Global Momentum: Local Leadership Driving Adoption

セミナーの幕開けは、FIDO標準の驚異的な普及状況と、日本市場における強力なコミットメントを示すメッセージで始まった。
FIDOアライアンスのCEO兼エグゼクティブディレクターであるAndrew Shikiarは、現在までに世界中で70億以上のアカウントがパスキーで保護され、30億以上のパスキーがユーザーによって保存されているという最新の指標を共有した。また、新たに導入された「Passkey Index」のデータによれば、パスキーの利用により認証成功率は93%に達し、ログイン時間は73%短縮されるなど、その効果が定量的に示されている。

日本市場においては、FIDO Japan Working Group座長、森山光一氏（NTTドコモ）から、FIDO Japan WGが活動10年目を迎え、定例会合が111回を数えるなど、長期にわたる強固なコミュニティが形成されているとの報告が行われた。またこの日、FIDOアライアンスと日本証券業協会（JSDA）とのリエゾンパートナーシップ締結という重要なニュースも発表された。これにより、証券業界全体でのパスキーの普及とセキュリティ向上が加速することが期待される。

Policy & Security: From Recommended to Essential

2025年、日本の政策およびセキュリティ戦略は、フィッシング耐性のある認証を「推奨」から「必須」へと格上げへ

• デジタル庁： 楠正憲氏は、行政手続きにおけるガイドライン（DS-500）の改定（DS-511）に触れ、保証レベル2以上ではマイナンバーカードやパスキーといったフィッシング耐性のある認証手段が実質的に必須となる見解を示した。
• 警察庁・金融庁： 警察庁の三宮隆秀氏、金融庁の松長基史氏からも、サイバー脅威への対抗策としてパスキー導入の重要性が語られた。特に金融分野では、ログインや出金などの重要操作時において、フィッシング耐性のある多要素認証（MFA）をデフォルト化する方針が進められている。

Proven Success & Next Frontier: Account Recovery

本セミナーのハイライトの一つは、パスキーがもはや「早期採用」の段階を超え、日本の主要サービスにおいてメインストリームとなっている事実の共有であった。

「Passkey Index Japan」パネルセッション（メルカリ、NTTドコモ、KDDI、FIDOアライアンス）では、スマートフォンでパスキー利用率が5割を超えている3社におけるパスキーによる認証利用率の紹介があり、認証月間アクティブユーザー（MAU）全体の50.4%がすでにパスキーを利用していることが明らかになった。

年齢層や性別を問わず幅広く利用されているこの実績は、パスキーが利便性とセキュリティを両立させる現実的な解であることを裏付けている。

また、パスキー普及後の最大の課題として「アカウントリカバリー」に焦点が当てられた。メルカリの狩野達也氏、NTTドコモの久保賢生氏、KDDIの澤田英樹氏は、マイナンバーカード（JPKI）やeKYCを活用したセキュアなアカウントリカバリー（復旧）プロセスや、機種変更を前提とした設計の重要性を強調し、2026年の業界横断的なテーマとなることを示唆した。

Securities Transformation: Advancing Passkey Deployment

特に注目すべきは証券業界の変革である。楽天証券の平山忍氏は、同社が2025年10月に全チャネルでパスキー認証（FIDO2）を導入完了したことを報告した。平山氏によれば、証券業界ではすでに5社がFIDO2を導入済みであり、年内には7社に拡大する予定である。進化し続ける詐欺攻撃に対し、テクノロジーに基づいた「多層的防御」を構築する上で、パスキーが中心的な役割を果たしていることが強調された。

Deep Dive into Tech: Platforms & Security

開発者やセキュリティ専門家に向けた技術セッションでは、パスキーの実装を支える最新機能や議論が展開された。

• Googleプラットフォームの進化： グーグルのえーじ氏は、Credential Managerを基盤とした最新情報を共有。特に、新しいデバイスへの移行時にシームレスなサインインを実現する「Restore Credentials API」の紹介は、開発者にとっての利便性向上を約束するものだ。
• セッション保護の重要性： 「パスキーのすべて」を知るセッション（えーじ氏、小岩井航介氏、倉林雅氏）では、パスキー導入後も残る「セッションハイジャック」のリスクについて議論された。マルウェアによるCookie窃取への対抗策として、DBSC（Device Bound Session Credentials）などの新仕様やリスクベースのセッション保護の必要性が説かれた。

Ecosystem & Innovation: Expanding Use Cases

スポンサー各社によるプレゼンテーションでは、あらゆるユースケースに対応可能なエコシステムの成熟が示された。

• 規制産業・金融向け： OneSpanのギム・レン・コー氏は、金融機関向けにデバイスの健全性評価やトランザクション署名（WYSIWYS）を実現するデュアルキーアプローチを提示した。
• • 大規模導入とパフォーマンス： RaonSecureのユージン・リー氏は、月間1,000万ユーザーを支えるFIDOソリューションの高い処理性能を紹介した。
• • BtoBの課題解決： ISRのメンデス・ラウル氏と柴田一人氏は、企業内MFA導入における「4つの壁」を指摘し、BtoB領域での普及課題に切り込んだ。
• • AI時代のデバイスセキュリティ： Yubicoの椎名エバレット弘氏は、AI脅威が高まる中、ハードウェアアテステーションを備えたデバイス固定パスキー（Single Device Passkey）の重要性を解説した。
• • ライフサイクル全体の保護： Daonの吉井孝氏は、IdentityXプラットフォームによるDeepfake検知付きeKYCとFIDO認証の統合を紹介した。
• • 顧客エンゲージメント： Twilioの中村光晴氏は、SMSやTOTPに加え、パスキーをサポートしたTwilio Verifyによるシームレスな認証体験を提案した。

Beyond Authentication: Digital Credentials & Identity

パネルでの議論は、認証だけでなくアイデンティティのライフサイクル全体にまで広がる

ビデオメッセージで登場したGoogleのLee Campbell氏（FIDOアライアンス Digital Credential WG共同座長 )は、FIDOアライアンスがパスキーで培った信頼性と相互運用性を「デジタルクレデンシャル」へと拡張し、ウォレットや本人確認の領域でエコシステム標準を定義していくビジョンを共有した。

最後のパネルセッションでは、FIDOアライアンス、OpenID Foundation、デジタル庁のメンバーが登壇し、アカウント作成からリカバリーまでを含めたアイデンティティライフサイクル全体を管理する重要性について議論を深めた。

Looking Forward: Building Japan’s Digital Identity Future

第12回FIDO東京セミナーは、パスキーが日本のデジタル社会インフラとして定着しつつあることを確信させるイベントとなった。2026年に向けて、認証からアイデンティティライフサイクル全体、そしてデジタルクレデンシャルへと、FIDOアライアンスの取り組みはさらに拡大していくだろう。

本イベントの開催を支援したスポンサー企業の皆様、そして登壇者、参加者の皆様に心より感謝申し上げる。

株式会社MIXI（以下、MIXI）は、スマートフォン向けゲーム「モンスターストライク」をはじめとするエンターテインメントサービスを展開し、累計数千万人規模のユーザーに利用されている。さらにスポーツやライフスタイル領域へも事業を広げ、幅広い世代の日常に寄り添うサービスを提供する、日本を代表するインターネット企業のひとつである。

同社が提供する「MIXI ID」は、複数サービスを横断的に利用できる共通アカウント基盤であり、近年では主力タイトルにも採用されるなど、利用者規模を拡大し続けている。

ビジネス上の課題（The Business Challenge）

MIXI IDでは当初からパスワードレス認証を志向し、メールに送信するワンタイムパスワード（OTP）方式を採用していた。しかし、近年増加するリアルタイムフィッシング攻撃に対応するには不十分であり、またメールアプリを開いてコードを確認・入力するフローはユーザーにとって煩雑であった。特に決済機能を提供するサービスにおいては、「高い認証強度と優れたユーザー体験を同時に満たす仕組み」が必要とされていた。

一方で、社内においてもPC端末の共用運用やOS環境の継続的変化に対応しつつ、セキュリティ強化と運用効率の両立という課題が存在した。

パスキー導入の決断（Decision to deploy Passkeys）

これらの課題を解決するため、MIXIは2024年より「MIXI ID」にFIDO2準拠のパスキー認証を導入した。Webアプリケーションとブラウザが提供するWebAuthn APIを活用し、ユーザーはスマートフォンやPCに搭載された生体認証を利用して、パスワード不要でスムーズにログインできるようになった。

また、決済システムの管理ツールにおいては、パスキー認証を必須とすることで、パスワードに依存しない強固なセキュリティ運用を実現した。

加えて、MIXIは社内のエンタープライズ環境においても、セキュリティ強化を全社的に推進した。FIDOアライアンスのメンバー企業である株式会社ソフト技研の提供するYubiOn Portalと、同じくボードメンバーであるYubico社のYubiKeyを活用し、共用PCやログオン認証に対する物理セキュリティを強化している。これによって、WindowsおよびmacOS両対応でクラウド一元管理可能な2要素認証環境を整備し、共用端末のログオン時の認証強度向上と運用合理化を同時に実現している。

技術選定の背景（Why FIDO was chosen）

同社はAppleやGoogleのソーシャルログインも併用しているが、FIDO認証を選んだ決定的な理由は以下の通りで、これらを総合的に評価し、FIDO認証を主要な認証方式のひとつとして採用した。

• 国際標準規格に基づくセキュリティと相互運用性への信頼
• 各プラットフォームで提供される **Passkey Autofill** による実用的で滑らかなユーザー体験
• 生体認証を利用した強固なセキュリティとパスワードレスの利便性を両立できる点

導入効果（Impact of adoption）

現在、MIXI ID利用者のうち 25%以上がパスキーを登録しており、確実に利用が広がっている。OTP方式で見られた「認証コードの遅延・再送」や「入力ミス」といったトラブルによる問い合わせも減少し、サポートコストの軽減にもつながっている。

ユーザーにとっても「安全でスピーディにログインできる」体験が浸透しつつあり、認証基盤としての信頼性がさらに高まっている。

社内環境においては、YubiOn Portalの導入により認証管理を台帳からクラウド管理へ移行できるようになり、常に最新かつ正確な認証状態を把握可能となった。また、Windowsのリモートデスクトップ利用にも対応し、ユーザーからも高い評価を得ている

導入時の課題と解決策（Overcoming Implementation Challenges）

他社の先行事例では「パスキーが存在しない」といったユーザーにとって分かりにくいエラーが表示されることが課題となっていた。MIXIでは、各OSにおけるPasskey Autofillが十分に実用化されたタイミングを見計らい導入することで、ユーザーの混乱を防ぐことに成功した。

YubiOn Portalの導入に際しては、細やかなポリシー設定を要したが、豊富な手順書と柔軟な設定機能により、IT部門がスムーズに導入・運用を進めることができた。

今後の展望（Looking ahead）

MIXIは、パスキー認証が世の中のサービスに広く広がり、現在のオプション的な位置づけからプライマリーな認証方式に進化することを期待している。さらに幅広いサービス領域での活用を視野に入れ、パスワードレス社会の実現に貢献していく考えである。

最後に、今回の導入事例についてお話を伺ったMIXI 伊東 諒様からは以下のようなコメントをいただいている。

「FIDO認証はフィッシング耐性と高い安全性を実現できますが、非対応環境やパスキーが利用できない状態からのアカウントリカバリーなどにまだ課題があります。課題を正しく認識した上で、FIDOアライアンスが公開している設計や実装のガイドラインやチェックリストを参考にしながらFIDO認証への対応を進めましょう。

また、パスキー認証の普及が加速するなか、MIXI IDでもその効果を実感しています。FIDO／パスキーは、優れたUXと強固なセキュリティを低コストで両立できる希少な技術です。今後は、より多彩なユースケースを支えるエコシステムの進化に期待しています」

参加者はこのウェブキャストに参加し、FIDOアライアンスのUXワーキンググループのメンバーから、最初のユーザーオンボーディングからシームレスなクロスデバイス同期まで、パスキーを大規模に設計および展開する際の重要なUX考慮事項を探ります。

Google、Microsoft、HID の講演者が、日常的なユーザー向けに複雑なセキュリティ概念を簡素化するという課題に対処する方法について話し合い、認証の将来について貴重な洞察を得る方法について話し合いました。

講演者は、パスキーの採用を形作っている主要なUXの決定、ユーザー調査の結果、設計戦略、そしてFIDOアライアンスがオンラインセキュリティを強力かつ楽にするためにどのように取り組んでいるかについての洞察を共有しました。

パスキーの作成とサインインに関する設計ガイドラインは、 次の場所にあります https://www.passkeycentral.org/design-guidelines/

スピーカーは以下を含みます:

• ジェームズ・ファン、マイクロソフト
• ミッチェル・ギャラバン、Google
• エイドリアン・カスティージョ、HID

この草案は9月30日に発表され、関連する利害関係者から意見を得ることを目的としているとBSIはニュースリリースで 述べた 。

BSI TR-03188 パスキー サーバー ガイドラインは、バージョン 0.9 のドラフトとして入手できると BSI は述べています。これは、FIDO2 や WebAuthn 標準などの範囲内で起草されました。

誰もがパスワードを置き換える方法に取り組んでいるのには理由があります。多くの場合、推測するのは簡単で覚えにくいものであり、たとえ パスワードマネージャーを持っていても、データ侵害のたびに変更するのは面倒です。ありがたいことに、Fast Identity Online (FIDO) Allianceは、ウェブ上のログインフィールドにメールアドレスやパスワードを入力する必要がなくなる新しい認証技術であるパスキーを開発し、人気を集めています。たとえば、Microsoft は 8 月に 認証アプリからパスワードを削除 しましたが、パスキーのサポートは残しました。

1955年に設立されたFirst Credit Unionは、60,000人以上の会員を擁するニュージーランドの会員所有の金融機関です。この組織は、包括的なオンライン バンキング プラットフォームを通じて、安全で革新的なデジタル バンキング エクスペリエンスを提供します。メンバーはモバイル アプリとブラウザ オプションを介して自分のアカウントにアクセスし、いつでもどこでも財務を管理できます。この信用組合は、多様な会員ベースのセキュリティとユーザー エクスペリエンスの両方を強化するために、最先端の認証テクノロジーを採用しています。

経営者の視点

「AuthsignalによるFIDO認証の実装は、メンバーのデジタル体験に大きな変革をもたらしました。安全でシームレスで、オンラインバンキングの信頼の新たな基準を打ち立てます」 – ファースト・クレジット・ユニオン、財務・エージェンシー・バンキング・マネージャー、ハーブ・ウルフ氏

ビジネス上の課題

進歩的な現代の金融機関として、First Credit Union はデジタル変革への道を歩んできました。その過程で、セキュリティとユーザーエクスペリエンスの両方に影響を与えるいくつかの重要な課題を特定しました。

これらの課題には次のものが含まれます。

• サイバーセキュリティのリスク。この組織は、最も一般的な攻撃ベクトルの 1 つであるパスワードへの依存を減らしたいと考えていました。First Credit Union は、増大するセキュリティ脅威を軽減するために、フィッシングに強い認証方法を模索しました。
• ユーザーエクスペリエンスの摩擦。従来の多要素認証方法では、ログインプロセスで摩擦が生じることがよくあります。信用組合は、さまざまな技術的快適さレベルを持つメンバーが安全なアクセスをシームレスかつ直感的に感じられるようにすることを目指しました。
• クロスプラットフォーム互換性。メンバーは、さまざまなデバイスやオペレーティング システムからプラットフォームにアクセスします。First Credit Union は、モバイルアプリとウェブブラウザで一貫して機能するソリューションを必要としていました。
• 統合の複雑さ。新しい認証ソリューションは、既存のインフラストラクチャとスムーズに統合する必要がありました。このアプローチにより、導入中の内部チームやメンバーへの混乱が最小限に抑えられます。

First Credit Union がパスキーを選んだ理由

First Credit Union は、いくつかの従来の認証方法と新しい認証方法を徹底的に評価しました。目標は、多様な会員ベースのために、セキュリティ、使いやすさ、アクセシビリティの適切なバランスを見つけることでした。

従来のオプションは不十分だった

チームは複数の多要素認証 (MFA) 方法を検討しましたが、それぞれのアプローチに重大な欠点があることがわかりました。認証アプリはセキュリティを強化できますが、ワンタイム コードに依存しているため、悪用される可能性のある脆弱性があります。また、メンバーは別のアプリをインストールして管理する必要があるため、複雑さと摩擦が増しました。電子メールのマジックリンクは利便性を提供しましたが、ユーザビリティの課題と、フィッシングや電子メール傍受のリスクに対する脆弱性を生み出しました。

デバイス認証情報は、よりシームレスなエクスペリエンスを提供しましたが、プラットフォーム間で必要な標準ベースの相互運用性が欠けていました。また、この信用組合はスタンドアロンの生体認証も検討していましたが、これらのソリューションには、FIDO標準が提供する堅牢なセキュリティ保証やクロスプラットフォーム互換性が欠けていました。

重要な洞察が浮かび上がりました:認証オプションを提供しすぎると、特に人口統計全体で技術的な快適さのレベルが広いことを考えると、メンバーを混乱させるリスクがあります。エクスペリエンスが断片化されると、フラストレーション、サポートのオーバーヘッド、導入の減少につながる可能性があります。

FIDOは他社が提供できなかったものを実現しました

FIDO認証は、フィッシングに対して依然として重大な脆弱性を抱え、シームレスで標準ベースの相互運用性を欠いている代替手段とは一線を画していました。このテクノロジーには、次のような魅力的な利点がありました。

フィッシング耐性により、攻撃者が傍受または盗むことができるパスワードやOTPなどの共有シークレットが排除されます。パスワードレスのエクスペリエンスにより、メンバーの摩擦が軽減され、オンライン バンキングへのアクセスがより迅速かつ安全になります。FIDO2 仕様は、幅広いデバイスやプラットフォーム間でシームレスな認証を保証し、アプリとブラウザベースのサービスの両方をサポートします。

このソリューションは、セキュリティの強化とログインプロセスの合理化により、メンバーの信頼と満足度を向上させました。また、パスワードのリセットやログインの問題によるサポートのオーバーヘッドも削減され、チームはリソースをより効率的に割り当て、全体的なサービス品質を向上させることができました。

実装の概要

First Credit UnionはAuthsignalと提携し、FIDO認定パスキーインフラストラクチャを実装しました。チームは、構造化されたロールアウトアプローチに従いました。

フェーズ 1: 内部テストと検証

この組織は、モバイルおよびブラウザプラットフォーム間でのパスキー統合を検証するために、厳格な内部テストを実施しました。この段階により、技術的な安定性と互換性が確保されました。

フェーズ2:会員教育とコミュニケーション

First Credit Union は、以下を含むターゲットを絞ったコミュニケーション キャンペーンを開始しました。

• パスキーの利点に関する明確なメッセージ
• ステップバイステップのセットアップと使用ガイド
• オンボーディングのための包括的なサポートリソース

フェーズ 3: 段階的なブランチ ネットワークの展開

チームは、支店ネットワーク全体にパスキーを段階的に導入しました。このアプローチにより、パフォーマンスの監視、フィードバックの収集、反復的な改善が可能になりました。

フェーズ 4: 監視と最適化

リリース後のアクティビティには、導入指標と認証使用パターンの追跡が含まれていました。メンバーからのフィードバックは、ユーザーエクスペリエンスの改善を促進しました。

結果と影響

First Credit Union は、パスキーのリリース以来、目覚ましい導入とセキュリティの成果を達成しました。

導入メトリック

• 58.4%のメンバーが新しい認証エクスペリエンスを採用しました
• 全認証の54.5%がパスキーを使用するようになりました
• 23,500人以上の会員が多要素認証に登録

