インターネットのパスワード認証廃止を目指すFIDO Alliance：PayPalとAlibabaもオンライン決済に採用

先日GoogleがFIDO U2Fセキュリティキー対応を発表したことで注目が集まるFIDO Alliance。その創設者の1人、ダンケルバーガー氏に同コンソーシアムの活動と展望を聞いた。

[Warwick Ashford，Computer Weekly]

　パスワードに代わる新しい認証プロトコルの技術仕様が近く最終決定する見込みだ。そう話すのは、IT認証技術の統合を目指す企業、米Nok Nok LabsのCEOであり、認証基準の策定を目的とする企業コンソーシアム、FIDO Allianceの創設者の1人でもあるフィル・ダンケルバーガー氏だ。

Computer Weekly日本語版　12月17日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版　12月17日号」（PDF）掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

• Computer Weekly日本語版　12月17日号：それでもWindows Server 2003を使うのか

なお、同コンテンツのEPUB版およびKindle（MOBI）版も提供しています。

　「仕様は近いうちに最終版を公開できそうだ。2015年の中盤までに、この仕様に準拠した製品が多数発表されるだろう」と同氏は本誌Computer Weeklyに語った。

　2014年2月、FIDO Allianceはオンラインセキュリティトランザクションプロトコル（OSTP）のドラフト（暫定版）を公開した。これは、強力な認証用デバイス（と既存の機器と）を連携させて、パスワードを将来廃止することを目指して制定されたものだ。

　このドラフト版の仕様に基づいて、FIDO Allianceの加盟企業はNok Nok Labsのクライアントサーバ製品など35点の「FIDO仕様対応」製品を開発した。また、米Googleは現時点で最新の「FIDO仕様対応」製品、FIDOのUniversal 2nd Factor（U2F）認証仕様に準拠したUSBセキュリティキーをリリースすると先日発表した。Google Chromeは、FIDO Allianceの認証規格をサポートする最初のWebブラウザとなる（訳注）。

訳注：本誌「12月3日号：iPad vs. Windows 8.1　勝者は？」にて、GoogleのU2Fセキュリティキー採用の動向についてリポートしている。

　「Googleのこの発表で、FIDOはこのコンセプトを一晩でまとめて具体化したのではないかという印象を持つ人も多いだろう。しかし実際は、たくさんの人々が何年も尽力してくれたからこそ、ここまでこぎつけることができた」とダンケルバーガー氏は語る。

　「インターネット上でIDを割り振る仕組みとそれに関わる全てのものは、一夜のうちに作られたわけではない。だからOSTP仕様の制定には時間をかけて、適切な仕様にするために議論を重ねた。認証はインターネットの主要な柱だから」と同氏は付け加える。

　Googleがセキュリティキーをリリースすると発表したことで、FIDO Allianceの認証プロトコルに注目が集まるだろうとダンケルバーガー氏は期待する。同氏は今回のGoogleの発表を、（セキュリティについて多くの人の関心を引くことによって）オンライン認証の強化につながる「基礎的な配管工事」と表現する。

　「Secure Sockets Layer（SSL）プロトコルも、オンラインショッピングで顧客の買い物かごと店舗Webサイトのバックエンドシステムとを接続する際の手段として採用されるまでは、一部の人にしか知られていなかった」とダンケルバーガー氏は説明する。

　ただし、知名度が高いGoogleがドラフト版のOSTPを同社製品に採用すると発表したことで注目を集めるとしても、OSTPの実際的な運用を最初に開始するのは、オンライン決済サービスの米PayPalと中国AlibabaのAliPayで、この2社だけでも6億人のユーザーを抱えていると同氏は指摘する。

仕様確定にはIPレビューが必要

　OSTPの仕様については、一般の人々からの提案を受け付ける期間は終了した。ただしFIDO Allianceのメンバーは、OSTPの仕様を最終決定し、製品に組み込んだり内容を公開したりする前に、知的財産（IP）の観点からのレビューを実施しなければならない。

　「従って、仕様の最終版をいつ公開できるか、今はまだ明言できない。これから何度改訂を加える必要があるのか、その作業にどのくらい時間がかかるのかが分からないからだ」とダンケルバーガー氏は話す。それでも同氏は、仕様が公開されれば、市場に投入されるFIDO仕様準拠のデバイスやサービスの動きが加速されるだろうと考えている。

　オンライン認証の課題を解決しようとする試みはこれまでにもあったが、必ずしも成功したとはいえない。しかしダンケルバーガー氏は、FIDO Allianceにはそんな分野の課題を解決する可能性が大いにあると確信している。

　FIDO Alliance はIT、インターネット、金融サービスなど幅広い業種の企業コンソーシアムで、相互協力によってオープンで拡張性と互換性が高いプロトコルとメカニズムを定義する仕様の策定に取り組んでいる。

　「われわれFIDO Alliance加盟企業は皆、インターネットをうまく利用してイノベーションを実現するために、認証の問題の解決を望んでいる。問題が解決すればわれわれの市場からの評価が上がり、これまでの努力が報われる」とダンケルバーガー氏は語る。

　「FIDO Allianceは加盟各企業が協力して運営している。特定の企業が突出してリードしているわけではない。技術面のワーキンググループには、さまざまな国籍のメンバーが参加しているので、各国固有の問題も全て検討している」と同氏は話す。

Appleの貢献度

　FIDO Allianceには、Google、PayPal、米Microsoft、米Amazon、米Dell、Alibabaグループなど各業界の最大手企業が加盟しているにもかかわらず、米Appleは現時点では加わっていない。

続きはComputer Weekly日本語版　12月17日号にて

本記事は抄訳版です。全文は、以下でダウンロード（無料）できます。

• Computer Weekly日本語版　12月17日号：それでもWindows Server 2003を使うのか

■Computer Weekly日本語版 最近のバックナンバー

Computer Weekly日本語版　12月3日号：iPad vs. Windows 8.1　勝者は？

Computer Weekly日本語版　11月19日号：データセンター管理者はもういらない

Computer Weekly日本語版　11月5日号：クラウドに失敗する企業の法則