パスワードのないログインを目指して 〜 ヤフーのFIDO標準化活動

こんにちは。Yahoo! JAPAN研究所の大神 渉です。
パスワードの代わりに生体認証などを使うシンプルな認証技術「FIDO」の標準化活動に携わっています。

2020年6月4日に、FIDOアライアンスから私が著者として関わった「White Paper: Multiple Authenticators for Reducing Account-Recovery Needs for FIDO-Enabled Consumer Accounts」というホワイトペーパー（FIDOのベストプラクティスや標準技術の活用に関してFIDOアライアンスが発行する文書のこと）が発行されました。

本記事では、私の経験をもとにヤフーがパスワードレス認証に向けて、さまざまな企業や団体と協力しながら標準化活動としてどんなことをしているか、ご紹介します。
標準化という字面から、「硬くて難しい」イメージがあるかもしれませんが、共通の課題を多く人と協力することで解決方法を見いだしていく過程が少しでも共有できましたら幸いです。

FIDOアライアンスとFIDO認証とは

はじめに、今回お話する認証の標準技術についてご説明します。

FIDO(Fast IDentity Online、ファイドと読む)アライアンスはパスワードへのパスワードへの依存を減らすことを目的に、2012年2月に発足したグローバルな業界団体です。
FIDOアライアンスは、パスワードの代わりに、指紋や顔などの生体認証を含む、多様な認証方法をログインに適用できるFIDO認証の仕様を策定し、標準化を推進しています。
FIDO認証は、ユーザーが所持するデバイスを使ってさまざまな方法で本人の確認などを行い、サーバーには認証に成功したという情報のみを送信することで、生体情報などをサーバーには渡さない安全な仕組みです。

標準化とは

標準化とはどのような活動でしょうか？　日本工業化規格(JIS Z 8002)では、以下のとおり定義されています。

実在の問題又は起こる可能性がある問題に関して、与えられた状況において最適な秩序を得ることを目的として、共通に、かつ、繰り返して使用するための記述事項を確立する活動。

つまり、【多くの人が繰り返し利用する共通の事柄】を統一する規格を生み出す活動です。
これは、私たちの身近なところにも関係があるかもしれない活動です。例えば、音楽CDは外国で購入したものであっても問題なく視聴できます。これは標準化によってCDの大きさやデータの格納方法が標準化されており、それに沿って各国で製造がされているためです。

仮に標準に沿っていない製品が多く販売されていればどうなるでしょうか？　消費者は自分のプレーヤーで再生できるものを選ぶ必要があるので、購入を断念したり、余計な機器を購入する必要があるかもしれません。このように標準化をすることによって使う人の不利益をなくしていくことも標準化の大きな役割だと思います。
標準化はほかにも電源ケーブルや電波など、私たちが毎日のように使っているものに関わることを多く扱っています。ウェブサービスを提供するヤフーでも、さまざまな標準技術を利用しています。

認証技術の標準化とFIDO

では認証技術の標準化はなぜ必要なのでしょうか？

例えば、ウェブサービスのログインがそれぞれが独自の認証技術や規格によって開発された場合、その認証方法専用の認証サーバーが必要です。相互に認証もできないため、便利な認証方法ができたらそのたびにサーバー上の動作を変えて対応する必要があり、認証サーバーを用意するハードルが高くなってしまいます。
また、どんなに便利なサービスでも、認証専用の機器を必要として、私たちが普段使っているスマホやパソコンでログインできなければ、多くの方に利用してもらうことは難しいかもしれません。

そこで、認証方法に関係なく共通のメッセージでやり取りできるように標準化を行うことで、さまざまなサービスに提供しやすくなります。
メッセージが標準化されていれば、それに合わせて認証の機器やアプリとして認証の機能を実装することができ、より選択肢の幅が広がることでより多くの方に使ってもらいやすくなるという効果が見込めます。