メンバーエクスペリエンス

ほとんどのメンバーは、使いやすさや信頼の向上を挙げて肯定的なフィードバックを提供しました。パスキーにより、顔認識や指紋認識などのデバイスネイティブの生体認証によるログインが簡素化されました。メンバーは、モバイルプラットフォームとWebプラットフォーム間でシームレスなエクスペリエンスを享受できます。

運用上の利点

組織は、パスワード関連の問題によるサポートのオーバーヘッドを削減しました。First Credit Union は、フィッシング耐性認証でセキュリティ体制を強化しました。インフラストラクチャは、将来の準備のためのグローバル標準に準拠しています。

将来のビジョン

FIDO認証は、First Credit Unionの長期的なデジタルセキュリティ戦略の基礎として機能します。組織は次の拡張を計画しています。

• 安全なトランザクション認証: パスキーをトランザクション承認などのリスクの高いアクションに拡張する
• 内部システムアクセス:スタッフシステムへのFIDOベースの認証の実装
• サードパーティ統合:将来のサービス統合にFIDOの相互運用性を活用

主な推奨事項

First Credit Unionは、FIDOの導入を検討している組織に、以下の洞察を提供しています:

1. ユーザーベースを理解する: メンバーのデバイス、デジタル習慣、快適さのレベルを評価して、エクスペリエンスを適切に調整します

2. エクスペリエンスを簡素化する: 認証オプションが多すぎてユーザーを圧倒しないようにする

3. 適切なパートナーを選択する: パスキー インフラストラクチャの専門知識を提供する信頼できるプロバイダーと協力します

4. 明確なコミュニケーション: 利点に関する明確なメッセージと簡単なセットアップ ガイドを使用して、早期にユーザーを教育します

5. 徹底的なテスト: メンバー向けの展開前に、プラットフォーム全体で包括的な内部テストを実施します

参加者はこのウェブキャストに参加し、FIDO Allianceの規格と認証が、ソフトウェア・デファインド・ビークル、自動運転技術、コネクテッド・サービスへの移行に向けた自動車業界をどのようにサポートできるかを聞きました。この移行は、新しいビジネスモデル(車載コマースやサブスクリプションサービスなど)を革新し、活用する前例のない機会をもたらしますが、サイバーセキュリティの重大な脅威とユーザーエクスペリエンスの課題ももたらします。

このセッションは、FIDOアライアンスが最近発行したホワイトペーパー「 自動車業界におけるサイバーセキュリティの課題への対処」に基づいており、パスキー、FIDOデバイスオンボード(FDO)、既存および将来の認証プログラムを使用して、FIDOアライアンスがこれらの課題に対処するためにどのように独自の立場にあるかを探ります。

プレゼンテーションを見る:

プレイブックをダウンロードして、以下について説明します。

• さまざまな種類のパスキーと、組織に適したオプションを選択する方法
• 小規模から始めて自信を持って拡張し、組織全体でパスキーの採用を標準化するのに役立つ段階的なデプロイ戦略
• FIDO Allianceのデータに裏打ちされたパスキーのROI

フィッシング耐性のある認証は、万能ではありません。それは旅です。フォームに記入して、 パスキー プレイブック を入手して開始してください。

エピソード 1 はこちらからお聴きください: https://ow.ly/Y2Zl50X0vEJ

インドでは、パスワードレス市場は 2024 年に 4 億 1,100 万ドルと推定され、2030 年までに 15 億ドル以上に達すると予測されています。これは、企業がより速く、よりスマートで、より安全なログイン エクスペリエンスを選択していることを反映しています。このトレンドを推進しているものと、企業がどのように適応しているのかを理解するために、 indianexpress.com は Zoho Corp のサイバー ソリューションおよびデジタル署名担当チーフ エバンジェリストである Chandramouli Dorai 氏に話を聞きました。

生体認証は、リスクの高い取引で最も一般的に使用される認証方法としてランク付けされています。また、最も便利であると評価されており、58.3 人の回答者がそのように挙げています。

いつものように、データプライバシーに関する懸念も相応です。3人に1人は、生体認証データやデジタル認証情報が盗まれたり偽造されたりして 、個人情報詐欺につながるのではないかと心配しています。認証のデータ盗難は最大の恐怖です。「多くのユーザーは、生体認証は広く実装されているものの、自分や自分のデジタル資産にとってまだ十分に安全ではないと感じています。」

BSPは、2026年6月25日までに、その監督下にある組織に不正管理と本人確認を強化することを義務付けています。この指令は、FIDO標準によるパスワードレス認証など、安全でフィッシングに強い方法の採用を求めています。

この措置は、国内でオンライン詐欺や詐欺事件が増加する中で行われた。

「2027年までに、トークンを使用するMFAトランザクションの90%以上が、IAMツールでネイティブにサポートされているFIDOプロトコルに基づいているようになります。」

クリスティン・オーウェン、1コスモス
Teresa Wu、IDEMIA公安

要約

現在、世界中の政府機関が、国民への検証可能なデジタル資格情報 (VDC) の発行を含むデジタル ID 戦略の作成と実装に取り組んでいます。これらの取り組みの結果、組織は VDC を主要な認証形式として使用することについても議論し始めています。VDCは、FIDOのパスキーと一緒に使用できるユーザーの身元を確認する上で重要な部分であり、高速で安全、信頼性の高いプライマリ認証メカニズムを提供します。パスキーは、本人確認のために市民の VDC が提示された後に発行する必要があります。このホワイトペーパーでは、市民の認証を実装する際に、VDC とパスキーをどのように共存させるべきかについて説明します。

オンラインユースケースのデジタルID標準( ISO/IEC 18013-7、 W3C、 IETF、 SD-JWTなど)に従ったソリューションが導入される中、ID属性を確認するためのデジタルIDの使用と、ユーザーがオンラインで自分自身を認証できるようにすることの違いを認識することにおいて、混乱が増大することが予想されます。

この論文は、パスキーとデジタル ID/VDC の共存について議論し、これらのテクノロジーを使用するためのベスト プラクティスを含めて、誤解を明確にし、混乱を避けることを目的としています。

聴衆

政府機関、政策立案者、証明書利用者

1. 検証可能なデジタル資格情報 (VDC) とパスキー

新しいテクノロジーが次々と登場するにつれて、専門家はこれらのソリューションを一緒に使用する新しい方法を見つけています。このホワイトペーパーでは、市民の認証を実装する際に、検証可能なデジタル資格情報(VDC)とパスキーをどのように共存させる必要があるかについて説明します。VDC とパスキーはどちらも、デジタル世界で ID を保護するために開発されました。ただし、エンドユーザーの役割は異なりますが、交差します。次のセクションでは、VDC とパスキーについて説明します。

1.1 VDCの

VDC には、ID 属性の電子バージョンを含めることも、暗号で検証できる物理的な資格情報(運転免許証、パスポート、その他の識別可能な情報など)のデジタル表現を含めることもできます。通常、VDC は、 W3C Verifiable Credentials Data Model、 Internet Engineering Task Force (IETF) Selective Disclosure for JWT (SD-JWT)、または ISO/IEC 18013-5/7 (モバイル運転免許証) 標準に従っており、真正性を証明するために暗号化署名が必要です。これらの標準モデルはデジタルウォレットを使用するため、機密情報を開示する前にユーザーの承認を要求することでプライバシーを保護できる、安全でポータブルな即時検証メカニズムが作成されます。

VDC の導入は現在、世界中の複数の地域で多発しています。たとえば、アジア太平洋諸国は VDC のアイデアを採用しています。日本、韓国、オーストラリアなどの国々は、VDC 間の相互運用性を確保するために協力しています。オーストラリアの 2024 年デジタル ID 法により、デジタル ID の認定要件が設けられ、異なるプロバイダー間の信頼フレームワークが強化されました。米国では、モバイル運転免許証 (mDL) 運動が勢いを増しており、いくつかの州がすでに mDL プログラムを導入しているか、試験的に実施しています。政府機関が VDC をどのように展開しているかの詳細については、 付録を参照してください。

VDC は、物理的な人物を表す個人 ID(PID)または、運転免許証、特定の範囲の年齢、学歴などの個人のプロパティを示すドキュメントである証明属性のいずれかです。VDC の有効性は、ID 保証レベル (IAL) または保証レベル (LOA) (国のデジタル ID 標準によって異なります) で表すことができます。PID が使用される場合、政府機関は、個人の身元を確立するために必要な検証済み情報の種類を決定する場合があります。ほとんどの場合、個人の名前、住所、生年月日、出生地、政府の公式文書番号、電話番号、および両親の名前などのその他の属性に関する情報は、組織に代わって検証を実行する政府または民間団体が利用できるコントロールを通じて、個人を適切に識別するための強力な基盤となります。最新のテクノロジーでは、身元保証をさらに強化するために、指紋や顔のキャプチャなどの生体認証の記録が追加される場合があります。欧州デジタル ID ウォレット (EUDI ウォレット) では、加盟国が市民登録プロセスに使用する原則に従って、PID が高レベルの保証 (LoA) であることが義務付けられています。EUDIウォレットの詳細については、セクション 5.3 EU VDCの取り組み を参照してください。同様に、 米国のデジタル ID ガイドライン ^[1] では、政府で使用するために IAL2 でリモート ID 審査を実行することが義務付けられています。

VDC は、発行者の URL の構文、ドキュメントのカテゴリ、および信頼リスト (政府機関が URL が主張するものであることを保証する証明書を発行する) などのその他の標準化された構文を定義し、証明書利用者 (検証者とも呼ばれます) に提示されたときにドキュメントの信頼性を保証する暗号化 シール を作成することにより、ドキュメントのデジタル表現を保持します。この W3C 検証済み資格情報データ モデルでは、URL は信頼モデルとして機能します。

政府機関も、異なる管轄区域間で明確なID基準と相互認識メカニズムに基づいてデジタルIDウォレットスキームを構築しているため、デジタルIDウォレットを国際的に採用することで、交通警察が他国の運転免許証を検証したり、銀行が適切なチェックとバランスを提供したりするためにVDCを受け入れることが容易になります(たとえば、 顧客を知る)取引中。

^[1] https://www.nist.gov/identity-access-management/projects/nist-special-publication-800-63-digital-identity-guidelines

1.2 パスキー

パスワードレスでフィッシングに強い認証メカニズムであるパスキーは、プライバシー保護認証の大幅な進歩を表しており、従来のパスワードをより安全でユーザーフレンドリーな代替手段に置き換えるように設計されています。

パスキーには、同期されたパスキーとデバイスバインドされたパスキーの 2 種類があります。同期されたパスキーはクラウドに保存され、複数のデバイスからアクセスできるため、利便性と簡単な回復が可能です。一方、デバイスバインドされたパスキーは、特定のデバイスまたはセキュリティキーにローカルに保存されるため、セキュリティが強化されます。パスキーとその実装方法の詳細については、「 パスキー セントラル」を参照してください。

パスキーは、その基本的な設計原則により、フィッシング攻撃に対して強力な耐性を示します。各パスキーは、証明書利用者 ID によって識別されるサービスの特定のオリジンに本質的に関連付けられているため、認証は正当で意図されたサービス プロバイダーでのみ実行できます。このオリジン固有のチャレンジ/レスポンス メカニズムは、本質的にフィッシング サイトによる複製に耐性があり、そのような攻撃は効果を示さなくなります。

同様に重要なのは、ユーザーの機密性を維持し、追跡を防ぐように設計されたパスキーのプライバシー保護アーキテクチャです。認証中、個人データや生体認証データが外部に送信または共有されることはありません。指紋や顔認識チェックなどの生体認証プロセスはユーザーのデバイス上でローカルに実行され、機密データがユーザーの管理下に置かれることを保証します。

パスキーはサービスごとに一意の暗号化キーを生成し、プラットフォーム間で再利用できないため、クロスプラットフォーム追跡が排除され、プロバイダーが複数のサービスにわたるユーザーアクティビティを監視できるようにするソーシャルログインに関連するプライバシーの問題が回避されます。従来の認証方法 (パスワードや 2 要素認証など) とは異なり、一意の暗号化キーを使用すると、単一の侵害されたアカウントから生じる可能性のある連鎖侵害のリスクが効果的に軽減されます。パスキーは、共有シークレットをデバイスバインドされた暗号鍵に置き換えることで、実行可能な攻撃ベクトルとしてのフィッシングを根本的に無力化します。パスキーがクラウドベースのメカニズムを介してデバイス間で同期されると、エンドツーエンドの暗号化によって保護されます。

このプライバシー中心の設計により、ユーザーの間に安心感と信頼感が育まれ、自分の個人情報が政府機関やサービスプロバイダーによって追跡されたり悪用されたりしていないことをユーザーに安心させます。フィッシング耐性認証とプライバシー保護の原則を組み合わせることで、パスキーは安全でユーザー中心のデジタル ID 管理への大きな進歩を表します。

1.3 VDCとパスキーの共通点

VDC とパスキーはどちらもセキュリティを強化し、デジタル インタラクション中の摩擦を軽減します。VDC は資格と属性 (実際のユーザーとの関連付け) を安全に表現することに重点を置いていますが、パスキーは特にフィッシング耐性のある認証 (ユーザーが持っているもの) を対象としています。これら 2 つのテクノロジーを一緒に使用すると、相互に補完し合い、デジタル世界内のセキュリティが強化されます。

2. デジタル ID のコア概念

このセクションでは、デジタル ID、認証、および承認の違いについて説明します。また、検証可能なデジタル資格情報の使用を強化する方法についても検討します。

2.1 検証済み ID と認証と承認

デジタル ID は、オンライン取引を促進する上で重要な役割を果たします。通常、VDC には、VDC 所有者の ID を検証するための証拠として提示できる ID 属性が含まれています。たとえば、個人が VDC を使用して名前、生年月日、住所などの属性をアサートし、身元を確認し、銀行に金融口座を開設する場合があります。銀行はこれらの属性を使用して、 顧客確認 (KYC) や マネーロンダリング防止 (AML) などの規制に準拠できます。

本人確認は、多くの場合、オンボーディング中に、身元証明として信頼できる文書を使用して、本人が本人であることを確認するプロセスです。確認済みの ID が確立されると、認証は再訪問時に個人を確認するのに役立ちます。パスワードまたは 2 要素認証は従来、認証に使用されてきましたが、パスキーは従来の認証方法よりも安全であるだけでなく、生体認証を使用して暗号化キーのロックを解除し、認証に使用できる利便性をユーザーに提供します。パスキーは、提示されるたびにユーザーに関する情報をアサートするVDCとは異なり、プライバシーが保護され、認証中にユーザー属性を提供しません。

VDC を使用して、承認要求中に要求された ID 属性を証明書利用者に送信できます。 ^[1] この方法は、検証された一連の属性を通じてエンドユーザーのより包括的なビューを提供するため、証明書利用者のリスクへのエクスポージャーを減らすことができます。証明書利用者は、アクセスのルールと提示された属性に基づいて、そのユーザーのアクセスに関する情報に基づいた決定を行うことができます。

^[1] 承認とは、ID が認証された後、ユーザーに適切なレベルのアクセスを付与するプロセスです。Identity and Access Management (IAM) システム内の特定の機能として、許可は、システム管理者がシステムリソースにアクセスできるユーザーを制御し、クライアント権限を設定するのに役立ちます。アクセス制御は、ユーザーIDに事前に決定された一連のアクセス権を割り当てるために使用され、認証要求の決定に役立つ属性交換の使用がサイバーセキュリティ業界で注目を集めています。

検証可能なデジタル資格情報の使用の強化

VDC は、個人が直接認証メカニズムとして機能することなく、ID 属性または資格について検証可能な主張を行うことができるように設計されています。特定のサービスに対してユーザーを認証する認証方法とは異なり、VDC は、発行者、保有者、検証者が関与する分散型 の信頼の三角形 を通じて、証明されたクレーム (生年月日や住所など) を共有することに重点を置いています。 SD-JWT や ISO mdoc などの標準では、ユーザーが資格情報から特定の主張 (運転免許証の年齢など) を共有する場合、元のドキュメントの整合性を暗号で証明する必要があるため、VDC はプライバシーを念頭に置いて設計されています。ユーザーは VDC の所有権を保持するため、中央集権的な権限に依存せずにプラットフォーム間で資格情報を提示できます。この柔軟性により、VDC は ID の証明が必要なシナリオに最適です。

パスキーは、オーセンティケーターを特定のドメインにバインドするフィッシング耐性のある認証方法を提供します。パスキーは、認証時に個人を特定できる情報(PII)や同様の情報を渡さないため、ユーザーのプライバシーが保護されます。ただし、VDC は、証明書利用者によって要求され、所有者によって合意された場合、不要な PII を渡すことができます。たとえば、悪意のある攻撃者は銀行の本人確認ポータルになりすまし、VDC からユーザーの PII を取得し、ユーザーの PII を悪用する可能性があります。暗号化署名は資格情報の整合性を保証しますが、文脈上の誤用には対処しておらず、現在の標準のギャップを浮き彫りにしています。したがって、ユーザーの資格情報と属性には VDC を利用することをお勧めします。

これらのリスクにもかかわらず、VDC は高保証プロセスに採用されることが増えています。

• 大学は VDC を使用して、学業成績や課外活動への参加を確認することで登録を合理化できます。
• 銀行は、文書検証(パスポートなど)、生体認証の生存チェック、AMLおよび政治的露出者(PEP)のスクリーニングを組み合わせて、eKYC(電子顧客確認)にVDCを採用して、顧客をリモートでオンボーディングできます。
• VDC は、国境を越えた金融送金や医療ライセンスなど、厳格な身元保証を必要とする取引における不正行為を軽減します。たとえば、自撮り検証とドキュメント中心のチェックにより、価値の高い契約中にユーザーが物理的に存在することを保証します。
• 国境を越えた教育では、VDC を使用すると留学生の資格を即座に検証できるため、管理上の遅延や詐欺のリスクが軽減されます。

ただし、これらのアプリケーションでは、VDC の PII フィッシングの影響を受けやすいことを補正するために、補足的な保護手段 (多要素認証、ライブネス検出など) が必要になることがよくあります。

VDC は、特に登録や高保証トランザクションにおいて、分散型 ID 管理に変革の可能性をもたらします。VDC をフィッシング耐性認証メカニズムと統合し、相互運用性標準を進歩させることで、政府機関や組織はリスクを軽減しながらその利点を活用できます。エコシステムが進化するにつれて、イノベーションとセキュリティのバランスをとるためには、政府機関、標準化団体、業界関係者間の協力が不可欠になります。

3. 主な考慮事項

VDC とパスキーは広く受け入れられている標準に従って構築されているため、相互運用性が促進され、さまざまなプラットフォームやサービス間でのシームレスな統合が実現します。この標準化は、広く採用され、真に相互接続されたデジタル ID エコシステムを構築するために非常に重要です。

3.1 プライバシーへの配慮

プライバシー保護は、VDC とパスキーの両方に存在する必要がある重要な機能です。VDC とパスキーを組み合わせることで、エンド ユーザーと証明書利用者の両方にメリットがあります。このエコシステムでは、ユーザーは自分の資格情報を制御し、証明書利用者にユーザーとして登録する場合など、必要に応じて属性を選択的に共有できます。依存する当事者は、VDC の背後にいる人物が、おそらく彼らが言うとおりの人物であると確信できます。

