パスワード認証撲滅に向けて一歩前進──FIDO標準の現在:FIDO標準をW3Cに提案
FIDO Allianceが、FIDO標準のWeb APIをW3Cに提出し、FIDO標準のさらなる普及を目指している。賛同する企業も増え、パスワードがいらないWebセキュリティの世界が近づいてきた。
オンラインセキュリティの改善とパスワード依存の排除を目的として実業界の有力企業が結成した団体が、3種類の技術仕様書をWorld Wide Web Consortium(W3C)に提出した。
Computer Weekly日本語版 1月20日号無料ダウンロード
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 1月20日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
これは、米Fast Identity Online Alliance(以下「FIDO Alliance」)がさらに一歩前進したことを意味する。FIDO Allianceは、Webベースのアプリケーションプログラミングインタフェース(API)の標準の策定に当たっている団体だ。
(このたび提出された)Web APIは、あらゆるWebブラウザや関連するWebインフラで共通して利用できる、強力な認証方式の標準を保証することを狙って設計された。FIDO Allianceの影響力を既存のデスクトップ、米Googleの「Chrome」や「Android」、米Appleの「iOS」に拡大させることで、それ以外のプラットフォームのサポートに波及させる考えだ。
FIDO Allianceは2015年11月に東京で開催されたイベントにおいて、コンシューマーや大規模組織のアカウントを保護する、強力な、暗号化ベースの認証方式であるFIDO規格に準拠したデバイスが、Google、米PayPal、NTTドコモ、米Bank of America、米Dropbox、米GitHubといった信頼できる有力企業で既に1000万個利用されていると発表した。
FIDO Allianceが提案したWeb APIがW3Cで採用されたことを受けて、FIDO AllianceはFIDO規格準拠の製品やサービスの相互運用性を保証する「FIDO認定プログラム」を開始した。
米国、英国、ドイツの政府機関など、世界各地の約250の加盟企業および団体から寄せられた製品の中で、これまでにFIDO認定を受けたものは72個ある。さらに流通面でも数十のパートナー企業と提携しており、時代遅れのパスワードシステムを刷新するFIDO認証の展開は勢いを増している。
「FIDO仕様は、一貫性のあるメカニズムを定義して暗号化した認証情報を使用するので、Web上でもフィッシング攻撃を受けにくい。この仕様は、多様なユーザー体験とモダリティ(端末)を実現するものだ」とFIDO Allianceの副代表、サンパス・スリニヴァス氏は話す。
「今回このような発表ができて、とても興奮している。ユビキタスでフィッシング不可のFIDO認証が、Web空間の未来を作っているということだから」と同氏は付け加える。
World Wide Webの国際基準を策定するW3Cは、FIDO Allianceの加盟企業と非加盟のWebエコシステムのステークホルダーが現在進めているコラボレーションで、将来的にAPIの変更管理も担当することになるだろう。
パスワードから世界を解放する
W3Cは、Web認証に関する新しいワーキンググループをFIDO Alliance内で結成することを提案している。
続きはComputer Weekly日本語版 1月20日号にて
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
■Computer Weekly日本語版 最近のバックナンバー
Computer Weekly日本語版 1月6日号:EMCの買収でDellに何が起きる?
Computer Weekly日本語版 12月16日号:ベンダーロックインからの脱出
Computer Weekly日本語版 12月2日号:暴挙か? GoogleのOffice 365攻略作戦
Copyright © ITmedia, Inc. All Rights Reserved.