また、認証を行う際、IDとパスワードを入力するだけではなく、さまざまな方法が提供されてきた歴史があります。参考: 個人認証の歴史「IDとパスワード」から「パスワードレス」まで

セキュリティや使いやすさの側面から、パスワードに関する問題はすでに皆さんも耳にしたことがあるのではないでしょうか？　こうした背景から、ヤフーではみなさんが安心安全に使ってもらうためにパスワードを使わない(パスワードレス)認証を導入しています。

パスワードレス認証の1つに、指紋や顔を利用した生体認証があります。
多くのスマホやタブレット・パソコンに搭載されているので普段のロック解除などに使っている方もいるかもしれません。一方、端末のロック解除には用いられるものの、それをログインのために用いる技術は広く共通の規格として浸透していませんでした。

FIDO認証は、ユーザーが普段利用している生体認証を含む多様な認証方法をログインに適用できるために注目されています。
特にWebAuthn（Web Authentication） APIは、W3C （World Wide Web Consortium）という団体によって標準化され、主要なブラウザーに標準として搭載されたため、より多くのユーザーがFIDO認証をより手軽に利用することができるようになりました。
今年は特にAppleがWWDC 2020でWebAuthnに対応することを発表して注目を集めました。これによって、Android、Windows OS、macOS/iOSの3つの主要なプラットフォームで利用可能になり、より多くの人にFIDO認証を利用してもらうことが期待できます。

ヤフーとFIDOアライアンス

FIDOアライアンスには、GoogleやMicrosoftなどのプラットフォーム事業者だけでなく、銀行や政府機関など多くの企業や団体が参画してFIDOに関わる技術の標準化に取り組んでいます。また、2020年にはAppleがボードメンバーとして加盟しました。
ヤフーは、2014年にスポンサーメンバーとしてFIDOアライアンスに加盟以来、技術仕様の策定に参加し認証技術の実装方法の検討を進めてきました。さらに2018年にはボードメンバーに昇格しています。（メンバーシップについては後述）

ヤフーでは、2018年の11月から安全で使いやすい認証方法を提供するために、Androidデバイスを持つユーザーにFIDOを利用したパスワードレス認証を提供しており、サービス提供上得られた知見を元にFIDOアライアンスへの貢献を行っています。

例えば、ユーザー体験の向上のために実際に提供しているサービス画面やそれによって得られた効果などを積極的に共有するなど、WebAuthn APIを提供するブラウザーベンダーや、スマホ・パソコンなどのデバイスを販売している事業者など、メンバー企業と協力して改善方法を検討しています。
ユーザーに利用してもらうためには使いやすいフロントエンドUIを設計するだけでなく、ブラウザーやデバイスの機能を十分に理解して、さらなる改善を行うことが重要です。

ホワイトペーパー発行へのプロセス

標準化の技術文書を発行する際には、さまざまな読者から理解を得るために、多くの人が協力して作り上げていくことが重要です。そのために多くの企業や団体が参加して承認というプロセスを踏みます。0から文書を執筆・編集し、多くの賛同を得て発行されるまでの道筋について、簡単に説明いたします。

ボード会議で執筆の承認

まず、WG（Working Group;作業部会）からホワイトペーパーの内容を説明して、執筆・編集を行うことに対して、アライアンスの承認を得る必要があります。
これは複数のWGが同じ話題を扱ったり、議論の場が別々になって混乱しないようにするために必要なプロセスです。

FIDOアライアンスの中でもアライアンスの決議に議決権をもつ企業はボードメンバー（Board member）と呼ばれ、2020年10月1日現在42社が在籍しています。今回発行したペーパーは、ボードメンバーの会議においてConsumer Deployment WG（以下CDWG）と呼ばれる一般のユーザー向けのユースケースを扱うWGから提案し、ホワイトペーパー執筆に関する承認を得ました。