しかし、今後、ID業界全体は、デジタル時代におけるデータのプライバシーと制御に関する懸念の高まりに対処する必要があります。VDC は、検証済みの資格情報を保持および共有するプライバシー保護メカニズムですが、証明書利用者は、エンド ユーザーをアプリケーションに登録するために必要な最小限の属性のみを要求する必要があります。アプリケーションの種類と法的および規制上の要件に応じて、属性は電子メールアドレスと名前だけで、確認済みの自宅住所と国民ID番号も含まれる場合があります。

3.2 eIDAS 2.0規制

欧州デジタル ID 規則 2.0 (eIDAS 2.0) 規制は、EUDI ウォレット内でパスキーを暗黙的または明示的に使用できる場所を説明しています。EUDIウォレットのPIDは、証明書利用者への初期認証に高いeIDAS LoAとともに使用する必要があります。この要件を満たすために、FIDOパスキーをユーザーのEUDIウォレットに登録できます。パスキーは、証明書利用者に対して仮名を使用した繰り返しの認証に使用できます。このようにして、パスキーは EUDI ウォレット エコシステムで VDC を共存または補完することができます。

eIDAS 2.0規制のセクション 5f.3 ^[1] には、非常に大規模なオンラインプラットフォームは、認証のためにEUDIウォレットの使用を受け入れ、促進しなければならないが、「認証が要求される特定のオンラインサービスに必要な最小限のデータに関して」使用しなければならないと書かれています。したがって、eIDAS 2.0 では、オンライン プラットフォームが政府発行のクレデンシャルによって発行され、政府発行のクレデンシャルに関連付けられた VDC も受け入れることを要求するのではなく、仮名 PID 認証をサポートできるようになります。

したがって、パスキープロバイダーはパスキーを発行して復元する必要があります。パスキー・プロバイダー・サービスは、EUDIウォレット・エコシステム内のさまざまなエンティティー(クラウドベースのEUDIウォレット・バックエンド、PIDプロバイダー、または(適格)属性電子認証((Q)EAA)を発行する適格トラスト・サービス・プロバイダー(QTSP))によって運用できます。

^[1] https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202401183

クラウドベースのEUDIウォレットとパスキープロバイダーには、興味深い相乗効果があります。PIDと(Q)EAAは、FIDOパスキーを使用してユーザーのデバイスからアクセスされるクラウドベースのEUDIウォレットバックエンドでホストされます。ユーザーのデバイスを紛失または交換した場合、ユーザーはFIDOパスキーを復元するだけで、ユーザーはPIDと(Q)EAAにアクセスできるようになります。これにより、ユーザーは最初にFIDOパスキーをデバイスにダウンロードし、次にFIDOパスキーを使用してクラウドベースのEUDIウォレットに即座にアクセスできるため、EUDIウォレットの迅速な回復が可能になります。

3.3 VDCとパスキーの統合アプローチのユースケース

パスキーとデジタル ID ウォレットは競合するテクノロジーではなく、堅牢でポータブルな ID エコシステムを構築する補完的なソリューションです。パスキーはデジタル ID ウォレットへの安全なゲートウェイとして機能し、不正アクセスに対する強力な防御を提供し、ウォレットはリスクの高い取引中に貴重なデータを提供する役割を果たします。この組み合わせにより、検証済み ID (EUDI ウォレット) と簡単な認証 (パスキー) を統合することで、セキュリティが強化され、ユーザー エクスペリエンスが合理化されます。

おそらく最も重要なことは、この組み合わせにより、再利用可能な ID を作成できることです。ユーザーは自分の身元を一度証明し、複数のサービスで同じVDCを再利用できるため、高いセキュリティ基準を維持しながら、デジタルインタラクションの摩擦を大幅に軽減できます。デジタル ID と認証に対するこの統合アプローチの潜在的な用途は広大であり、複数の分野にまたがっています。

• オンライン検証: 電子商取引 (国が支援する酒屋など) では、制限された製品を購入するための年齢確認は、デジタル ウォレットに保存され、パスキーを使用して安全にアクセスできる検証済みの資格情報を使用して合理化できます。
• 政府サービス: この組み合わせたアプローチにより、納税申告システムやその他の政府特典への安全なアクセスが促進され、ユーザー エクスペリエンスを向上させながらセキュリティが強化されます。
• ヘルスケア: 複数の病院にわたる処方医師の資格情報の検証がより効率的になり、医療提供者間の患者記録の安全な転送が合理化されます。
• 教育: 高等教育システムはアカウントの乗っ取りをより効果的に防ぐことができ、学生は学業を通じて、そしてそれ以降も記録を持ち続ける再利用可能な ID を作成できます。
• 金融サービス: 顧客確認 (KYC) プロセスを大幅に合理化し、リスクの高い取引のセキュリティを強化することがより効果的に実装されます。

ほとんどのユースケースでは、証明書利用者は VDC を使用して、対話の開始時に構成要素を登録し、構成要素とのさらなる対話のためにパスキーを受け入れる必要があります。構成要素がリスクの高いトランザクションを実行している場合、証明書利用者は認証時に VDC に追加の属性を要求する必要があります。さらに、パスキーの回復には VDC を使用し、VDC へのアクセスにはパスキーを使用する必要があります。

4. 推奨事項

有権者の主要な認証形式としてパスキーを採用する政府機関や組織は、強化されたセキュリティと使いやすさを活用できます。信頼性と使いやすさを確保するには、特にパスキーの発行やアカウントの回復に検証済みの ID が必要なシナリオでは、パスキーを検証済みデジタル資格情報 (VDC) によってサポートする必要があります。VDC は、高レベルの保証を維持しながら、パスキーを安全に回復するための堅牢なメカニズムを提供します。

これを効果的に実装するには、ID 保証レベル (IAL) 要件と、サービス内で保護されるデータのリスク許容度に基づく階層型アプローチをお勧めします。中程度の IAL 要件を持つサービスの場合、証明書利用者 (RP) は次のことを行う必要があります。

• 政府発行の ID を読み取り、ユーザーの身元を確認します。
• 検証済みの ID に関連付けられたパスキーを作成します。
• パスキーは、後続のすべてのやり取りで再認証に使用します。

有権者の主要な認証形式としてパスキーを採用する政府機関や組織は、強化されたセキュリティと使いやすさを活用できます。信頼性と使いやすさを確保するには、特にパスキーの発行やアカウントの回復に検証済みの ID が必要なシナリオでは、パスキーを検証済みデジタル資格情報 (VDC) によってサポートする必要があります。VDC は、高レベルの保証を維持しながら、パスキーを安全に回復するための堅牢なメカニズムを提供します。

これを効果的に実装するには、ID 保証レベル (IAL) 要件と、サービス内で保護されるデータのリスク許容度に基づく階層型アプローチをお勧めします。中程度の IAL 要件を持つサービスの場合、証明書利用者 (RP) は次のことを行う必要があります。

• 政府発行の ID を読み取り、ユーザーの身元を確認します。
• 検証済みの ID に関連付けられたパスキーを作成します。
• パスキーは、後続のすべてのやり取りで再認証に使用します。

より高いIAL要件を持つサービスには、政府機関とFIDOアライアンスのような組織とのコラボレーションが不可欠です。彼らは協力して、ユーザーのプライバシーと利便性を維持しながら、パスキーが厳しい保証レベルを満たしていることを保証するソリューションを開発できます。

さらに、管轄区域を超えた IAL の基準と相互承認の取り決めが差し迫った必要性があります。政府機関は、法令遵守と消費者保護のために特定のサービスにどの IAL レベルが必要かを規定する明確なガイダンスの確立に取り組む必要があります。これらの標準は、国境を越えたデジタルインタラクションの相互運用性と信頼を促進するために、できるだけ多くの国で有効であることを目指す必要があります。

認証の基盤としてパスキーを採用し、検証済みの資格情報や標準化された IAL フレームワークと連携させることで、政府機関はセキュリティを強化し、ユーザー エクスペリエンスを向上させ、デジタル ID 管理における世界的な協力を促進できます。

5. 付録

5.1 政府機関の展開のための検証可能なデジタル資格情報

デジタル ID の状況は世界中で大きな変革を遂げています。この付録では、世界中の政府機関が VDC をどのように実装しているかについて説明します。

5.2 APAC VDCの取り組み

アジア太平洋諸国はVDCのアイデアを受け入れています。日本、韓国、オーストラリアなどの国々は、VDC 間の相互運用性を確保するために協力しています。オーストラリアの 2024 年デジタル ID 法 により、デジタル ID の認定要件が設けられ、さまざまなプロバイダー間の信頼フレームワークが強化されました。

アジアでは、政府発行のデジタル認証情報は急速に進歩していますが、不均一です。多様な経済、技術、規制の状況を反映しています。最近の展開は、安全で相互運用可能なシステムの形成における標準化団体( ISO/IEC や W3Cなど)の進歩と重要な役割の両方を浮き彫りにしています。アジアでは、インド、シンガポール、韓国などの国々が堅牢なデジタル ID システムでリードしており、オーストラリアは安全で相互運用可能な資格情報のために mDL を国際標準と調和させています。

シンガポールのSingPassは、シームレスな公共サービスと民間サービスへのアクセスのベンチマークです。韓国は、FIDOおよびISO/IEC 29115規格を組み込んだデジタルIDを電子ガバナンスに活用しています。日本のデジタル庁 ^[1] は、2024年12月に発足したアジア太平洋デジタルIDコンソーシアム ^[2] などの取り組みを通じて、個人番号(マイナンバー)カードの強化を推進しています。

日本政府は、2025年6月24日よりiPhoneユーザー向けにmdoc形式( ISO/IEC 18013-5で標準化)のデジタル国民ID(マイナンバーカード/スマートフォンのマイナンバーカード)の発行を開始し、2026年にAndroidユーザー向けに発行する予定です。デジタル国民IDには、氏名、生年月日、住所、性別、個人番号(日本では マイナンバー )などの身元情報が含まれています。その目的は、デジタル国民IDを、対面とリモートの両方のユースケースのさまざまなID証明ユースケースで使用することです。

東南アジアでは、タイの2022-24年デジタルIDフレームワークは、1,000万のデジタルIDと国家デジタルIDプラットフォームを対象としています。Mobile ID の生体認証 (D.DOPA) について議論する際、このフレームワークの作成者は NIST 800-63 および ISO/IEC 19794 標準を参照しました。 ISO/IEC 27001に準拠したマレーシアのMyDigital IDと、サラワク州が計画している サラワクパスは、キャッシュレス取引とサービスアクセスで SingPass をエミュレートすることを目的としています。フィリピンの PhilSys は6,800万人を登録しており、物理的なカードの遅延を回避するためのデジタル発行に重点を置いています。2025年3月、台湾デジタル省は、生体認証と選択的開示を使用して、IDとライセンスを保存するための必須ではないモバイルアプリであるプロトタイプの 台湾デジタルIDウォレット (TW DIW)を導入しました。サンドボックス試験は3月に開始され、12月にはより広範なテストが予定されているが、デジタルIDの完全な代替ではなく、医療データの共有は除外されている。

オーストラリアとニュージーランドは、モバイル運転免許証を ISO/IEC 18013-5 と調和させています。オーストラリアとニュージーランドでは、mDLの調和の取り組みは、国内外で検証可能な安全で相互運用可能なデジタルクレデンシャルを保証する ISO/IEC 18013-5の採用に重点を置いています。オーストラリアでは、Austroadsの Digital Trust Service (DTS)が、全国的な拡張性テストに成功した試作バージョンで先頭に立っています。2019年以来450万人のユーザーを抱えるニューサウスウェールズ州は、アプリベースのmDLを提供する Service NSW アプリを完全なコンプライアンスに移行し、物理的なカードとの法的同等性を確保しています。南オーストラリア州の mySAGOV アプリには、この規格の検証機能が組み込まれています。2025-26年の展開を目標とするDTSは、管轄区域を超えたグローバルな検証を可能にし、2024年のIdentity and Verifiable Credentials Summitで米国の空港アクセスなどの用途で実証され、相互運用性の枠組みにニュージーランドを含めている。ニュージーランドは、オーストラリアとの相互承認協定に基づいて、NZTAアプリベースのデジタルライセンスを ISO/IEC 18013-5に合わせています。

5.3 EU VDCの取り組み

ヨーロッパでは、2024 年 5 月に施行された 欧州デジタル ID 規則 2.0 (eIDAS 2.0) 規制により、欧州連合全体でデジタル ID の管理方法に極めて重要な変化がもたらされました。この更新されたフレームワークでは、EU 国民に加盟国間の公共および民間サービスにアクセスするための安全で相互運用可能なデジタル ID ソリューションを提供することを目的とした欧州デジタル ID ウォレット (EUDI ウォレット) が導入されます。

EUDIウォレットは、eIDAS 2.0規制 ^[3] の基礎であり、すべてのEU市民に無料で提供されます。EUDIウォレットの目的は、EU市民がオンラインとオフラインの両方のリソースにアクセスする際に身元を証明したり、完全な身元を明らかにすることなく特定の個人属性を提示できるようにすることです。EUDIウォレットは、モバイル運転免許証、支払い、公共サービスへのアクセス、銀行口座の開設などのユースケースに使用できます。

EUDIウォレットアーキテクチャは、EUDIウォレットで使用される形式とプロトコルを指定する欧州デジタルIDウォレットアーキテクチャおよび参照フレームワーク(ARF)で概説されています。各EUDIウォレットは、高いeIDAS保証レベル(LoA)で登録される個人身分証明書(PID)でブートストラップされます。PID に加えて、ユーザーは、ユーザーの身元と証明書利用者への請求を証明できる (Q)EAA を追加するオプションがあります。

ARF は、次の形式が PID および (Q)EAA に適していると指定しています。

• ISO/IEC 18013-5 モバイル運転免許証 (mDL)
• W3C 検証可能な資格情報データモデル v1.1
• IETF SD-JWT ベースの検証可能な資格情報 (SD-JWT VC)

さらに、国際民間航空機関 (ICAO) のデジタル旅行資格情報 (DTC) は、EUDI ウォレットで (Q)EAA としても使用できます。

5.4 米国VDCの取り組み

米国では、モバイル運転免許証 (mDL) 運動が勢いを増しており、いくつかの州がすでに mDL プログラムを導入しているか、試験的に実施しています。 eIDAS 2.0の集中型アプローチとは異なり、米国の取り組みは、業界の協力とともに、個々の連邦機関や州の取り組みによって推進され、より有機的に開発されています。これらの開発は、デジタル化が進む世界において、堅牢なユーザー中心のデジタル ID ソリューションの必要性に対する認識の高まりを反映していますが、さまざまな規制および技術的経路を通じてこの目標にアプローチしています。

米国の州は有権者にIDカードと運転免許証を提供するため、mIDとmDLを作成する責任は各州にあります。そのため、米国における mDL の開発と実装は、州によって段階的かつ多様なプロセスでした。 ^[4] 現在、米国の州の約3分の1しかmDLを提供していませんが、多くの州は、リモートトランザクションの改善、ID詐欺の削減、政府サービスと民間部門のサービスの両方に対するデジタルID検証の強化におけるmDLの潜在的な利点を認識しているため、前進しています。

運輸保安局 (TSA) は、VDC (モバイル運転免許証など) が航空のセキュリティと運用に及ぼす潜在的な影響を評価しています。TSAは、Credential Authentication Technology 2(CAT-2)システムを使用して、TSAチェックポイントで州発行のモバイル運転免許証の受け入れを含むデジタルID機能を統合し、個人の身元を確認するための安全でシームレスな方法を提供しています。現在、TSA は 15 の参加州からモバイル運転免許証とモバイル ID を受け付けています。2024年10月、TSAは連邦官報に最終規則を発表し、2025年5月7日にREAL IDの施行が開始されたTSA空港の保安検査場で本人確認に乗客がモバイル運転免許証(mDL)を引き続き使用できるようにする最終規則を発表した。

NISTのNational Cybersecurity Center of Excellence(NCCoE)は、 デジタルIDガイドラインSP 800-63の発行に加えて、mDLエコシステム全体の利害関係者を集めて、mDL導入の標準とベストプラクティスを促進し、mDL導入の課題に対処するためのリファレンス実装の構築に取り組む mDL導入加速プロジェクト を立ち上げました。最初のNCCoEユースケースは、消費者が金融口座を作成できるように支援し、金融機関がmDLを使用して顧客識別プログラム/顧客確認(CIP/KYC)要件を満たすのを支援することに重点を置きます。

米国連邦政府とユーザーとのデジタルやり取りのために、政府機関はデジタルIDウォレットに保存される再利用可能なIDのアイデアを採用しています。一般的に言えば、これらのVDCはクラウドベースであり、公共給付への登録や税金の申告などのアクションのために連邦機関とやり取りする前に、ユーザーの身元を確認するために使用されます。これらのVDCは、構成員が政府機関のアプリケーションへのサインインに使用する認証システムにも関連付けられています。連邦空間内では、オーセンティケーターに関連付けられた VDC は、クレデンシャル サービス プロバイダー (CSP) と呼ばれます。

5.5 英国VDCの取り組み

英国政府は、2024年11月にデジタルウォレットに関連するデジタルIDサービスの標準と役割を概説した DIATF(Digital Identity and Attributes Trust Framework)ガンマバージョン(0.4) ^[5] をリリースしました。英国は2025年にデジタル運転免許証を導入する予定で、スマートフォンの新しい GOV.UK デジタルウォレットアプリを通じて利用できるようになります。

^[1] https://www.digital.go.jp/en

^[2] https://www.apdiconsortium.org/

^[3] 2024年4月にEU議会で「欧州デジタル・アイデンティティ・フレームワークの確立に関する規則(EU)2024/1183」(eIDAS 2.0)が採択されました。eIDAS 2.0規制は、「実施法」としても知られる委員会実施規則(CIR)で拡張され、eIDAS 2.0規制の特定の法的側面を詳しく説明します。eIDAS 2.0 CIR は引き続き指定されます。

^[4] 2025年3月現在、mDLを提供している州には、アラスカ州、アーカンソー州、アリゾナ州、カリフォルニア州、コロラド州、デラウェア州、ジョージア州、ハワイ州、アイオワ州、ルイジアナ州、メリーランド州、ミシシッピ州、ニューヨーク州、オハイオ州、プエルトリコ、バージニア州、ユタ州、ウェストバージニア州が含まれます。

^[5] https://www.gov.uk/government/publications/uk-digital-identity-and-attributes-trust-framework-04

6. 貢献者

• ジェローム・ベッカート、アクシアド
• ジョン・ブラッドリー、ユビコ
• ティム・カッパリ、Okta
• セバスチャン・エルフォルス、IDnow
• 古川 英明 野村総合研究所
• ウィリアム・フィッシャー、NIST
• ヘナ・カプール、ビザ
• スー・クーマン、アメリカン・エキスプレス
• マシュー・ミラー、シスコ
• ジェフ・ニグリニー、CertiPath、Inc.
• ジョー・スカローン、ユビコ
• アラステア・トレハーン、Ingenium Biometric Laboratories

7. 文書履歴

8. 参考文献

アジア太平洋デジタル ID (APDI) コンソーシアム。APDIコンソーシアム。 https://www.apdiconsortium.org/

デジタルエージェンシー。家。デジタルエージェンシー。 https://www.digital.go.jp/en

FIDOアライアンス。家。パスキーセントラル。 https://www.passkeycentral.org/home

NISTです。デジタル ID – モバイル運転免許証 (mDL)。NIST National Cybersecurity Center of Excellence。 https://www.nccoe.nist.gov/projects/digital-identities-mdl

NISTです。(2025年7月)。NIST SP 800-63-4 デジタル ID ガイドライン。NISTです。 https://www.nist.gov/identity-access-management/projects/nist-special-publication-800-63-digital-identity-guidelines

デジタル ID および属性局および科学・イノベーション・技術省。(2025年6月26日)。英国のデジタル ID と属性の信頼フレームワーク (0.4)。英国政府。 https://www.gov.uk/government/publications/uk-digital-identity-and-attributes-trust-framework-04

欧州議会と欧州連合理事会。(2024年4月11日)。欧州議会および理事会の規則 (EU) 2024/1183。EUR-Lex.europa.eu. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202401183

運輸保安局。(2024年10月7日)。TSAは、空港の保安検査場や連邦政府の建物で移動式運転免許証の継続的な受け入れを可能にする最終規則を発表しました。TSAです。 https://www.tsa.gov/news/press/releases/2024/10/24/tsa-announces-final-rule-enables-continued-acceptance-mobile-drivers

iPhone または Android スマートフォンで多数の パスキー を作成したと想像してください。スマートフォンを紛失した場合、または機能しなくなった場合、デバイスのパスキーはどうなりますか?彼らはいなくなってしまいましたか?取り戻せるでしょうか?恐れることはありません。パスキーを設定して、パスキーをアカウントに関連付けて、どこにいてもフォローできるようにする方法があります。

秘訣は、そもそもパスキーをどのように生成 するか にあります。パスキーをサポートするパスワード マネージャー、 Google パスワード マネージャー、または Apple の iCloud キーチェーンを使用すると、パスキーをアカウントに保存し、すべてのデバイス間で同期できます。スマートフォンを紛失した場合、または新しいスマートフォンにアップグレードした場合、サインインするとパスキーが利用可能になります。これがどのように機能するかは次のとおりです。

パスワードは最悪です。彼らは 覚えるのは難しいですが、さらに悪いことに、最も重要なアカウントで進化し続けるサイバーセキュリティのモグラたたきゲームをプレイしています。そこでパス キー の出番です。い わゆる「パスワード戦争」 は過去2年間で始まり、Google、Microsoft、Appleなどの大手企業が、 FIDO Alliance (「世界のパスワードへの過度の依存を減らす」ために設立されたコンソーシアム)が10年以上にわたって実現しようとしてきたパスワードレスの未来を推進しています。

好むと好まざるとにかかわらず、ある時点でパスキーを作成するように求められますが、おそらく すでに作成している可能性があります。パスキーは従来のパスワードよりもはるかに使いやすいだけでなく、はるかに安全であるため、これは良いことです。それらの使用について知っておくべきことはすべてここにあります。

Every few months, like clockwork, a talk or article appears claiming that new research has uncovered a “vulnerability” with passkeys. This can understandably raise concern for executives and product leaders looking to uplift their authentication frameworks. But these reports have a pattern: they highlight opportunities for exploitation in the environment where passkeys are used, not any vulnerability in passkeys themselves.

