート ワンストップで提供
特長Ⅱ スマートフォン／タブレットの他、パソコンでも利用可能
高い端末カバー率 生体認証非搭載のスマートフォンでも、インカメラで
実現可能な顔認証機能により、高いカバー率を実現
特長Ⅲ FIDO Allianceの創設メンバーの1社である、
創設メンバーとの Nok Nok Labs社とのパートナーシップ関係
パートナーシップ
特長Ⅳ
グローバルでの
提供が可能
FUJITSU CONFIDENTIAL
世界中にサーバの保有およびサポート体制を活用し
手軽にグローバル対応が可能
16
Copyright 2018 FUJITSU LIMITED
特長Ｉ．シンプル＆トータルサポート
SDKをクライアントアプリケーションに組み込み、富士通のクラウドと認
証連携を行うための環境を構築。クライアントアプリケーションをユーザ
に配布することで導入完了
FUJITSU CONFIDENTIAL
17
Copyright 2018 FUJITSU LIMITED
特長Ⅱ．高い端末カバー率
スマートフォンのカバー率
パソコン/タブレットもカバー
利用可能な生体認証：指紋認証
対応OS：Windows7/8.1/10
顔認証
利用可能端末
18%
指紋センサー内蔵FJ製ノート/タブレットPC
虹彩/指紋/顔認証
利用可能端末
80%
FJ製/他社PC ＋ FJ製外付け指紋センサー
98％
※
（※弊社調べ）
FUJITSU CONFIDENTIAL
18
Copyright 2018 FUJITSU LIMITED
パソコン／タブレットもカバー
弊社独自ソリューション（独自FIDO SDK）により、
貴社Windowsネイティブアプリ／貴社Webサービスに生体認証機能を追加可能
秘密鍵は、FJ製FIDO SDKによりセキュアに管理
お客様環境
パソコン / タブレット
Internet
認証機能／
業務システム
FIDO中継機能
(RP機能）
利用者端末（パソコン）
署名(暗号化)
した認証情報
お客様アプリケーション
既存UI
既存通信部
FIDOクライアント
照合結果を返却
FIDO処理部
生体認証デバイス
FUJITSU CONFIDENTIAL
生体
情報
FIDOサーバ
署名
秘密鍵
DB
19
公開鍵
利用者の公開鍵で
署名検証
Copyright 2018 FUJITSU LIMITED
みずほ銀行様への導入事例
スマートフォン用モバイルバンキングアプリ「みずほダイレクト」への導入
従来の「お客様番号」および「ログインパスワード」を入力することなく
ログイン可能に
将来的にオンライン上の資金移動時の暗証番号や、営業店での印鑑
による本人確認手段の代替など、お客様の安全性ならびに利便性向
上に取り組む
みずほダイレクト
or
指紋
みずほダイレクト
業務システム
or
虹彩
インターネット
顔
FIDOサーバ
登録している
「指紋」or「虹彩」or「顔」の
いずれかの生体情報で認証可能
富士通クラウド
FUJITSU CONFIDENTIAL
20
Copyright 2018 FUJITSU LIMITED
銀行以外の想定活用シーン
インターネットバンキング
スマートキー
施設入口
FIDO認証に準拠した
オンライン認証サービス
オンラインチケット
証明書発行
FUJITSU CONFIDENTIAL
コールセンター
21
カードレスATM
Copyright 2018 FUJITSU LIMITED
今後の展開
FIDO2
利活用シーンの展開像
FUJITSU CONFIDENTIAL
22
Copyright 2018 FUJITSU LIMITED
新規格「FIDO2」
FIDO2
Web認証API仕様により、WeｂブラウザからFIDOが利用可能になる
デバイス間連携仕様が規定され、パソコンをスマホ等で認証できる
主な適用範囲の比較
2018年
4月10日～
FIDO 1.x UAF
Android iOS
スマートフォン/タブレット
Nativeアプリケーション
Windowsパソコン
FIDO2
FIDO2対応の
バージョン
等
Android iOS
Windows10
FUJITSU CONFIDENTIAL
スマホ／タブレット
Nativeアプリ
Webページ、Webアプリ
等
パソコン
Webページ、Webアプリ
23
FIDO2対応の
バージョン
Copyright 2018 FUJITSU LIMITED
FIDO2 への取り組み
弊社はFIDOの新規格「FIDO2」へも早期に対応
導入イメージ（パソコンのWebブラウザ）
パソコンでの生体認証のイメージ
会員ページログイン
会員番号：
2220012***
パスワード：
パスワードログイン
生体認証
スマートフォンでの生体認証のイメージ
パスワードをご利用いただく場合は、必ず他のサービスにはご利用になっていないパスワー
ドを設定してご利用ください。同じパスワードを複数のサービスでご利用いただいている場
合、仮に１つのサービスが悪意のある第三者によって攻撃された場合、パスワードを使い
まwしている他のサービスにおいても危険が及ぶ可能性があります。パスワードをご利用い
ただく場合は、必ず他のサービスにはご利用になっていないパスワードを設定してご利用く
ださい。同じパスワードを複数のサービスでご利用いただいている場合、仮に１つのサービ
スが悪意のある第三者によって攻撃された場合、パスワードを使いまwしている他のサービ
スにおいても危険が及ぶ可能性があります。
パスワードをご利用いただく場合は、必ず他のサービスにはご利用になっていないパスワードを設定してご利用くだ
さい。同じパスワードを複数のサービスでご利用いただいている場合、仮に１つのサービスが悪意のある第三者に
よって攻撃された場合、パスワードを使いまwしている他のサービスにおいても危険が及ぶ可能性があります。
弊社「オンライン生体認証サービス」は、このFIDO2 を見据えた実装・導入が可能です。
いち早くFIDO2 の実装をお試しいただけるパック商品もご案内しております。
FUJITSU CONFIDENTIAL
24
Copyright 2018 FUJITSU LIMITED
お問い合わせ先
オンライン生体認証サービス全般に関するお問合せ
宛先： IoTソリューションお問い合わせ窓口
メール： contact-iotsolution@cs.jp.fujitsu.com
電話： 050-3116-7791
受付時間 9～17時(土日・祝日・年末年始、当社指定の休業日を除く)
FUJITSU CONFIDENTIAL
25
Copyright 2018 FUJITSU LIMITED
Copyright 2017 FUJITSU LIMITED