執筆

次に、筆者が「アカウントリカバリーの課題をFIDOの特性を生かして解決できる方法」を検討し、多くの人へ提案することで、執筆・編集を進めました。
今回のホワイトペーパーはこれまで規定されていないユースケースを提案するものだったので、ユーザーの安全性や使いやすさを犠牲にすることがないか、実現可能な方法であるかなど社会に受け入れられることを想定して提案を1つずつ重ねていきました。

例えば、FIDOの既存の技術仕様に互換しつつ応用することでホワイトペーパーの課題を解決する方法を提案しました。
執筆した文書をもとに、日本WGのAccount Recovery Task Force（以下ARTF）と呼ばれるアカウントリカバリーに関する技術的議論を集中的に行う有志のグループの中で活発な議論が行われました。
ARTFは定期的にオンライン上で集まって議論を交わし、技術調査などを行いつつ執筆作業を進めました。

CDWGの議論と承認

ある程度執筆が進んだら、より多くの企業が参加するCDWGにて議論を行います。執筆したドラフト（下書き）を元に、記載される内容の検討や編集上の細かな記述に至るまで議論を重ね、合意ができた文書についてはCDWG内で承認をしてドラフトとしてアライアンス全体に公開されます。

プレナリー会議でのプレゼンス / 議論

FIDOアライアンスは年に3回、世界各国に集まってプレナリー会議と呼ばれる総会を行っており、各WGは対面で議論も行っています。プレナリー会議ではさまざまなアジェンダが用意されますが、ホワイトペーパーの内容に関する議論もしました。
FIDOアライアンスはさまざまな企業・団体が参加していますので、1つの議題に関係する企業が多く、多様な議論がかわされます。これは標準化の貢献の大きな特徴だと思います。

このプロセスだけに限りませんが、記述や内容に対しては異なる意見を持つ人たちとも丁寧に話し合いを重ねました。そういったときに自分たちの意見に賛同して後押ししてくれたり、考えていることをよく理解してくれる人を増やしていくことは非常に重要だと感じました。
執筆や編集作業は著者が個々に行うものですが、理解者と協力して作り出していくことが標準化の原動力であると思います。世界各地にいるメンバーが一堂に会して、直接会って話したり質問をかわしたりするプレナリーの会議は、理解者を増やすことに非常に効果的です。
執筆とCDWGの議論・承認やプレナリーでの対面の議論は最終ドラフトに至るまで繰り返しました。最終的にCDWGにて承認を得たドラフトは、他のWGでもレビューしてもらったうえで次のステップに進みます。

他のWGによる承認・チェック

このプロセスには関連のあるWGからのチェックや、ホワイトペーパーを外向けに発行するためのファクトチェックなどが含まれます。技術的な誤りが無いか、また、用語の使い方に齟齬(そご)がないかなど、発行するために必要な細かな部分までチェックが行われます。

アライアンスとしての承認

最後に、アライアンスとして発行すべきかどうかを再度ボード会議に諮ります。詳しい内容の紹介をした後、ボードメンバーそれぞれによる投票が行われます。今回のホワイトペーパーは、事前の議論を十分に行ったこともあり、満場一致での承認がなされました。

さいごに

ヤフーのFIDO技術の標準化活動を通じて、多くの方が使いやすい技術にするために、さまざまな人との協力がとても重要なことをお伝えしました。

発行されたホワイトペーパーでは、FIDOならではのアカウントリカバリーの課題やその解決方法についてFIDOアライアンスの見解を提示しています。内容にご興味を持っていただいた方は明日の記事でもご紹介いたしますのでそちらも御覧ください。

また、12月1日と4日にはFIDOオンラインセミナーを実施します。
4日のセッションでは、私がこのホワイトペーパーについてご説明いたします。もし、文書ではなく動画で中身に触れてみたいと思った方は、ぜひご参加・ご視聴ください。

事前登録URL：https://fidoalliance.org/event/fido-seminar-japan-2020/?lang=ja