Passkeys are FIDO authentication credentials that leverage public key cryptography. The authentication protocol relies on the user having control of their private key, which is generated on the user’s device (their smartphone, their FIDO Security Key, etc) and is never shared with the service they are authenticating to (all the service receives and saves is the corresponding public key). That design makes passkeys inherently resistant to phishing, credential stuffing, and large-scale data breaches. Breaking the security model of passkeys would require stealing the private key itself, something cryptographically and practically infeasible without compromising the device in some manner.

Where the “Breaks” Actually Happen

When researchers announce they’ve “broken passkeys,” what they usually mean is that they’ve compromised something else in the operational environment:

• Browser vulnerabilities that let malicious extensions hijack sessions or impact user behavior.
• Device compromises where malware takes control of the endpoint.
• Application weaknesses in how the authentication flow is integrated.

To be clear, these are real risks, but these are risks for any authentication solution (in addition to other secure tools such as encrypted messaging apps and VPNs). They are not flaws in passkeys themselves. Rather, they are examples of broader environmental compromise which can be mitigated with well-known security controls and policies that IT teams have been deploying for years.

Do Not Confuse Headlines with Reality: Passkeys Work as Intended

No reports have found vulnerabilities in the cryptography or the technical standards underpinning passkeys. What’s being demonstrated by researchers are scenarios where, if the user’s environment is already compromised, attackers may be able to misuse otherwise secure credentials or circumvent the secure authentication process. That’s a meaningful security discussion, and a good reminder that while passkeys are the gold standard for secure authentication, they don’t eliminate the need to have a comprehensive security program.

Our Commitment to Security and Research

The FIDO Alliance is deeply committed to advancing security through ongoing research, rigorous testing, and collaboration with our members and the broader security community. Our members are actively exploring the impact of emerging technologies like post quantum cryptography, and emerging threats like deepfakes. We also welcome engagement with security researchers who approach their work responsibly, as constructive collaboration helps us strengthen our specifications, certification programs, and implementations. Sensationalist headlines may help a few to market their products or services, but the real win for strong, phishing-resistant authentication is when we combine forward-looking research with open, responsible dialogue. That’s at the heart of the Alliance’s ethos.

The Bottom Line

For anyone responsible for product, security, or compliance, here’s what this means when it comes to adopting passkeys:

• Stay focused on fundamentals: Passkeys eliminate entire classes of attacks (phishing, credential theft, reuse) that drive the majority of breaches today.
• Adopt thoughtfully: Pay attention to the integration and rollout plans, following guidance and best practices with special attention to fallback models.
• Pair with environmental protections: Continuing to strengthen your security program remains essential, especially focusing on strong endpoint security, browser governance, and app hardening.
• Lean on certification: Certified implementations ensure consistency and reduce integration risk across platforms and devices.

Passkeys represent one of the most significant advances in digital identity security in decades, and they work as intended. Headlines suggesting otherwise often sensationalize research that demonstrates something we’ve known forever: no system is immune if the environment it runs in is compromised. Passkeys remain the best path forward to reducing fraud, lowering breach risk, and building customer trust in a digital-first world.

攻撃者は、重要なアクセスを取得するための鍵である組織のアイデンティティおよびアクセス管理(IAM)プロトコルをバイパスするために常にスキルを磨いており、人工知能(AI)はフィッシング攻撃をさらに効果的にしており、 ディープフェイクは最もセキュリティに精通した頭脳さえも騙しています。パスワードレス技術などの新しい認証手段は存在しますが、 実装上の課題により導入が妨げられています。

ユーザーはパスワードを保護する必要があります

Microsoft Authenticator のユーザーにとって、これは重要な期限です: 5 月初旬に発表されたように、保存されているすべてのパスワードは 2025 年 8 月 1 日にアプリから取り消し不能に削除されます。データを確認または転送しない場合、保存されているパスワードに永久にアクセスできなくなります。

切り替えは徐々に行われ、数か月にわたって続いています。2025 年 6 月以降、アプリに新しいパスワードを保存したり、外部ソースからインポートしたりすることはできなくなりました。これは、手動入力と他のサービスとの同期の両方に影響します。その後、2025 年 7 月に自動入力機能が無効になり、アプリは Web サイトやアプリのログイン フィールドを自動的に入力しなくなりました。

FIDO Allianceの新しい調査によると、87%の企業がパスキーを採用している一方で、まだ導入していない企業の半数近くが、複雑さとコストの懸念を主な障壁として挙げています。HID のソリューションは、パスワードレス認証への移行を合理化します。

少し極端に思えるかもしれませんが、ユーザーからパスワードの消去を開始するという決定は、数か月かけて行われていました。Microsoft は、Microsoft が Android および iOS 向けに開発した無料のモバイル アプリである Microsoft Authenticator を徐々に終了しており、2 要素認証 (2FA) またはパスワードレス ログインを使用してオンライン アカウントに安全にサインインできます。

FIDO Allianceの新しい調査によると、87%の企業がパスキーを採用している一方で、まだ導入していない企業の半数近くが、主な障壁として複雑さとコストの懸念を挙げています。HID のソリューションは、パスワードレス認証への移行を合理化します。

HID のパスワードレス認証ロードマップの次のフェーズでは、企業にユーザーエクスペリエンスやセキュリティ体制を損なうことなく FIDO を導入するための選択肢、柔軟性、スピードを提供します。拡張されたポートフォリオは、エンタープライズグレードのライフサイクル管理を備えたフィッシング耐性認証を提供し、あらゆる規模の組織がスケーラブルなパスワードレスセキュリティにアクセスできるようにします。このソリューションは、多様な作業環境でシームレスに動作し、一元化された可視性と制御を通じてITサポート要件を軽減します。

では、デバイスが盗まれた場合、これらのパスキーはどうなりますか?

FIDO Allianceの新しい調査によると、87%の企業がパスキーを採用している一方で、まだ導入していない企業の半数近くが、主な障壁として複雑さとコストの懸念を挙げています。HID のソリューションは、パスワードレス認証への移行を合理化します。

パスキーのポータビリティは、アプリがプライベートで暗号化された方法で認証情報を交換できるようにする FIDO Alliance の新しい標準に基づいて構築されています。Face ID、Touch ID、またはデバイスのパスコードを使用して転送を承認します。ユーザーの立場では、ただうまくいく。そして、それはまさにそうあるべき姿です。

このプラットフォームの認証システムでは、英国のユーザーはパスポートなどの政府発行の身分証明書、またはサードパーティの本人確認会社であるペルソナを通じて自撮り写真のいずれかを提出する必要があります。このアプローチは、 Discord が最近英国で顔スキャンと ID 検証を展開したなど、他のプラットフォームによる実装の成功に続くものです。ペルソナはユーザーのプライバシーを維持するために機密データを処理し、アップロードされた写真や ID を Reddit と共有せずに最大 7 日間保存します。

Reddit はユーザーの認証ステータスと生年月日のみを保持するため、制限されたコンテンツにアクセスする際に認証を繰り返す必要がなくなります。ペルソナは、サブレディットのアクティビティを含むRedditユーザーデータにアクセスしないことを確認しました。プライバシーを重視したアプローチは、 FIDOアライアンスの顔ベースのリモート本人確認の認証プログラムによって確立された原則と一致し、デジタル本人確認の新たな標準と一致しています。

自動車業界がソフトウェア デファインド ビークル、自動運転技術、コネクテッド サービスに移行するにつれて、サイバーセキュリティは重大な懸念事項となっています。FIDO Allianceのこのホワイトペーパーでは、次世代自動車を保護するための主要な課題と新たなソリューションについて概説しています。UN R155、UN R156、ISO/SAE 21434などの世界的な規制の枠組みを調査し、パスワードレス認証、安全なデバイスオンボーディング、生体認証に関するFIDOアライアンスの基準を提示します。

聴衆

このホワイトペーパーは、自動車業界を対象としています。対象者には、自動車システムエンジニア、自動車IVI製品および開発マネージャー、自動車ネットワーキングおよび車載サイバーセキュリティエンジニア、購買などのアプリケーション向けの車載サービスの製品マネージャー、ITシステムサイバーセキュリティマネージャー、 UN R155/R156 や ISO/SAE 21434などのグローバル規制枠組みをサポートしようとしているエンジニア、製造システムエンジニア、自動車とクラウドの接続エンジニアが含まれます。

1. イントロダクション

自動車業界は、ソフトウェア定義車や自動運転車への移行、高度な IT ライク アーキテクチャ、無線 (OTA) アップデート、車載商取引の台頭など、変革的な変化を遂げています。これらの変更は新たな収益機会を提供する一方で、サイバーセキュリティの重大な脅威ももたらします。

国連規則 155、国連規則 156、ISO/SAE 21434 などの世界的なサイバーセキュリティ法は、新たな脅威から車両を保護することを目的としています。FIDOアライアンスは、安全な認証、デバイスのオンボーディング、生体認証の基準を提供することで、重要な役割を果たしています。

標準を利用することで、自動車会社は一貫したセキュリティを確保し、集合的な専門知識を活用し、新しい市場や収益を妨げる可能性のある独自のソリューションを回避できます。FIDO規格は、消費者向けサービス、車載ソリューション、労働力認証、製造など、さまざまな自動車アプリケーションに適用され、業界全体で堅牢なサイバーセキュリティを確保しています。

このホワイトペーパーは、自動車エコシステム内の企業に、FIDO Allianceが提供する標準とサービスに関する洞察を提供するとともに、現在および将来のユースケースのレビューを提供します。

FIDOアライアンスは、FIDOのプログラムが目的に適合し、企業がサイバーセキュリティのニーズを満たし、ドライバー体験を向上させ、新たな機会を開拓できるよう、フィードバックと業界専門家とのパートナーシップを求めています。

2. 自動車産業の進化

自動車業界には 140 年の歴史があり、現在、業界のあらゆる側面に影響を与える変化を経験しています。

• 電化と持続可能性
• ソフトウェア・デファインド・ビークルとコネクティビティ
• 自動運転と支援運転
• ビジネスモデルの変化:MaaS(Mobility-as-a-Service)とダイレクトセールス
• サプライチェーンの混乱と地政学的リスク
• 新しい収益源:データの収益化とサービス
• EV充電インフラの展開とそのエネルギー網への影響
• 消費者の期待とデジタル体験の変化

これらの変化は、新たな収益機会や改良された車両という点でメーカーに潜在的な利益をもたらしますが、かなりのサイバー脅威ももたらします。

車両は、孤立した機械システムから、複雑なソフトウェア、ハードウェア、通信ネットワークを統合する相互接続されたサイバー物理プラットフォーム(多くの場合、さまざまなエンティティによって作成される)へと進化しました。メーカーは、エンドユーザーにより良い車両と強化された運転体験を提供するためにこれらのシステムを導入していますが、新しい「攻撃対象領域」に関連するサイバー脅威のリスクも高めます。これらの潜在的な脅威は、悪意のあるハッカーから国家資金提供を受けた攻撃者まで、さまざまな形で発生します。これらの脅威を最小限に抑えるために、メーカー、そのサプライヤー、規制当局、その他の業界関係者にとって、サイバーセキュリティに注力することが今や基本的な優先事項となっています。

3. 課題に立ち向かい、チャンスをつかむ

自動車サイバーセキュリティの専門家は、大きな課題を目の前に抱えています。一方では、脅威の増加に対応し、消費者を保護するために策定された関連法を考慮する必要があります。他方では、車載商取引、サブスクリプションサービスなどの付加価値車両機能、工場やオフィス向けのサイバーセキュリティの追加などの新しいビジネスモデルをサポートすることにオープンである必要があります。これらすべてのニーズを満たすためのシンプルなソリューションはありませんが、FIDO Allianceなどの組織の標準や認証プログラムを利用すると、大いに役立ちます。

4. 自動車サイバーセキュリティと世界的な法律

各国政府や国際機関は、設計、運用、さらには使用終了を含む自動車のライフサイクル全体を通じて厳格なサイバーセキュリティ対策を義務付ける規制を制定しています。これらのフレームワークは、新たな脅威から車両を保護し、自動車エコシステム全体の安全性と信頼のベースラインを確立することを目的としています。世界的な主な例は次のとおりです。

• 国連規則 155 および国連規則 156: 車両にサイバーセキュリティ管理システム (CSMS) とソフトウェア更新管理システム (SUMS) を組み込むことを義務付けます。
• ISO/SAE 21434:グローバルな自動車サイバーセキュリティエンジニアリングの基盤を提供し、車両のライフサイクル全体を通じてサイバーリスクを管理するためのプロセスの概要を説明します
• 中国の GB 44495-2024 および GB 44496-2024: サイバー セキュリティ管理システム (CSMS) を規制し、安全なソフトウェア アップデートをきめ細かく管理します。
• インドのAIS 189およびAIS 190: 国連R155 および R156に準拠し、コネクテッドカーのサイバーセキュリティを規制
• 米国:安全な車両開発プロセス、インシデント対応計画、継続的なリスク監視を重視した米国道路交通安全局(NHTSA)によるサイバーセキュリティのベストプラクティスの公表

これらの規格の詳細については、 付録 A を参照してください。

5. FIDOアライアンスとFIDOスタンダード

FIDOアライアンスは、パスワードへの依存を減らすという世界を使命とするオープンな業界団体です。これを達成するために、FIDO Allianceは、ユーザー認証とデバイスオンボーディングの標準の開発、使用、準拠を推進しています。

FIDOアライアンス:

• ユーザーとデバイスの両方の認証にパスワードへの依存を減らすために、オープンでスケーラブルで相互運用可能な一連のメカニズムを定義する技術仕様を開発します。
• グローバルな規制の進化を追跡し、独自の標準を進化させて、業界が調和のとれた方法でこれらの規制を満たし、コンプライアンスの負担を軽減できるようにします。
• これらの仕様の世界的な採用を確実に成功させるために、業界認証プログラムを運営しています。
• FIDOの世界的な利用を促進するための教育および市場導入プログラムを提供します。
• 正式な標準化のために、成熟した技術仕様を認定された標準開発機関に提出します。

FIDOアライアンスは、IT、シリコン、決済、消費者サービスのリーダーを擁し、世界中に300を超えるメンバーを擁し、アップル、ビザ、インフィニオン、マイクロソフト、デル、アマゾン、グーグルの代表者を含む取締役会を擁しています。アライアンスには、志を同じくするメンバーが技術的な作業分野を開発および推進し、市場固有の要件を調整できるさまざまな活発なワーキンググループもあります。

FIDOアライアンスは、自動車ワーキンググループの立ち上げを計画しており、この分野のリーダーが技術、ビジネス、市場の要件を特定し、協力することができます。詳細については、次の [お問い合わせ] フォームを使用してください。 https://fidoalliance.org/contact/ または電子メール info@fidoalliance.org 。

6. 自動車サイバーセキュリティコンプライアンスのためのFIDO

主要な自動車サイバーセキュリティ規格 であるISO/SAE 21434 と、その後の最も顕著な規制である UN R155の要求を満たすには、強力なID管理と安全なデバイスオンボーディングが必要です。これらの基準はFIDOプロトコル自体を規定しているわけではありませんが、FIDOが具体的なメリットをもたらす重要な原則を概説しています。

ISO 21434、特にリスク評価と脅威の軽減に関する第 8 条と第 9 条では、不正アクセスを防ぐための戦略が求められています。FIDOのパスワードレス認証は、脆弱なクレデンシャルを排除し、コネクテッドカーシステムに対する一般的な脅威であるフィッシングやクレデンシャルスタッフィングのリスクを軽減することで、この問題に直接対処します。さらに、第 10 条の安全なソフトウェア展開への重点は、FIDO デバイス オンボード (FDO) と一致しており、認証されたデバイスのみがエコシステムに参加できるようにし、サプライ チェーン攻撃や不正なソフトウェア インジェクションを軽減します。FIDOの能力を特定の条項に直接マッピングすることで、コンプライアンスを達成する上でのFIDOの価値が実証されています。

これらの設立基準を超えて、FIDOのアプローチは新たな規制に幅広く適用可能であり、OEMにグローバルなコンプライアンス要求を満たし、コネクテッドカーエコシステム全体でサイバーセキュリティの回復力を強化する道筋を提供します。例としては、中国の GB 44495-2024 やインドの AIS 189 などがあり、これらは地域の自動車サイバーセキュリティ基準を求め、ソフトウェア定義車両 (SDV) 時代における安全な認証などの機能の必要性を強化しています。中国のGB規制は、 UN R155と同様に、リモートアップデートの信頼性と完全性を重視しており、FIDOのパスキーベースの認証は、アクセスを検証するための準拠したアプローチを提供します。インドの規制は現在まだ草案段階であり、 国連 R155 に準拠しており、車両からクラウドへの通信と ID 管理を保護することの重要性を強調しています。

7. FIDO標準が適用される可能性のある新たなユースケースの概要

FIDO標準は、幅広いシナリオに適用できます。これらは、顧客向け、車両内に埋め込まれている、またはメーカーの IT インフラストラクチャの一部として行うことができます。

