先日GoogleがFIDO U2Fセキュリティキー対応を発表したことで注目が集まるFIDO Alliance。その創設者の1人、ダンケルバーガー氏に同コンソーシアムの活動と展望を聞いた。
パスワードに代わる新しい認証プロトコルの技術仕様が近く最終決定する見込みだ。そう話すのは、IT認証技術の統合を目指す企業、米Nok Nok LabsのCEOであり、認証基準の策定を目的とする企業コンソーシアム、FIDO Allianceの創設者の1人でもあるフィル・ダンケルバーガー氏だ。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 12月17日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
「仕様は近いうちに最終版を公開できそうだ。2015年の中盤までに、この仕様に準拠した製品が多数発表されるだろう」と同氏は本誌Computer Weeklyに語った。
2014年2月、FIDO Allianceはオンラインセキュリティトランザクションプロトコル(OSTP)のドラフト(暫定版)を公開した。これは、強力な認証用デバイス(と既存の機器と)を連携させて、パスワードを将来廃止することを目指して制定されたものだ。
このドラフト版の仕様に基づいて、FIDO Allianceの加盟企業はNok Nok Labsのクライアントサーバ製品など35点の「FIDO仕様対応」製品を開発した。また、米Googleは現時点で最新の「FIDO仕様対応」製品、FIDOのUniversal 2nd Factor(U2F)認証仕様に準拠したUSBセキュリティキーをリリースすると先日発表した。Google Chromeは、FIDO Allianceの認証規格をサポートする最初のWebブラウザとなる(訳注)。
訳注:本誌「12月3日号:iPad vs. Windows 8.1 勝者は?」にて、GoogleのU2Fセキュリティキー採用の動向についてリポートしている。
「Googleのこの発表で、FIDOはこのコンセプトを一晩でまとめて具体化したのではないかという印象を持つ人も多いだろう。しかし実際は、たくさんの人々が何年も尽力してくれたからこそ、ここまでこぎつけることができた」とダンケルバーガー氏は語る。
「インターネット上でIDを割り振る仕組みとそれに関わる全てのものは、一夜のうちに作られたわけではない。だからOSTP仕様の制定には時間をかけて、適切な仕様にするために議論を重ねた。認証はインターネットの主要な柱だから」と同氏は付け加える。
Googleがセキュリティキーをリリースすると発表したことで、FIDO Allianceの認証プロトコルに注目が集まるだろうとダンケルバーガー氏は期待する。同氏は今回のGoogleの発表を、(セキュリティについて多くの人の関心を引くことによって)オンライン認証の強化につながる「基礎的な配管工事」と表現する。
「Secure Sockets Layer(SSL)プロトコルも、オンラインショッピングで顧客の買い物かごと店舗Webサイトのバックエンドシステムとを接続する際の手段として採用されるまでは、一部の人にしか知られていなかった」とダンケルバーガー氏は説明する。
ただし、知名度が高いGoogleがドラフト版のOSTPを同社製品に採用すると発表したことで注目を集めるとしても、OSTPの実際的な運用を最初に開始するのは、オンライン決済サービスの米PayPalと中国AlibabaのAliPayで、この2社だけでも6億人のユーザーを抱えていると同氏は指摘する。
OSTPの仕様については、一般の人々からの提案を受け付ける期間は終了した。ただしFIDO Allianceのメンバーは、OSTPの仕様を最終決定し、製品に組み込んだり内容を公開したりする前に、知的財産(IP)の観点からのレビューを実施しなければならない。
「従って、仕様の最終版をいつ公開できるか、今はまだ明言できない。これから何度改訂を加える必要があるのか、その作業にどのくらい時間がかかるのかが分からないからだ」とダンケルバーガー氏は話す。それでも同氏は、仕様が公開されれば、市場に投入されるFIDO仕様準拠のデバイスやサービスの動きが加速されるだろうと考えている。
オンライン認証の課題を解決しようとする試みはこれまでにもあったが、必ずしも成功したとはいえない。しかしダンケルバーガー氏は、FIDO Allianceにはそんな分野の課題を解決する可能性が大いにあると確信している。
FIDO Alliance はIT、インターネット、金融サービスなど幅広い業種の企業コンソーシアムで、相互協力によってオープンで拡張性と互換性が高いプロトコルとメカニズムを定義する仕様の策定に取り組んでいる。
「われわれFIDO Alliance加盟企業は皆、インターネットをうまく利用してイノベーションを実現するために、認証の問題の解決を望んでいる。問題が解決すればわれわれの市場からの評価が上がり、これまでの努力が報われる」とダンケルバーガー氏は語る。
「FIDO Allianceは加盟各企業が協力して運営している。特定の企業が突出してリードしているわけではない。技術面のワーキンググループには、さまざまな国籍のメンバーが参加しているので、各国固有の問題も全て検討している」と同氏は話す。
FIDO Allianceには、Google、PayPal、米Microsoft、米Amazon、米Dell、Alibabaグループなど各業界の最大手企業が加盟しているにもかかわらず、米Appleは現時点では加わっていない。
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
■Computer Weekly日本語版 最近のバックナンバー
Computer Weekly日本語版 12月3日号:iPad vs. Windows 8.1 勝者は?
Computer Weekly日本語版 11月19日号:データセンター管理者はもういらない
Computer Weekly日本語版 11月5日号:クラウドに失敗する企業の法則
Copyright © ITmedia, Inc. All Rights Reserved.
クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。
ビジネスでのAPI利用が進むにつれ、そのAPIを標的としたサイバー攻撃も増加している。それらに対抗するためには、「シャドーAPI」や「ゾンビAPI」を洗い出し、セキュリティ対策を徹底する必要がある。その正しい進め方を解説する。
ある調査で企業の61%がセキュリティ優先事項のトップ3に挙げるほど、重要度が高まっているアイデンティティー管理・保護。その中で昨今注目されているのが「IGA」というアプローチだ。そのメリットや、導入方法を解説する。
DX推進によってさまざまなビジネスシーンでデジタル化が加速しているが、そこで悩みの種となるのがセキュリティの担保だ。リソースやコストの制限も考慮しながら、DXとセキュリティを両輪で進めるには何が必要になるのか。
サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