これらのシナリオのいくつかの概要には、次のものが含まれますが、これらに限定されません。

• 車載コマース:これには、便利な給油、EV充電、駐車場の予約、洗車、さらには自動車メーカーが管理する車載マーケットプレイスを可能にするために、車両に保存および管理された認証情報を使用した支払いが含まれます。関連する自動車ユーザーを認証するためのパスキーの実装と生体認証コンポーネント認証は、これらのユースケースに最も関連しています。
• パーソナライズされたサービスへの認証:これらのアプリケーションには、カスタマイズされた自動車設定(ヘッドレストやシートの調整など)や、情報コンテンツやエンターテイメントコンテンツへの簡単なアクセスが含まれます。
• 車載ソリューション: このセグメントには、車とクラウドの接続、車内の ECU やゾーン コントローラーのオンボーディングなどのアプリケーションが含まれます。FIDO Device Onboard(FDO)の実装は、これらのアプリケーションに最も適しています。
• 従業員認証: これらのアプリケーションには、開発オフィス、製造現場、ディーラーなど、IT システムへの従業員のアクセスの制御が含まれます。パスキーとFIDO USB認証キーの実装は、これらのアプリケーションに最も適しています。
• 製造業: 最新の製造施設は、ソフトウェア定義制御、AI、ロボット システムに移行しています。これらのソリューションを安全に展開するには、多くの場合、時間とコストがかかります。FIDO Device Onboard(FDO)を実装すると、導入が加速され、セキュリティが強化されます。

8.FIDOアライアンスのテクノロジーの概要

イーサネットがITネットワーキングソリューションとして始まったのと同じように、FIDO標準は車載アプリケーション向けに特別に作成されたものではありません。ただし、堅牢なサイバーセキュリティが単なる望ましい機能ではなく、重要な基礎要素である最新の車両では、これらは非常に関連性があります。パスキーなどのFIDO規格は、今日の自動車の世界でそのまま使用されています。

車載アプリケーション向けのFIDOアライアンスのテクノロジーポートフォリオは、大きく3つの分野に分類できます。

パスキー:FIDO Allianceは、パスキーを使用したフィッシング耐性サインインのオープンスタンダードを通じて認証を変革しています。パスキーは、パスワードやSMS OTPよりも安全で、消費者や従業員にとって使いやすく、サービスプロバイダーにとって導入と管理が簡単です。自動車メーカーは、さまざまなユースケースでパスキーを活用しています。

デバイスオンボーディング:FIDOアライアンスは、産業用やエンタープライズなどのセグメントで接続されたデバイスの安全性と効率性を確保するために、セキュアなデバイスオンボーディング(FDO)の標準を確立しています。自動車分野では、メーカーはこの規格を電子制御ユニット(ECU)とゾーンコントローラー間の接続、または車両自体と無線ソフトウェアアップデートを容易にするクラウドサービス間の接続に適用できます。この規格は、Microsoft、Dell、ExxonMobil、Red Hat などによって採用されています。

生体認証:FIDOアライアンスは、独立したテストラボを使用して生体認証センサー(虹彩センサーや指紋センサーなど)の性能を測定する、特定のアプリケーションに合わせた認証プログラムを提供しています。生体認証センサーは、車両のコンポーネントとしてますます重要になりつつあります。一般的なユースケースは、運転席の位置を自動的に設定したり、支払いシステムの一部として設定したりすることです。これら 2 つの例では、「優れた技術的パフォーマンス」の定義は大きく異なる場合があります。サムスン、ELAN マイクロエレクトロニクス、タレス、クアルコム、ミテック、iProovなどは、FIDO Allianceによって生体認証コンポーネントの認証を取得しています。

9.FIDOアライアンステクノロジーの詳細

自動車メーカーとFIDOアライアンスがどのように連携できるかをより深く理解するために、このセクションでは、現在のFIDOテクノロジーと、それらが自動車アプリケーションとどのように統合できるかについて説明します。

9.1 パスキーとユーザー認証

パスキーは、FIDO標準に基づくFIDO認証資格情報であり、ユーザーはデバイスのロック解除に使用するのと同じ手順(生体認証、PIN、またはパターン)でアプリやWebサイトにサインインできます。パスキーを使用すると、ユーザーはユーザー名とパスワード、または追加の要素を入力する必要がなくなります。

パスキーはFIDO認証標準の署名実装であり、幅広いサービスへの安全かつ簡素化されたサインインを提供します。パスキーは、すべての主要なデバイスのオペレーティング システムとブラウザでサポートされており、Apple、Google、Microsoft、Samsung、Amazon、Walmart、PayPal、Visa などの多くの業界リーダーによって利用されています。

次の図は、ドライバーがクラウド サービスにサインインするときなど、車内アプリケーションでパスキーを使用する方法を示しています。

図1:自動車におけるパスキーの使用例

パスキーは、公開鍵暗号 (PKC) と呼ばれる技術に依存しており、仮想鍵ペア (1 つはプライベート、もう 1 つはパブリック) が作成されます。秘密鍵(ユーザーのデバイスに保存されている)ごとに、秘密鍵で作成された署名をチェックするために使用される一致する公開鍵(サーバーに保存されている)が存在します。

この図では、ユーザー (この場合はドライバー) が最初に支払いサービスなどのクラウド サービスに登録します。登録プロセス中に、秘密鍵と公開暗号鍵がFIDOオーセンティケーターによって作成されます。秘密鍵は車両のインフォテインメント システムに安全に保存され、そのドライバーに関連付けられます。公開鍵は、サービスプロバイダーのクラウドに保存されます。

ドライバーがサービスにサインインすると、車両からクラウド サービスに要求が送信されます。次に、サービスは車両に認証要求を送信します。このチャレンジは、一致する秘密キーを保持しているユーザーのみが正常に承認できます。その要求が本物であることを確認するために、ドライバーはサインインすることを確認するように求められます。これは通常、指紋や顔などの生体認証センサーを介して実現されます。この検証が完了すると、ユーザーはサービスにアクセスできるようになります。このプロセスには、いくつかのFIDOハードウェアおよびソフトウェアコンポーネントが使用されます。

9.2 パスキーコンポーネント

この例では、3つのFIDO認定コンポーネントが使用されています。

FIDO認証

FIDOオーセンティケーターは、FIDO認証を実行して所有を検証したり、ユーザーIDを確認したりできるソフトウェアコンポーネントまたはハードウェアです。この例では、FIDO 認証システムは車のインフォテインメント システムに存在する可能性があります。

FIDOサーバー

サーバーは、FIDO認定クライアントで強力な認証を実行するために活用できるプログラミングインターフェイスをアプリケーションに提供します。サーバーはクラウド アプリケーション内に配置されます。

生体認証コンポーネント

生体認証コンポーネントは個人を識別でき、FIDO認証システムを補完するためによく使用されます。これらのセンサーは、指紋、虹彩、顔など、複数の形状をとることができます。FIDO Allianceは、エンドツーエンドのパフォーマンス、人口統計グループの差別評価、プレゼンテーション攻撃検出(PAD)など、生体認証サブシステムの有効性を認証しています。

この例は車載のユースケースですが、工場、開発センター、ディーラー内で同じパスキー技術を適用して、フィッシング攻撃やその他の一般的なパスワード攻撃ベクトルに対するシステムの回復力を確保できます。

9.3 車載生体認証

車両への生体認証コンポーネントの搭載は、時間の経過とともに急速に増加すると予想されます。これらのコンポーネントの性能ニーズは、センサーの種類とターゲットアプリケーションによって異なります。現在、FIDOアライアンスは、指紋センサーや虹彩センサーなどの生体認証コンポーネントに対して、包括的な独立した認証プログラムを提供しています。見積依頼書(RFQ)で製品がFIDO認証を受けるべきであることを明記することで、自動車メーカーはセンサーの選択を簡素化することができます。FIDO認証の詳細については、 https://fidoalliance.org/certification/ をご覧ください。

9.4 FIDOデバイスオンボード(FDO)

コンピュータデバイス(ECUなど)が最初に管理プラットフォーム(ゾーンコントローラ)に接続するときは、オンボーディングしてプロビジョニングする必要があります。並行して例としては、車両とそのクラウド間の接続があります。FIDO Device Onboard(FDO)は、このようなオンボーディング体験の自動化と高いセキュリティ要件を満たすために、FIDOアライアンスのメンバーによって開発されました。

FDO では、デバイスは最初に (有線または無線) ネットワークに接続され、次に電源がオンになります。その後、デバイスは管理プラットフォームに自動的かつ安全にオンボードされます。FDO はゼロトラストアーキテクチャに基づいているため、デバイスと管理プラットフォームの両方が相互に暗号的に認証する必要があるため、高レベルのセキュリティを提供します。FDOは、サプライチェーン攻撃に対するレジリエンスも提供します。

Dell、Microsoft、Red Hat、Intel、ASRock など、多くの主要なテクノロジー プロバイダーが FDO ソリューションの実装を実証しています。

10. FIDOテクノロジーのユースケースの詳細

FIDO Allianceは、FIDOテクノロジーを自動車業界をサポートするために適用できるいくつかのユースケースを特定しました。このセクションでは、さらなる会話を促進することを期待して、考えられるユースケースについて説明します。

10.1 コンシューマーのユースケース

歴史的に、多くのサイバーセキュリティアプリケーションは「舞台裏」でした。現代の自動車では、ドライバーと同乗者の車内体験に直接影響を与え、メーカーに新たな収益機会をもたらす新しいアプリケーションが増えています。そのような分野の 1 つが車載商取引の出現です。

車載商取引を推進している要因はいくつかあります。

• 技術の進歩
  • ソフトウェア デファインド ビークル (SDV) を使用すると、ハードウェアを変更することなく継続的な更新と新機能が可能になります。
  • 自動運転は、生産性やレジャースペースとして車両に新しいユースケースをもたらします。
• 消費者の期待の変化
  • 消費者は、スマートフォンやその他のデジタル デバイスが提供するものと同様の車内体験を求めています。
• 収益機会
  • デジタルサービスのプラットフォームとして機能することで、自動車メーカーやサービスプロバイダーに新たな収益源をもたらします。

10.2 本人確認、認証、および承認

現代の車両に関連する接続性とサービスの成長により、本人確認、認証、承認に対する新たな要件が生じています。

• 本人確認: 個人の身元を確認するプロセス。これには、個人から提供された情報をデータベース内の記録や、運転免許証などの個人の物理的な文書と比較することが含まれる場合があります。
• 認証: システム、サービス、およびリソースにサインインしようとしたときに、ユーザーが本人であることを確認します。
• 認証: データへのアクセスまたはアクションの実行に関してユーザーアクセスを決定する認証後のステップ。

スマートフォンやウェアラブルなどの他のコンピューティング デバイスとは異なり、車両には家族、友人、同僚、賃貸人など複数のユーザーがいることがよくあります。各ユーザーは、サービスにアクセスしたり、一意のIDと資格情報に関連付けられたトランザクションを実行したりする必要がある場合があります。したがって、車両コンピューティングリソースはサイバーセキュアであり、サードパーティのサービスプロバイダーを含む多様なユーザーベースの安全なアクセスと認証を管理できる必要があります。

10.3 車載商取引と認証

車両内のコマースサービスは決済と密接に結びついているため、強力でユーザーフレンドリーな認証が不可欠です。ドライバーは取引が安全であることを信頼する必要があり、メーカーは不正支払いに対する責任を最小限に抑えることを目指し、金融機関は堅牢で標準に準拠した認証メカニズムを必要としています。さらに、 欧州の決済サービス指令 2 (PSD2) などの規制の枠組みでは、カード所有者が開始する取引に対して強力な顧客認証 (SCA) が義務付けられています。

SCA には、次の 3 つの要素のうち少なくとも 2 つの要素の組み合わせが必要です。

• 所有 (ユーザーが持っているもの、たとえば、鍵、電話、車両)
• 固有性 (指紋や顔認識などの生体認証など、ユーザーが行うもの)
• ナレッジ (PIN やパスワードなど、ユーザーが知っているもの)

パスキー認証システムが車両にネイティブに統合されていない場合は、代替の多要素構成を使用して認証を実装する必要があります。これは、PIN(知識)と車両を所有要素として組み合わせるなどのソフトウェアベースのアプローチ、または指紋センサーによる生体認証(固有性)や顔認識などのハードウェアベースの方法によって実現できます。

車載商取引は、大きく3つの分野に分類できます。

オンデマンド機能

• オンデマンド機能により、車両ではユーザーがニーズに基づいて特定の機能をアクティブにできるようになりました。これには、高度な運転支援システム、シートヒーターなどの快適機能、パフォーマンスのアップグレードが含まれます。
• オンデマンド機能は、柔軟なサブスクリプション モデルまたは従量課金制システムを通じて提供できます。これらの機能により顧客満足度が向上し、メーカーに追加の収益源が生まれます。

車両関連サービス

• 車両関連サービスは、給油、EV充電、駐車場の予約と支払い、洗車、通行料の支払いなど、シームレスに統合されたサービスです。
• ユーザーの利便性を最大限に高めるために、車両はスマートフォンに依存せずに支払いハブとして機能します。

便利な機能

• ショッピング、エンターテイメント、教育、さらにはリモートワーク機能などの便利な機能が実装されることで、車両はユーザーのデジタルエコシステムの延長となります。
• 例としては、外出先でコーヒーや食料品を注文したり、映画をストリーミングしたり、通勤中に仮想会議に参加したりすることが挙げられます。
• これらのカテゴリは、車両がもはや単なる交通手段ではなく、さまざまなサービスプロバイダーがドライバーや乗客と関わることを可能にするプラットフォームであることを示しています。

10.4 車両アクセス制御のためのドライバーID検証

車両アクセスには高レベルの認証が必要であり、生体認証センサーに適しています。

• キーレスエントリーとイグニッション: 指紋や顔認識などの生体認証システムは、従来のキーに取って代わり、車両へのアクセスと点火に安全な生体認証ベースの認証を提供できます。
• 盗難防止対策: 車両は生体認証を利用して、カージャックなどの不正使用や盗難を防ぐことができます。
• 車両および OEM サービス: 車両は、車両サービスへのアクセス方法を決定する際に、ドライバーの権利と特権を評価するための最初のステップとして生体認証を使用できます。

10.5 パーソナライゼーション、フリート管理、自動運転車

車両は共有されることが多く、特定のドライバーに自動的に適応する機能は重要な機能です。識別と認証の基準としきい値は、特定のアプリケーションによって大きく異なります。たとえば、自動運転車の運転席の調整と乗客の許可を調整します。

10.5.1 パーソナライゼーション

• 適応型車内設定: 生体認証により、ドライバーまたは同乗者を識別し、保存されたプロファイルに従ってシート位置、空調制御、インフォテインメントの好み、ナビゲーション ルートを調整できます。
• 適応型使用量ベースのサービス: ドライバーをシームレスに認証することで、自動車メーカーは、個人および商業用シナリオ向けに、使用ベースの保険またはリースおよび融資オプションを提供できます。
• フリート管理
• 共有車両とフリート: 生体認証対応プロセスにより、カーシェアリングまたはフリートシステムのユーザー間のスムーズな移行が保証され、検証済みの各ドライバーの個人設定がロードされます。
• コンプライアンス追跡: デジタルウォレットは、コンプライアンス文書(ライセンスや車検報告書など)を保持して、許可されたユーザーにコンプライアンス属性を主張することで事務処理を削減し、監査の準備を強化することができます。

10.5.2 自動運転車

乗客の認証と本人確認: 自動運転車では、生体認証システムが乗客を認証し、許可された使用とパーソナライズされたエクスペリエンスを保証します。

キーの所有が十分な認証ではない理由

物理キーがユーザー認証の適切な形式ではない理由はいくつかあります。

• 物理的なキーは車両へのアクセスを確認しますが、それを使用する個人の身元は確認しません。ライドシェア、フリート管理、マルチユーザー車両などのシナリオでは、キーの所有だけに頼っても、許可されたユーザーと権限のないユーザーを区別できません。
• 前述したように、一部の市場では、決済のユースケースではSCA規制に準拠する必要があります。キーは所有係数のみを満たすため、安全な支払いに関する SCA 要件を満たしていません。
• 車両のキーを紛失、盗難、または複製して、権限のない個人がアクセスする可能性があります。追加の認証層がなければ、車両内で行われた取引は不正になる可能性があります。
• マルチパーティとプラットフォームの複雑さ: 車内コマースには、相手先商標製品製造業者 (OEM)、サービス プロバイダー、ユーザーなどの複数の利害関係者が関与します。認証では、ユーザーがすべてのプラットフォームやサービス間で取引する権限があることを確認する必要があり、単純な所有を超えた本人確認が必要です。

10.6 電子システムと製造のユースケース

10.6.1 車載ECU、ゾーンコントローラー、およびコンピューティングのオンボーディング

車両内のコンピューティング レベルが上がるにつれて、効率的かつ高速な通信の必要性がますます重要になっています。このニーズに応えて、自動車はますますIT中心のアーキテクチャに移行しており、イーサネットは車内のゾーンコントローラーとECUをリンクするためのネットワーク技術として選択されています。

高速で安全な通信に加えて、デバイス(ECU)と管理プラットフォーム(ゾーンコントローラー)の両方が相互に暗号認証されていることを確認する必要があります。当初はIoTやITシステム向けに開発されましたが、FIDOアライアンスチームは、FIDOデバイスオンボード(FDO)がオンボーディングプロセスを自動化する迅速かつ安全な方法であると信じています。FDOはオープンスタンダードであるため、自動車メーカーは、独自のソリューションの開発とメンテナンスにお金を払うよりも、規模の経済的な節約の恩恵を受けることができます。

スピードとセキュリティに加えて、FDOはサプライチェーン攻撃やグレーマーケットの偽造品に対する回復力も提供します。

10.6.2 車からクラウドへのオンボーディング

自動車の機能が複雑になり、自動運転技術が進むにつれて、現代の自動車は本質的に車輪付きのコンピューターであり、すべての機能を動作させるには膨大な量のソフトウェアが必要です。

ほとんどの情報源は、典型的な現代の自動車は、約1億行のコードによって生成されたソフトウェアによって管理されていることに同意しています。この複雑さの性質そのものが、車両製品の発売時に車両ソフトウェアを凍結できる時代がもはや現実的ではないことを裏付けています。

ソフトウェアのアップデートは現在、現代の自動車に必須の機能であり、車両をメーカーのクラウドに接続する安全かつ効率的な方法が不可欠です。

FDOは、車両が管理プラットフォームにオンボーディングするための安全かつ迅速な方法を提供し、無線(OTA)ソフトウェアアップデートを可能にします。

図2:車載システムに適合するFIDO

さらに、FDO 標準の新たなアップデートにより、ソフトウェアをベア ECU またはゾーン コントローラーに安全に展開できるようになり、ディーラーの修理とアップグレードが大幅に簡素化されることが期待されています。

10.7 従業員認証(パスキー/FIDOキー)

IT業界は長年にわたり、FIDO認証システムを使用して、許可されたスタッフのみがシステムにアクセスできるようにしてきました。この分野での攻撃に関連するリスクは、一部の自動車ディーラーが直面している最近の課題によって浮き彫りになっています。

図3:FIDOはワークフォース認証に適合

2024年6月、自動車ディーラー向けのソフトウェアプロバイダーに対するサイバー攻撃が発生し、北米の数千のディーラーの業務が中断されました。この攻撃は、自動車購入者の遅延やディーラーの推定10億ドルの集団損失など、大きな混乱を引き起こしました。

10.8 製造のユースケース

工場は、はるかに柔軟でインテリジェントなソフトウェア定義制御とAIベースのビジョンシステムの使用に移行するにつれて、モーションコントロールやPLCなどの従来の固定機能製造機能の使用を減らしています。この移行により、多数の汎用コンピューターが工場の現場に導入されます。

インストール時に、各サーバーまたは産業用PCをそれぞれの管理プラットフォーム(オンプレミスまたはクラウド)にオンボーディングする必要があります。このオンボーディングプロセスでは、通常、熟練した技術者がデバイスの資格情報またはパスワードを手動で構成する必要がありますが、このプロセスは時間がかかり、安全ではなく、費用がかかります。

FIDO Device Onboard(FDO)を使用すると、技術者は産業用PCを接続し、管理サーバープラットフォームに自動的かつ安全にオンボードさせることができます。

次の図は、FDO を使用して産業用 PC をローカル サーバーにオンボーディングし、ローカル サーバーが製造クラウドにオンボーディングされる方法を示しています。

図4:FIDOは自動車製造に適合

11. 標準が役立つ理由

FIDOアライアンスのようなサイバーセキュリティ基準は、単独企業では達成が難しい方法で価値を提供します。これらのコンセンサスベースの標準は成熟度を表し、業界に一貫性を提供し、信頼性の高い認証と承認に不可欠です。FIDOサイバーセキュリティ基準は、多様な専門知識に基づいており、変化するサイバーセキュリティの状況を明確にし、認証当局や規制当局が新しい法律を策定する際に不可欠なガイダンスを提供します。

自動車業界は創業以来ほぼ標準を利用してきましたが、企業が独自のソリューションを開発しようとしている分野はまだあります。このようなソリューションがメーカーに付加価値を与えることはめったになく、エンジニアリングの才能を育成し、維持に時間が必要です。

自動車コンピューティングプラットフォームはシステムのシステムであるため、自動車業界は関連業界から学んだ教訓から恩恵を受けることができます。認証プログラムによってサポートされるオープンスタンダードは、製品とサービスの開発を合理化するのに役立ちます。

FIDOの標準は、基本的にサイバーセキュリティにとって重要な認証要素をコモディティ化しているが、競争上の差別化のための自然な分野ではない。標準を活用することで、ベンダーやメーカーは、より価値の高いサービスにリソースと開発努力を集中できるようになりました。

11.1 FIDOアライアンスとの提携のメリット

多様な専門知識:FIDOアライアンスは、クラウドプレーヤー、クレジットカード会社、メーカーなど、さまざまな企業の熟練した専門家を集めています。

エコシステムの結束: 標準は、エコシステム内の品質、セキュリティ、相互運用性を保証し、これは支払いなどのアプリケーションにとって重要です。

新たな脅威に適応する: 脅威の状況は常に進化しています。一例として、量子コンピューティングは、一般的に使用される暗号化技術にとって重大な脅威となります。量子コンピューティングは比較的成熟の初期段階にありますが、FIDO Allianceなどの標準化グループは、すでに量子レジリエントなソリューションを作成する方法を定義しています。

12.自動車業界向けのFIDO認証プログラム

FIDOアライアンスの世界クラスの認証プログラムは、製品がFIDO仕様に準拠し、効果的に相互運用していることを検証し、セキュリティ特性と生体認証性能を評価します。世界中の何百ものベンダーから1,200を超えるFIDO認定製品を備えたこれらのプログラムは、ベンダーとバイヤーにとってFIDOのオープンスタンダードの価値を解き放ちます。RFQにFIDO認証を指定することで、メーカーはサプライヤーが高性能で安全で相互運用可能な製品を提供することを確信できます。

自動車OEMは、すでに認証されているコンポーネント(認証システムや生体認証コンポーネントなど)を探して活用することができ、FIDO Allianceの認証チームは、より正確な生体認証テストのために車内環境を再現する自動車プロファイルもラボパートナーと共同で開発しています。アライアンスは、自動車業界のフィードバックを求めて、私たちを共同で支援します。

• 現在の認証仕様のギャップに対処する
• 必要に応じて仕様を更新する
• セクター固有のポリシーを発行する
• 新しいテスト手順を実装する

FIDO認証の詳細については、 https://fidoalliance.org/certification/ をご覧ください。

13. 結論と次のステップ

自動車産業とサイバーセキュリティは急速に進化しています。FIDOアライアンスの実証済みで確立された規格と認証プログラムは、自動車産業の幅広いアプリケーションに役立ちます。アプリケーションには、車載サービスと支払い認証、ゾーンコントローラーのオンボーディング、車とクラウドの接続、OTAアップデート、ドライバーエクスペリエンスを向上させるための生体認証の活用などがあります。

FIDOアライアンスは、自動車メーカーとそのサプライヤーが開発プロセスの簡素化、セキュリティレベルの向上、顧客体験の向上、コスト削減、新たな収益機会の開拓に道を提供します。

このホワイトペーパーで取り上げられているトピックに関するフィードバックは歓迎され、FIDOアライアンスは、利害関係者がアライアンスとそのメンバーと関わることを奨励しています。FIDOアライアンスのメンバーは、FIDO規格についてさらに学び、これらの規格の進化に影響を与える機会を得ることができます。さらに、メンバーは、より広範なエコシステム内の大手企業の幅広い思想的リーダーと関わることができるというメリットを得ます。

参加するには、 https://fidoalliance.org/members/become-a-member/ にアクセスするか、 https://fidoalliance.org/contact/ のお問い合わせフォームを使用してください。

14. 付録A – 自動車サイバーセキュリティに適用される世界的な法律

各国政府や国際機関は、設計から運用、さらには寿命に至るまで、自動車のライフサイクル全体を通じて厳格なサイバーセキュリティ対策を義務付ける規制を制定しています。これらのフレームワークは、新たな脅威から車両を保護し、自動車エコシステム全体の安全性と信頼のベースラインを確立することを目的としています。

国連規則 155 および 156: これらは、最も顕著で明確に定義された自動車サイバーセキュリティ規制です。2021年にWP.29の枠組みの下で採択された 国連R155 と R156 は世界的に認められており、サイバーセキュリティ管理システム(CSMS)とソフトウェア更新管理システム(SUMS)を車両に組み込むことが義務付けられている。これらの規制は、ほとんどの EU 諸国、日本、韓国、オーストラリアを含む 50 か国以上で型式承認を受けるための前提条件です (UNECE、2021 年)。

ISO/SAE 21434: この規格は、グローバルな自動車サイバーセキュリティ エンジニアリングの基盤を提供し、車両のライフサイクル全体を通じてサイバー リスクを管理するためのプロセスを概説します。これは既存の規制を補完し、メーカーが UN R155 (ISO、2021) などの強制規制に準拠するのに役立ちます。

中国の GB 44495-2024 および GB 44496-2024: 2024 年の夏に導入されたこれらの規制は、 UN R155 および R156 を反映していますが、具体的にはより詳細です。 GB 44495 はコネクテッド ビークルのサイバーセキュリティ要件を概説し、 GB 44496 は安全なソフトウェア アップデートを規定しています。中国がインテリジェントコネクテッドカーに注力していることは、自動運転およびコネクテッド技術をリードするという中国の野心を浮き彫りにしています(Shadlich、2024)。

インドの AIS 189 および AIS 190: インドは、コネクテッド カーのサイバーセキュリティを規制するために、国連 R155 および R156 に準拠した規格である AIS 189 および AIS 190 を導入しました。これらのフレームワークは、UN R155/R156 (Vernekar、2024) と同様に、リスク管理、監視、安全な通信プロトコル、安全なソフトウェア アップデートに重点を置いています。

米国: 自動車のサイバーセキュリティに関する義務付けられた連邦規制はありませんが、米国道路交通安全局 (NHTSA) はサイバーセキュリティのベスト プラクティスを公開しています。これらのガイドラインは、安全な車両開発プロセス、インシデント対応計画、継続的なリスク監視を強調しています。これらは ISO/SAE 21434 に準拠しており、コネクテッド ビークルの脆弱性を軽減するための積極的なアプローチを提供します (NHTSA、2022)。

ドキュメント履歴

15. 貢献者

コナー・ホワイト、Daon, Inc
リチャード・カースレイク、FIDOアライアンス
アンドリュー・シキアー、FIDOアライアンス
ニメシュ・シュリバスタヴァ、クアルコム社
ドリュー・ヴァン・デュレン、クアルコム社
イェンス・コーネン、Starfish GmbH &; Co. KG
ティン・T・グエン、VinCSS JSC
ヘナ・カプール、ビザ

16. 参考文献

ハーレー、M. (2024 年 3 月 28 日)。EUのサイバーセキュリティ法により、ポルシェの718ボクスターとケイマンが早期に廃止される。https://www.forbes.com/sites/michaelharley/2024/03/28/eu-cybersecurity-laws-kill-porsches-718-boxster-and-cayman-early/ から取得

磯。 (2021). ISO/SAE 21434:2021 道路車両 – サイバーセキュリティ工学。国際標準化機構。https://www.iso.org/standard/70918.html から取得

ミラー、C.、ヴァラセック、C. (2015 年 7 月 21 日)。ハッカーが高速道路でジープをリモートで殺す – 私も乗っています。ワイヤード。https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway から取得

米国道路交通安全局(NHTSA)。(2022年9月7日)。新車のサイバーセキュリティのベストプラクティス。NHTSA。https://www.nhtsa.gov/press-releases/nhtsa-updates-cybersecurity-best-practices-new-vehicles から取得

シャドリッヒ、E. (2024 年 9 月 2 日)。中国の新しい車両サイバーセキュリティ規格: GB 44495-2024。https://dissec.to/general/chinas-new-vehicle-cybersecurity-standard-gb-44495-2024/ から取得

国連ヨーロッパ。 (2021). 国連規則第 155 号 – サイバーセキュリティおよびサイバーセキュリティ管理システム。国連ヨーロッパ。https://unece.org/transport/documents/2021/03/standards/un-regulation-no-155-cyber-security-and-cyber-security から取得

デトロイト・マーシー大学。(nd)。車両サイバーセキュリティエンジニアリングプログラム。https://eng-sci.udmercy.edu/academics/engineering/vehicle-cyber-eng.php から取得

Vernekar、A. (2024 年 10 月 10 日)。インド自動車の未来の確保: AIS-189 と車両のサイバーセキュリティを理解する。https://vayavyalabs.com/blogs/securing-the-future-of-indian-automobiles-understanding-ais-189-and-cybersecurity-for-vehicles/ から取得

ウォルシュ大学。(nd)。自動車サイバーセキュリティの理学士。https://walshcollege.edu/walsh-undergraduate-degree-programs/bachelor-of-science-in-information-technology/bachelor-of-science-in-automotive-cybersecurity/ から取得

Cybernews の研究者によって発見されたこの侵害は、複数のプラットフォームからログイン データやその他の機密認証情報を収集する情報窃取者を使用して実行されたと考えられています。「これは単なる漏洩ではなく、大量搾取の青写真だ」とサイバーニュースは声明で述べた。「160億件を超えるログイン記録が流出したことで、サイバー犯罪者は現在、アカウントの乗っ取り、個人情報の盗難、高度に標的を絞ったフィッシングに使用される可能性のある個人認証情報に前例のないアクセスを行っています。」

新しいパスキー機能は、今後数週間以内に世界中のユーザーが利用できるようになります。この機能を使用するには、ユーザーは、最新の iOS および Android スマートフォンで一般的に見られる FIDO2/WebAuthn 標準をサポートするデバイスを持っている必要があります。これらの標準は、FIDO Alliance と World Wide Web Consortium (W3C) の協力によって開発され、 テクノロジー業界全体で広く採用されているパスワードレス認証のための安全なフレームワークを提供します。

Microsoft の動きは、従来のパスワードベースのログインからのはるかに大きな移行の一環です。同社は、この変更は、2 要素認証 (2FA) アプリ内の自動入力を合理化し、エクスペリエンスをよりシンプルかつ安全にすることも目的としていると述べました。

過去数年間、Microsoft はパス キー、Windows Hello、 FIDO2 ベースの認証などのテクノロジーを使用して、パスワードレスの未来を推進してきました。これらの方法は、依然として主要な攻撃ベクトルである フィッシング やパスワードの再利用に対する保護を強化します。最初は面倒に感じるかもしれませんが、この変更は実際には長期的にはリスクを軽減することを目的としています。

よく知られているパスワードマネージャーの1つは、さらに別のパスワードを作成することなく、それを試すように人々を招待しています。代わりに、Dashlane は現在、「FIDO2」認証標準に準拠した USB セキュリティ キーのみで保護された新しいアカウントを開設するよう人々に呼びかけています。FIDOはFast Identity Onlineの略です。

「試してみる」を強調します。 この「早期アクセス」プログラムに関する同社のサポートページ には、Google Chrome と Microsoft Edge のみをサポートし、Dashlane のモバイル アプリはサポートしていないと記載されています。今のところ、より多くの人が使用するFIDO2セキュリティの形式である パスキーのみで保護されたアカウントを作成することはできません。

このページには、これが初期の演習であるという警告も強調されています。「重要: 早期アクセス プログラムの一部として作成されたアカウントは、テストのみを目的としています。プライマリのDashlaneアカウントを使用して、データを保存および管理することをお勧めします。」

水曜日、Facebookは モバイルデバイスでのパスキーのサポートを展開すると発表しました。つまり、iPhoneまたはAndroidデバイスでFacebookにサインインできるようになります。ただし、パスキーは実際の Facebook アカウントに限定されません。

Apple が今週の Worldwide Developers Conference で デモンストレーションした インポート/エクスポート機能は、iOS、macOS、iPadOS、visionOS の次のメジャー リリースで利用できるようになります。これは、これまで存在していたパスキーの最大の欠点の 1 つを解決することを目的としています。1 つのオペレーティング システムまたは資格情報マネージャーで作成されたパスキーは、主にこれらの環境にバインドされます。たとえば、Mac で作成されたパスキーは、同じ iCloud アカウントに接続されている他の Apple デバイスと簡単に同期できます。それらをWindowsデバイスや、同じAppleデバイスにインストールされている専用のクレデンシャルマネージャーに転送することは不可能でした。

FIDOアライアンスは、2025年6月6日、バンガロールにあるGoogleのアナンタキャンパスで、毎年恒例のインドワーキンググループ(FIWG)メンバーミートアップ&ワークショップを開催しました。大手テクノロジー企業、金融サービスプロバイダー、通信事業者、政府機関、小売業者、プラットフォームプロバイダーを代表する100人以上の参加者が参加したこのイベントは、インドにおけるフィッシング耐性、パスワードレス認証の取り組みを推進するための重要なフォーラムとして機能しました。

プログラムは、FIWG議長のニハリカ・アローラ氏(Google)と副議長のタペシュ・バトナガル氏(G+D)の歓迎の挨拶で始まり、FIDOアライアンス会長のサム・スリニバス氏による基調講演が行われました。サムのセッションでは、パスキーの採用、認証、プラットフォームの相互運用性における最近の進捗状況など、グローバルなFIDOロードマップの将来を見据えた概要が説明され、多くの参加者がこの日最も価値のあるセッションの1つとして強調しました。

午前中、FIWGのメンバー組織は、実際の展開から引き出された実装ケーススタディを共有しました。Zoho CorporationのChristopher Clement Soris氏は、パスキーをエンタープライズワークフローに統合することから得た教訓を発表し、開発者の有効化とユーザーの信頼を強調しました。Times InternetのVishu Gupta氏、Piyush Ranjan氏、Deepak Singal氏は、UXの課題とアカウント復旧設計に焦点を当て、コンシューマーメディアプラットフォーム全体にパスキーを展開する道のりについての洞察を共有しました。MastercardのShantanu Shirke氏は、FIDO対応認証ソリューションのライブデモを通じてグローバル金融フレームワーク(GFF)を紹介し、VinCSSのSimon Trac Do氏は、IoTデバイスの安全でスケーラブルなオンボーディングのためのFIDOデバイスオンボード(FDO)プロトコルのアプリケーションを紹介しました。

Niharika Arora、Eiji Kitamura、Neelansh Sahai を含む Google Android および Chrome チームは、パスキーのプラットフォーム サポートに関する最新情報を提供し、Android API、Chrome UX フロー、証明書利用者のベスト プラクティスの最近の機能強化を強調しました。これらの更新プログラムは、ネイティブ OS 機能を活用してシームレスで安全なサインインを可能にするための具体的なガイダンスを実装者に提供しました。

イベントは、ニハリカ・アローラが司会を務め、アミット・マトゥール氏(エンシュアリティ)、ルーパーシュ・カリア氏(メルカリ)、ラーフル・ダニ氏(ユビコ)、トム・シェフィールド氏(ターゲット)、サム・スリニバス氏(グーグル)が参加した「最新の認証とレガシーシステムの融合」と題したパネルディスカッションで締めくくられました。このディスカッションでは、レガシーインフラストラクチャを備えた環境にFIDOベースの認証を導入する際の実際的な課題、下位互換性、アカウント復旧、リスクのトレードオフなどが取り上げられました。パネリストは率直な考察を共有し、段階的な統合戦略と業界を超えたコラボレーションの重要性を強調しました。

2024 年版と比較して、今年のワークショップは、意識向上から実施の成熟度まで、明確な進化を反映しています。昨年の焦点は主にパスキーとFIDO標準の約束の導入でしたが、2025年のプログラムでは、運用上の洞察、技術的実行、コラボレーションソリューションが強調されました。

[ハイライトビデオを見る]

イベント後のアンケートを通じて、参加者はイベントの実践的な焦点に強い感謝の意を表明し、詳細なケーススタディ、プラットフォームチームへの直接アクセス、同様の課題に取り組む仲間とつながる機会の価値を指摘しました。多くの人が、対面形式が理解の共有を促進し、勢いを構築するのに特に効果的であると述べました。

インド全土でパスキーの導入が加速し続ける中、インドワーキンググループは、実装の取り組みを調整し、知識を交換し、長期的な展開の成功を可能にするための重要なプラットフォームであり続けています。すべての講演者、パネリスト、出席者の貢献、そしてバンガロールで私たちをホストしてくださった Google に心から感謝します。私たちは、2025年以降もこの重要な取り組みを共に継続することを楽しみにしています。
*昨年の要約を読む: 2024年FIDOアライアンス・インド・ワーキング・グループ・ミートアップ

新しい実装により、プラットフォーム間でのパスキーのシームレスかつ安全な転送が可能になり、デバイスとアプリケーション間での資格情報の転送におけるこれまでの制限が解消されます。このシステムは、FIDO Allianceによって開発された標準化されたデータスキーマを使用して、iOS、iPadOS、macOS、visionOS 26の異なるクレデンシャルマネージャーアプリ間の互換性を確保します。 パスワードベースの攻撃が増加し続け、業界がより安全な認証方法に向かっているため、標準化は特に重要です。

これらの USB または NFC キーは、同期されたデバイス パスキー や生体認証ログインなど、通常のパスワードレスの方法を超えたものを提供します。ここでは、クラウドに保存された資格情報やブラウザのメモリに依存しません。代わりに、すべてはキーを握り、PIN や指紋など、自分だけが知っているもので確認することにかかっています。

ハードウェア セキュリティ キーへのこの移行は、業界全体で勢いを増しています。たとえば、Dashlane は、ユーザーが FIDO2 キーを認証情報保管庫のロックを解除するためのメインのパスワードレス ログインにできるようにするアップデートを展開したばかりです。

この記事では、 パスワードレス認証 の現在の状況、物理キーの違い、およびプラットフォームが回復、使いやすさ、長期的なセキュリティなどの難しい部分をどのように処理しているかを探ります。

「パスワード疲労は現実のものです。ユーザーは、複雑な文字列を覚えることなく、より高速で摩擦のない方法で認証を行う方法を求めています」と、HID の IAM コンシューマー認証ソリューション担当プリンシパルソリューションアーキテクトである Edwardcher Monreal 氏は述べています。

パスキーは、FacebookのiOSおよびAndroidモバイルデバイスで間もなく利用可能になり、今後数か月以内にMessengerへのパスキーの展開を開始する予定です。Facebook用に設定したのと同じパスキーは、この機能が起動するとメッセンジャーでも機能します。

カリフォルニア州カールスバッド、2025年6月18日 – FIDOアライアンスは、パスキーによるフィッシング耐性のあるサインインに焦点を当てた、デジタルIDと認証に特化した唯一の業界カンファレンスである Authenticate 2025のアジェンダを発表しました。このイベントは、2025年10月13日から15日までカリフォルニア州カールスバッドのオムニ・ラ・コスタ・リゾート

Authenticate 2025カンファレンスのプログラムの焦点は、パスキーによるフィッシング耐性認証の実現と、ユーザビリティを念頭に置いてエンドツーエンドのアカウントセキュリティを実現するために必要な付随する考慮事項です。

https://authenticatecon.com/event/authenticate-2025/ にアクセスして 完全なセッションガイドを表示し、6月20日のスーパーアーリーバードの締め切り前に登録してください。

Authenticateは、CISO、セキュリティストラテジスト、エンタープライズアーキテクト、プロダクトリーダー、UXプロフェッショナル、および戦略から実装までのIDライフサイクルに携わるすべての人向けに構築されています。参加者は、フィッシング耐性認証の大規模な導入、安全なユーザーエクスペリエンスの設計、補完的なテクノロジーの理解、ポリシーとコンプライアンス要件のナビゲートに関する実践的な知識を得ることができます。

今年のイベントでは、パスワードレス運動の最前線にいるトップエグゼクティブや業界リーダーが主導する基調講演やセッションが紹介されます。2025年のアジェンダは、より詳細なプレゼンテーションのための長いトラックセッション、実用的な同期およびデバイスバインドされたパスキー実装のベストプラクティスのためのマスタークラスへの焦点の強化、最新のIDおよび認証ソリューションのライブデモンストレーションを紹介する新しいソリューションシアタートラックを含むように刷新されました。今年の議題には、コラボレーションとアイデアの共有を促進するために、インタラクティブなエキスポホールのネットワーキングと探索の機会も増えています。

Authenticate 2025 は、4 つの厳選されたコンテンツ トラックにわたる 4 つのダイナミックなステージで、次のセッションを提供します。

• アカウントのオンボーディング
• リモート本人確認と証明
• 認可
• バイオメトリクス
• セッション・セキュリティー
• デバイスのオンボーディングと認証
• サイバーセキュリティ/不正行為の脅威と検出
• デジタルアイデンティティ/デジタルウォレット
• デジタルIDと認証の未来

利用可能なスポンサーシップの機会
Authenticate 2025 は、企業が熱心で意思決定を行う聴衆にソリューションを紹介するためのユニークなスポンサーシップの機会を提供します。空き状況が限られているため、スポンサー候補者は詳細を確認し、 https://authenticatecon.com/sponsors/ で申請するか、 authenticate@fidoalliance.org に連絡することができます。

認証について

Authenticate は、パスキーを使用したフィッシング耐性のあるサインインに重点を置き、デジタル ID と認証の進歩に特化した最高のカンファレンスです。FIDO Allianceが主催するこのイベントには、CISO、セキュリティストラテジスト、プロダクトマネージャー、アイデンティティアーキテクトが集まり、モダン認証のベストプラクティス、技術的洞察、実際のケーススタディを探ります。2025年のカンファレンスは、10月13日から15日までカリフォルニア州カールスバッドのオムニ・ラ・コスタ・リゾート&スパで開催され、10月16日まで開催されるFIDOアライアンスのメンバー本会議と同じ場所で開催されます。

Authenticateは、パスキーなどのイノベーションにより、よりシンプルで強力な認証の利用を加速するための標準、認証、市場採用プログラムを提供する業界横断的なコンソーシアムである FIDO Allianceによってホストされています。Authenticate 2025の署名スポンサーは、Google、Microsoft、Visa、Yubicoです。

詳細と登録については、 https://authenticatecon.com/event/authenticate-2025/ にアクセスし、X で @AuthenticateCon をフォローしてください。今すぐ登録して、2025 年 6 月 20 日まで超早割割引を受けてください。

連絡先の認証
authenticate@fidoalliance.org

広報担当者
press@fidoalliance.org

Appleは今週、パスワードを標的としたクレデンシャルフィッシングやその他の攻撃の影響を受けにくい、Webサイトおよびアプリ認証の業界全体の標準であるパスキーの最大の欠点の1つを解決する機能を垣間見ることができた。

FIDOアライアンスとホストスポンサーのタレスは最近、認証、アイデンティティ、そして今後の道について1日セミナーを開催しました。

セミナーセッションでは、FIDOとパスキーに焦点を当て、採用状況やケーススタディなど、従業員と消費者のサインインの認証の現状を探りました。このセミナーでは、最新の攻撃と脅威、本人確認技術の進歩、ポスト量子暗号など、IAMの専門家向けの他の関連トピックについても議論が行われました。参加者は、オープンなQ&A、ネットワーキング、デモを通じて、認証とIDの専門家と直接交流する機会がありました。

以下のプレゼンテーションをご覧ください。

エキスパートインサイトについて:

Expert Insights は、サイバーセキュリティ ソリューションを厳密に分析し、誇大広告をカットして明確で実用的な候補リストを提供することで、時間と手間を節約します。私たちはサイバーセキュリティを専門としています。したがって、私たちの焦点はより鋭くなり、知識はより深く、洞察はより優れています。さらに、私たちのアドバイスは完全に公平です。

情報が飽和した世界において、私たちは組織を保護するために必要な洞察を専門家に提供するために存在します。そのため、100万を超える企業がサイバーセキュリティ調査に情報を提供するために当社を利用しています。

ポッドキャストを聞いてください。

欧州のビジネスオーナーの4人に1人が詐欺師の標的に直面しているというデータによると、決済テクノロジー企業の新しいセキュリティ対策は重要な時期に発表された。これらの企業の 4 分の 1 は、潜在的なサイバー攻撃から回復する能力について懸念を表明しています。この拡張は、パスワードレス認証への広範な業界トレンドに続くものであり、 FIDO Allianceはエンタープライズパスキーの採用が大幅に増加したと報告しています。

OneSpanは、Nok Nokと提携することで、同社はオンプレミスまたはクラウドで利用できる包括的な認証ポートフォリオを世界中の顧客に提供できるようになると述べました。この統合されたサービスには、OTP、FIDO、ソフトウェア、およびハードウェア ソリューション (Digipass、FIDO2 プロトコル、トランザクション署名用の Cronto ソリューションなど) のサポートが含まれるようになりました。

OneSpanのCEOであるVictor Limongelli氏は、この買収を「顧客に認証の選択肢を最大限に提供するための大胆な一歩」と表現しました。同氏は、同社はFIDO標準を含むように認証プラットフォーム全体を進化させており、パスワードレス認証が将来の重要な部分であると信じていると付け加えた。Nok NokのテクノロジーとFIDOの専門知識により、OneSpanは包括的で汎用性の高い顧客認証ソリューションを提供することを目指しています。

Nok Nokの社長兼最高経営責任者(CEO)であるフィリップ・ダンケルバーガー氏は、OneSpanに参加することで、FIDOのようなオープンスタンダードに根ざしたビジョンを、OneSpanのグローバルな展開を通じて、より幅広い聴衆に届けることができると述べました。FIDOアライアンスのエグゼクティブ・ディレクター兼CEOであるアンドリュー・シキアー氏は、ノック・ノックはFIDOエコシステムの「先駆者」であると述べた。

よく知られているパスワードマネージャーの1つは、さらに別のパスワードを作成することなく、それを試すように人々を招待しています。代わりに、Dashlane は現在、「 FIDO2」認証 標準に準拠した USB セキュリティ キーのみで保護された新しいアカウントを開設するよう人々に呼びかけています。FIDOはFast Identity Onlineの略です。

「試してみる」を強調します。 この「早期アクセス」プログラムに関する同社のサポートページ には、Google Chrome と Microsoft Edge のみをサポートし、Dashlane のモバイル アプリはサポートしていないと記載されています。今のところ、より多くの人が使用するFIDO2セキュリティの形式である パスキーのみで保護されたアカウントを作成することはできません。

これは、英国、米国、インド、日本、シンガポール、オーストラリア、カナダなどの市場における同社の既存のリーチに基づいています。さらに、Yubicoは YubiEnterprise Delivery の利用可能性を世界中の117の新しい場所に拡大しました。

これにより、合計199か所(175か国と24の地域)となり、オフィスとリモートの両方のユーザーへのYubiKeysの既存の配信範囲を2倍以上に高速でターンキーで提供します。「今日の企業は、AI主導のフィッシング攻撃など、進化するサイバー脅威に直面しています」と、Yubicoの製品担当シニアバイスプレジデントであるJeff Wallaceは述べています。

このパートナーシップは、「決済統合機能を強化し、世界中の金融機関に最先端のソリューションを提供すること」を目的としていると、両社は水曜日(5月21日)の ニュースリリースで述べた。

このコラボレーションは、「決済システム内のイノベーションの近代化、変革、加速」のためのStanchionのツールと、加盟店アクワイアラードメイン、カード発行会社ドメイン、相互運用性ドメインの3つのドメインすべてにわたってトランザクション認証を提供するEntersektの 3Dセキュア決済認証 ソリューションを組み合わせたものです。

パスキーはデジタルID保護の強化に大いに役立つため、 パスキー の台頭を認識することも同様に重要です。

シェーン・ウィーデン、IBM
アン・ホー、IBM

要約

セッションハイジャックは、オンライン詐欺やアカウント乗っ取りの初期攻撃ベクトルとして増えています。FIDO認証は、クレデンシャルスタッフィングやフィッシングなど、他の単純な侵害形態の有効性を低下させるため、サイバー犯罪者はベアラートークンの盗難や再利用に目を向けます。ベアラートークンは、Webサイトに接続するブラウザで使用されるセッションCookieと、ネイティブモバイルアプリケーションなどの他のシッククライアントアプリケーションタイプで使用されるOAuthアクセストークンを含む資格情報の形式です。これらの資格情報が長期間存続し、悪意のある攻撃者が別のマシンから使用できるように作成されたマシンから「リフトアンドシフト」できる場合、その取引可能な価値は重要になります。ブラウザ用の Device Bound Session Credentials (DBSC) や OAuth アプリケーション用の Demonstration Proof of Possession (DPoP) などの新しいテクノロジーは、セッション ハイジャックの脅威を軽減しようとしています。この記事では、これらのテクノロジーがセッションハイジャックの問題にどのように対処するか、また、オンラインエコシステムにおける強力なフィッシング耐性認証をどのように補完するかについて説明します。

聴衆

このホワイトペーパーは、オンラインIDおよびアクセス管理のセキュリティとライフサイクルをオンライン詐欺から保護する責任を負う最高情報セキュリティ責任者(CISO)および技術スタッフを対象としています。

1. イントロダクション

認証と承認は、特にオンライン資格情報エコシステムにとって、ID ライフサイクルの不可欠な部分です。コストのかかるセキュリティインシデントや侵害を伴うオンラインID詐欺の脅威が増大しているため、企業はフィッシング、クレデンシャルスタッフィング、セッションハイジャックなどのさまざまな攻撃ベクトルによるアカウント乗っ取りから従業員を保護および保護する方法を模索しています。認証では、パスキーによるFIDO認証は、ユーザーに「より安全で、より安全で、より高速なオンライン体験」を提供し、パスキーの採用の増加は、中間者(MITM)フィッシング攻撃によるクレデンシャルフィッシング、クレデンシャルスタッフィング、セッションハイジャックなどの攻撃ベクトルの成功率の低下に貢献しています。しかし、認証式の後はどうなるのでしょうか?

認証後、ブラウザーとアプリケーションクライアントには通常、他の資格情報が発行されます。エンタープライズアプリケーションは、一般に、Webブラウザベースで状態管理にセッションCookieを使用するアプリケーションと、OAuthアクセストークンを使用するシッククライアントアプリケーション(これには、一部のブラウザベースのシングルページアプリケーションとほとんどのネイティブモバイルアプリケーションが含まれます)の2つの主要なカテゴリに分類されます。どちらのタイプの資格情報 (セッション Cookie とアクセス トークン) も、基本的な使用法では “ベアラー” トークンと見なされます。トークン (セッション Cookie またはアクセス トークン) がある場合は、そのトークンを認証して所有したユーザーとして、そのトークンの有効期間中、トランザクションを継続できます。このホワイトペーパーでは、ベアラートークンの「リフトアンドシフト」攻撃ベクトルに対処する隣接するテクノロジーと、これらのテクノロジーがFIDOベースの認証メカニズムをどのように補完するかについて説明します。特に、このホワイトペーパーでは、ブラウザーセッションCookieを保護するために提案されているWeb標準 Device Bound Session Credentials(DBSC) に焦点を当て、 OAuth 2.0 OAuth 助成金を保護するための所有証明 (DPoP) の実証 。

2. 用語

セッションハイジャック: 通常、セッション Cookie に対して管理される Web セッション制御メカニズムの悪用。

クレデンシャルスタッフィング:盗んだユーザー名とパスワードのペア(認証情報)をWebサイトのログインフォームに自動挿入して、ユーザーアカウントに不正にアクセスします。

<sub>1. パスキー – https://fidoalliance.org/passkeys/
2. デバイスバインドセッションクレデンシャル – https://github.com/w3c/webappsec-dbsc
3. OAuth 2.0 所持証明 (DPoP) の実証 – RFC9449: https://datatracker.ietf.org/doc/html/rfc9449
4. セッションハイジャック攻撃 https://owasp.org/www-community/attacks/Session_hijacking_attack
5. クレデンシャルスタッフィング https://owasp.org/www-community/attacks/Credential_stuffing</sub>

アクセス・トークン: クライアント側アプリケーションがユーザーに代わってAPIコールを呼び出すために使用する資格情報。

セッション Cookie: ブラウザと Web サイト間のセッション状態を維持するためにブラウザによって管理される資格情報。

ベアラートークン: トークン (このホワイトペーパーのコンテキストでは、アクセストークンまたはセッション Cookie を指す場合があります) は、トークンを保持しているユーザーがトークンを使用してリソースにアクセスできるため、そう呼ばれています。ベアラートークンは、それ自体で別のコンピューティングデバイスで使用するために「リフトアンドシフト」できます。

送信者制約付きトークン: 認証プロセス中にトークンを確立したクライアント以外のユーザーが、サーバー側リソースに対する後続の要求でそのトークンを使用するリスクを最小限に抑えるように設計されたメカニズムによって保護されたトークン。

Device Bound Session Credential (DBSC): 送信者に制約のある Cookie を確立および維持するためのプロトコルとブラウザーの動作を定義する W3C Web 標準の提案。このメカニズムは、非対称暗号鍵の所有証明を使用して、セッション Cookie の乗っ取りを軽減します。OAuth 2.0 Proof of Procession (DPoP) のデモンストレーション: トークンを使用するときにクライアントが非対称暗号化キーの所有を証明する必要がある、送信者制約付きアクセス トークンを実装するためのメカニズム。

OAuth 2.0 Proof of Procession (DPoP) のデモンストレーション: トークンを使用するときにクライアントが非対称暗号化キーの所有を証明する必要がある、送信者制約付きアクセス トークンを実装するためのメカニズム。

3. 安全なエコシステムのための隣接/補完技術

FIDO認証技術は、ログインプロセス中に発生するフィッシング攻撃やクレデンシャルスタッフィング攻撃を効果的に排除することができますが、ベアラートークンの盗難に関連する脅威を軽減するためのソリューションを追加することも同様に重要です。ログインプロセス中に攻撃が阻止された悪意のある行為者は、チェーンの次に最も弱いリンクを狙い、認証後のベアラートークンを盗もうとします。このセクションでは、ベアラートークンを保護するための2つのテクノロジーについて説明します。デバイスバインドセッション資格情報(DBSC)はブラウザベースのセッションCookieを保護し、デモンストレーションプルーフオブオブジェーション(DPoP)はOAuth許可を保護します。ベアラートークンを保護するための代替アプローチについても説明します。

単一のテクノロジーですべての脅威から保護できるわけではないため、適切な保護には複数のテクノロジーの組み合わせが必要です。

表1:セキュリティを強化するためのテクノロジーの組み合わせ

技術	認証の脅威		認証後の脅威
	リモートフィッシング	クレデンシャルスタッフィング	トークンの盗難
パスキー
DBSC/DPoP
パスキー + DBSC/DPoP

3.1 ブラウザセッションCookieのセキュリティ

Device Bound Session Credentials(DBSC)について説明する前に、ブラウザーセッションCookieに関して対処されている問題を理解する必要があります。Cookieの盗難によるセッションハイジャックにより、盗んだCookieを所有する攻撃者は、強力な認証や多要素認証(MFA)を含むエンドユーザー認証をバイパスできます。これは、ブラウザーが有効期間の長いセッション Cookie (ベアラー トークンの一種) を作成する場合に特に問題になりますが、これらの Cookie はユーザーのプライマリ認証資格情報の代替として取引され、攻撃者のマシンから使用される可能性があるためです。これにより、機密データへの不正アクセス、経済的損失、組織の評判の低下につながる可能性があります。

攻撃者は、ユーザーの既存のMFAログインプロセスの中間者フィッシング(FIDOなどのフィッシング耐性認証が使用されていない場合)、クライアント側のマルウェア、そして時にはサーバー側のインフラストラクチャやソフトウェアの脆弱性など、さまざまな方法でCookieの盗難を実行します。Cookieの盗難がどのように行われるかに関係なく、これらの攻撃が成功した場合、危険であるだけでなく、隔離して検出することも困難です。Device Bound Session Credentials(DBSC)などの補完的なテクノロジーは、認証中に発行されたマシン以外のマシンから盗まれたCookieを使用できなくなることで、ブラウザのCookieの盗難に関連するリスクを最小限に抑えます。

3.2 デバイスバインドされたセッション資格証明 – DBSC

DBSC は、W3C の Web アプリケーション セキュリティ ワーキング グループ内で現在開発中の提案された Web 標準を指します[2]。DBSC の目標は、盗まれた Web セッション Cookie 市場と闘い、混乱させることです。これは、HTTP メッセージングプロトコルを定義し、アプリケーションセッション Cookie の使用をユーザーのコンピューティングデバイスにバインドするために必要なブラウザーとサーバーの動作によって実現されます。DBSC は非対称キー ペアを使用し、ブラウザの実装では、秘密キーは攻撃者によって抽出できないようにする必要があります (たとえば、トラステッド プラットフォーム モジュール (TPM)、セキュア エレメント、または同様のハードウェア ベースの暗号化モジュール内に格納されます。

大まかに言うと、API はユーザーのブラウザーおよび安全なキー ストレージ機能と組み合わせて、次のことを可能にします。

• サーバーは、新しい DBSC セッションを確立するための要求をブラウザーに通信します。これには、サーバー提供のチャレンジが含まれます。
• ブラウザーは非対称キーペアを生成し、署名されたチャレンジとともに公開キーをサーバーに送信します。このプロセスは、DBSC 登録と呼ばれます。DBSC のブラウザー実装では、秘密キーの安全なハードウェア バインド ストレージと使用を容易にするオペレーティング システム API を使用する必要があります。
• サーバーは、有効期間の短い更新可能なauth_cookieを発行することで、公開鍵をブラウザーセッションにバインドし、その後のブラウザー要求で Web サーバーに送信する必要があります。

auth_cookieは定期的に期限切れになるため、ブラウザーがプライマリ アプリケーション Web トラフィックに対して非同期的にauth_cookieを更新するメカニズムが必要です。更新プロセスでは、DBSC 登録時に作成されたのと同じ秘密鍵を使用して、サーバーが発行した新しいチャレンジに署名する必要があり、それによってクライアント ブラウザがまだ同じ秘密鍵を所有していることを (定期的に) 再証明します。

auth_cookieの有効期間を短期間(数分など)に制限すると、有効期間の長いセッションCookieの取引市場が混乱します。攻撃者は、盗んだセッション Cookie (auth_cookieを含む) を短期間しか使用できず、更新操作を実行するために必要な秘密キーはクライアント マシンから抽出できないため、更新操作を実行できません。

DBSC は、アプリケーションへの最小限の変更で既存のデプロイに導入できます。DBSCは、既存のサーバー側テクノロジー(Apacheモジュール、サーブレットフィルター、リバースプロキシ機能など)にWebプラグインモジュールとして簡単に組み込むことができるため、これは重要です。これにより、企業は現在のすべてのインフラストラクチャを完全に見直すことなく、DBSCの展開を段階的に展開することができ、企業は特定の重要なエンドポイントやリソースに最初に優先順位を付けることができます。

DBSC サーバー側の実装は、セマンティクスを許可する方法で記述することもできます (たとえば、ブラウザーが DBSC をサポートしている場合は DBSC を使用し、それ以外の場合は通常のセッション特性にフォールバックします)。これにより、ユーザーは、すべてのユーザーが最初にブラウザをアップグレードする必要がなく、DBSC をサポートするブラウザを使用すると、DBSC のセキュリティ上の利点を得ることができます。

DBSC キーペアに構成証明を追加するエンタープライズ固有の拡張機能の提案など、DBSC プロトコルと標準の詳細については、 Device Bound Session Credentials の説明を参照してください 。

3.2.1 DBSCがFIDOを補完するテクノロジーである理由は何ですか?

DBSC ドラフト標準では、ログイン プロセスを DBSC API と密接に統合できます。FIDOは認証をより安全でフィッシングに強い仕組みですが、DBSCはベアラークレデンシャル(セッションCookie)を認証後の安全にする仕組みです。これらは、アカウントの乗っ取りや悪用のリスクを軽減することで相互に補完し合い、アプリケーションセッションのライフサイクル全体をより安全にします。

3.2.2 代替ソリューション

DBSC は、クライアント デバイスへのバインド セッション Cookie を提案する最初の標準ではありません。トークンバインディングは、 IETF RFC 8471、 8472、 および8473を組み合わせた代替手段です。HTTP 経由のトークン バインディングは、トランスポート層セキュリティ (TLS) 拡張機能を介して実装され、暗号化証明書を使用してトークンを TLS セッションにバインドします。トークンバインディングはブラウザの採用が限られており、アプリケーション層とTLSセキュリティスタックでの変更が必要なため、実装が複雑です。Token Binding over HTTP 標準は広く採用されておらず、現在サポートを提供している主要なブラウザは 1 つだけです。

3.2.3 助言

DBSC 標準は、ブラウザーのセッションにバインドされた秘密鍵の保存と使用のために、ローカル デバイス セキュリティとオペレーティング システム API に依存しています。これらの秘密キーを別のデバイスにエクスポートすることはできませんが、キーはローカル システムで利用でき、ユーザーのデバイスに存在するマルウェアによって実行される可能性があります。同様に、ブラウザ内マルウェアは、通常のセッション Cookie と短命なauth_cookiesの両方を完全に可視化します。DBSC はクライアント側のマルウェア保護に代わるものではなく、DBSC の脅威モデルは永続的なクライアント側マルウェアからの保護を提供しません。最終的に、ユーザーはブラウザを信頼する必要があります。

ブラウザが時間の経過とともに DBSC をサポートし始めると、サーバーがこのテクノロジのサポートを含むブラウザと含まれていないブラウザを組み合わせて動作できるようになることが重要になります。企業によっては、企業が発行したマシンにDBSCをサポートすることが知られているブラウザを含めるように指示する場合がありますが、多くの企業はサポートしていません。サーバー側の実装では、ブラウザが登録要求に応答するときに DBSC を使用し、ブラウザが応答しない場合はバインドされていないセッション Cookie を許容して、この点を考慮する必要があります。商用ソリューションを構築または選択するときは、このシナリオを考慮し、高度に制御または規制された環境、または特定のアプリケーションに対して DBSC を厳密に必要とするアクセス制御ポリシーを実装する機能を含めてください。

この記事の執筆時点では、DBSC は初期の進化段階にあります。ブラウザベンダーに広く採用されるかどうかはまだわかりません。W3C を通じてこの標準をインキュベートし、開発することで、WebAuthn API がすべての主要なブラウザ実装にパスキー認証をもたらすために採用されたのと同様に、以前の提案よりも広く採用されることが期待されています。

4. OAuth助成金

前のセクションでは、Web ブラウザーでのセッション Cookie の盗難から保護する手段として DBSC を紹介しました。モバイルアプリケーションやシングルページWebアプリケーションなどのシックアプリケーションクライアントは、通常、セッションCookieの代わりにOAuth付与を利用したステートレスAPI呼び出しを使用します。OAuth許可はいくつかの方法で確立できますが、 シッククライアントに推奨されるパターン は、最初にシステムブラウザを使用してユーザーを認証し、アプリケーションがユーザーに代わって動作するようにアクセスを許可することです。概念的には、これは、可能な場合はエンドユーザー認証にFIDO認証を使用する機能や推奨事項など、ブラウザベースのセッションと非常によく似ています。このフローのブラウザー・ベースの認証部分の終了時に、制御はシック・クライアント・アプリケーションまたはシングルページ Web アプリケーションに返され、そこでプログラムによる API 呼び出しで使用するためのトークンが確立されます。

この時点から発生するチャレンジは、ブラウザーで説明されているものとほぼ同じです – OAuth トークンは、悪意のあるアクターに公開された場合、正当なアプリケーションからではなくリモート マシンからアプリケーション API を呼び出すために使用できるベアラー トークンです。

このセクションでは、DBSC と同様に、非対称キー ペアと秘密キーの継続的な所有証明を利用する、OAuth で保護された API 呼び出しで使用される資格情報の「リフト アンド シフト」を保護するテクノロジーである DPoP の使用について説明します。

4.1 所持証明 (DPoP) の証明

OAuth 2.0 Demonstrating Proof of Possession (DPoP) は、デバイス バウンド (または送信者制約) の OAuth アクセスおよび更新トークンを実装するための既存の OAuth 2.0 標準の拡張です。これは、OAuth許可に関連付けられたトークン(つまり、更新トークンとアクセストークン)が、公開キーと秘密キーのペアを使用して要求されたクライアントにバインドできるようにするアプリケーションレベルのメカニズムです。そのため、クライアントは、アクセストークンの更新操作を実行するときに承認サーバーに対して、アクセストークンを使用してAPIを呼び出すときにリソースサーバーに対して、秘密キーの所有権を証明する必要があります。

_{6. ネイティブアプリ用のOAuth 2.0 https://datatracker.ietf.org/doc/html/rfc8252}

金融グレード API (FAPI 2.0) などの高保証 OpenID 仕様では、送信者制約付きトークンの使用が義務付けられており、相互 TLS (mTLS) が利用できない場合にこの要件を実装するには DPoP が推奨されます。

大まかに言うと、DPoP では次のことが必要です。

• クライアントは、DPoP 証明の構築に使用する付与ごとの公開鍵と秘密鍵のペアを生成します。ベスト プラクティスの実装では、オペレーティング システム API を使用して、秘密キーが抽出不可能であることを確認する必要があります。
• 最初の許可の確立時 (たとえば、OAuth 承認コードを許可の最初のアクセス トークンと更新トークンと交換するなど)、DPoP 証明 (特に公開鍵のコピーを含むクライアントの秘密鍵によって署名された JWT) を使用して、公開鍵を許可にバインドします。
• この方法で取得したアクセストークンを使用してリソースサーバーへの要求には、付与の確立中に使用される秘密鍵の所有を継続的に証明するDPoP証明ヘッダーも含まれている必要があります。これは、すべての API リクエストに対して行われます。リソース・サーバーは、アクセス・トークンが送信者に制約されているかどうかを確認し、公開鍵を確認し、各API呼び出しでDPoP証明ヘッダーを検証する必要があります。
• パブリッククライアントの場合、認可サーバーのトークンエンドポイントへの後続のrefresh_tokenフローには、最初の許可確立時に使用したのと同じキーで署名されたDPoP証明も含まれている必要があります。更新トークンは有効期間が長いことが多く、ベアラートークンの一種でもあるため、これは特に重要です(つまり、持っている場合は使用できます)。認可サーバーは、これらの更新トークン・フローにDPoP証明の使用を強制し、初期付与の確立時に登録されたのと同じ公開鍵を介して署名の検証が行われるようにする必要があります。

すべての所有者が使用できるプレーンベアラーアクセストークンとは異なり、DPoPベースのアクセストークンは、そのクライアントのみが秘密鍵を使用してDPoP証明に署名できるため、最初にOAuth許可を確立したクライアントにバインドされます。このアプローチにより、悪意のある攻撃者が漏洩したアクセス トークンを取引することに関連するリスクが最小限に抑えられます。

詳細については、 DPoP RFC 9449 – OAuth 2.0 Demonstrating Proof of Posion (DPoP) を参照してください。

4.2 DPoPがFIDOを補完するテクノロジーである理由は何ですか?

FIDOは、OAuth付与の確立時に、フィッシングに強いエンドユーザー認証に活用できます。この認証後にクライアントによって取得された更新トークンとアクセストークンは、ブラウザベースのアプリのセッションCookieと同様に、「リフトアンドシフト」攻撃から保護する必要があります。DPoPは、これらのOAuthトークンを認証後の不正使用から保護するために推奨されるソリューションです。エンドユーザー認証用の FIDO と OAuth トークンをクライアントデバイスにバインドするための DPoP は、相互に補完し合い、シッククライアントアプリケーションで使用される ID の全体的なセキュリティ体制を改善します。

4.2.1 DPoPの代替ソリューションは?

RFC8705 – OAuth 2.0 相互 TLS クライアント認証と証明書バインド アクセス トークン では、アクセス トークンをクライアント証明書にバインドするためのトランスポーター層ソリューションを提供するメカニズムについて説明します。オープンバンキングソリューションの FAPI 2.0 での使用は承認されていますが、ネイティブモバイルアプリケーションなどのパブリッククライアントには特に適していません。

RFC9421 – HTTP メッセージ署名は、HTTP メッセージの一部に署名するためのアプリケーション レベルのメカニズムを定義します。クライアントと検証者間のキーの確立と共有は、この仕様では定義されていませんが、これは、DPoP と同様の方法で、最初の許可の確立時に 最初のユーザーの信頼 方式で実行できます。HTTP メッセージ署名の使用を OAuth クライアントアプリケーションでの送信者制約付きベアラートークンのユースケースにマッピングする既知の公開仕様はありません。このような公開仕様がない場合、このユースケースが広く採用される可能性は低いです。

4.2.2 アドバイス

送信者に制約のあるトークンは良いアイデアであり、一部のデプロイでは、規制要件です。たとえば、OAuth の FAPI プロファイルの使用は、現在、多くのソブリン オープン バンキング イニシアチブによって義務付けられています。DPoP は、この要件を達成するための比較的簡単な方法であり、幅広いアプリケーション クライアント タイプをカバーするのに十分な柔軟性を備えています。とはいえ、DPoP のセキュリティ上の考慮事項を遵守するように注意する必要があります。 RFC9449のセクション 11 に細心の注意を払い、シナリオに応じてネイティブまたはブラウザーベースのシングルページアプリケーションに他のアプリケーションセキュリティ戦略を適用してください。DPoP は、取引や悪意のある攻撃者による使用など、トークン流出に関連する脅威に対処することのみに焦点を当てていることに注意してください。これは、OAuth アプリケーションの多層防御戦略の一部と見なす必要があります。

5. まとめ

このホワイトペーパーの目的は、さまざまなWebセキュリティ標準がどのように組み合わさっているか、そしてそれらの標準がユーザーに対するFIDO認証の使用にどのように関連しているかについての考えを促すことです。非常に多くの標準と標準化団体が存在するため、どれが同じ分野で競合し、どれが相互に補強して、オンラインアプリケーションにおけるID詐欺保護のための包括的な多層防御戦略の一部を形成するかを理解するのが難しいことがよくあります。

このホワイトペーパーでは、特定の一般的なアプリケーションセキュリティ問題、つまり盗まれたCookieとアクセストークンの悪意のある取引と使用に取り組みました。また、DBSCやDPoPなどのテクノロジーがトークンの盗難に関連する脅威をどのように軽減するか、また、これらのテクノロジーがFIDO認証をどのように補完するかも示しました。FIDO、DBSC、DPoPと組み合わせることで、アプリケーション全体のID詐欺保護が強化されます。

パスキーは、ユーザーの個人用デバイスに関連付けられた一意のデジタル資格情報であり、従来のパスワードやワンタイム テキスト コードを必要とせずに ID を認証する方法を提供します。

パスキーはデバイスから離れることはないため、Web サイト間で再利用できないため、フィッシングやその他の一般的な攻撃に対して耐性があります。

政府は、一般向けのデジタルサービスプラットフォームである Gov.UK にアクセスする方法としてパスワードを置き換える計画を発表しました。

パスワードを使用してから、ユーザーの信頼できるデバイスに送信される追加のテキスト メッセージまたはコード (2 要素認証と呼ばれる) とは対照的に、パスキーは特定のデバイスに関連付けられた一意のデジタル キーであり、ユーザーがログインしたときに、それ以上のコードを入力することなくユーザーの身元を証明します。

技術固有のイノベーション

AI はショーで最もホットなトピックの 1 つでしたが、議論のトピックはそれ だけ ではありませんでした。また、進化するランサムウェアのエコシステムや、「Q-Day」の到来に備えるために組織が今日何をする必要があるかについても多くのことを聞きました。

しかし、おそらく2番目に大きな議論は、IDとアクセスのセキュリティに関するものでした。

AIを活用したディープフェイクや詐欺の試みの増加により、組織はパスワードからパスキーなどのより安全な認証方法に切り替える必要性がこれまで以上に高まっており、多くの専門家は、この分野が来年にわたって多くの採用が見られると楽観視していました。

重要な洞察:

• FIDOアライアンスのエグゼクティブディレクター兼CEOであるアンドリュー・シキアー氏:「 パスキーの導入は、規制された業界で成長し続けるでしょう。これは非常に重要です。なぜなら、より高い保証のユースケースに対処し、そこでパスワードを機能から外すことで、ますます多くの企業がパスキーを大規模に導入する自信が高まり、パスワードを完全にバックミラーに映すための私たちの旅がさらに加速するからです。」

この動きは世界パスワードデーと重なり、より安全でフィッシングに強いログイン方法を優先してパスワードを廃止する業界イニシアチブであるパスキー誓約に対するテクノロジー大手の広範な取り組みと一致しています。Microsoft の幹部である Joy Chik 氏と Vasu Jakkal 氏はブログ投稿で、パスキー ユーザーはパスワードを使用するユーザーよりもログインに成功する可能性が 3 倍高いと強調しました。既存のアカウント所有者は引き続きパスワードを使用できますが、Microsoft はデフォルトで生体認証または PIN を使用するよう促しています。ほぼすべての Windows ユーザーがすでに Windows Hello に依存しており、この移行は Apple や Google などの業界パートナーのサポートに支えられており、これらのパートナーもプラットフォーム全体に FIDO 準拠のパスキー システムを展開しています。この変更により、セキュリティとユーザーエクスペリエンスが全面的に合理化されることが約束されています。

英国政府は今年、サイバー防御を強化するため、デジタルサービス用のSMSベースの検証システムをパスキーに置き換える予定だ。

この取り組みは、より「安全でコスト効率の高いソリューション」として、オープン認証標準である Fast IDentity Online (FIDO) を使用して、英国国家サイバーセキュリティ センターによって 展開 されます。

「NCSCは、パスキーの採用が全国規模でサイバーレジリエンスを変革するために不可欠であると考えています」とNCSCは述べています。「セキュリティの強化とコスト削減に加えて、パスキーはユーザーにより高速なログイン体験を提供し、ユーザー名、パスワード、SMSコードを入力する場合と比較して、ログインごとに約1分節約します」と同庁は述べた。

新しいワーキンググループは、決済分野におけるパスワードレス認証の機運が高まっている時期に誕生しました。昨年、 Visa はオンライン決済にパスキーを導入し、顧客が従来のパスワードではなく生体認証を使用して取引を承認できるようにしました。

現在250を超えるメンバーで構成されるこのアライアンスは、デジタル認証のさまざまな分野にわたってその影響力を着実に拡大しています。

Microsoft は昨年、ほとんどのコンシューマー アプリにパスキー サポートを導入し、ユーザーは 2FA 方法を必要とせずに、長いパスワードを覚えることなくアカウントにサインインできるようになりました。1年後、パスワードをデフォルトから削除し、すべての新規登録者にパスキーの使用を奨励しています。

PCMag は 5 月 2 日に新しい Microsoft アカウントにサインアップしようとしましたが、公開時点では依然としてパスワードを要求していました。Microsoft は変更がいつ行われるかについて正確な時間枠を共有していませんが、今後数日以内に変更が行われることを期待する必要があります。

新しいアカウントを完全にパスワードレスにできるのはこれが初めてです。以前は、パスキーの横に 1 つを用意する必要がありました。

Microsoftは ブログ投稿で、ログインのパスキー試行の98%が成功しているのに対し、パスワードは32%にすぎないと述べています。Microsoft はまた、「サインインとサインアップにパスワードレスの方法を優先する」、すべてのアカウントに対して「合理化された」サインイン エクスペリエンスと呼ばれるものを 導入 しています。これは、パスキー機能を強調するために UX デザインを変更することを意味します。

Microsoft による新しいパスワードなしの取り組みには、最近開始された最適化 されたサインイン ウィンドウ のデザインが伴い、パスワードレスでパスキー優先のエクスペリエンスを実現する手順が並べ替えられています。

現在のアカウントはパスワードを流す必要はありませんが、新しいアカウントはパスワードの作成をまったく求めないため、パスワードを置き去りにしようとします。

この簡素化された UX の一環として、新しいアカウントのデフォルトの動作を変更します。新しいMicrosoftアカウントは「デフォルトでパスワードレス」になります。新規ユーザーは、アカウントにサインインするためのパスワードなしのオプションがいくつかあり、パスワードを登録する必要はありません。既存のユーザーは、アカウント設定にアクセスしてパスワードを削除できます。

本日の変更により、Microsoft は代わりに「世界パスワードの日」を「世界パスキーの日」に名前を変更し、来年もパスキーの実装作業を継続することを約束します。昨年の今頃、同社は 消費者アカウントにパスキーを導入しました。Microsoft は、「毎日 100 万近くのパスキーが登録されている」と述べており、パスキー ユーザーのサインイン成功率は 98% であるのに対し、パスワードベースのアカウントでは 32% です。

その結果は心強いもので、消費者の74%がパスキーを認識しており、69%が少なくとも1つのアカウントでパスキーを有効にしていることがわかりました。

パスキーを使用したことがある人のうち、38%が可能な限りパスキーを有効にしていると報告しています。現在、消費者の半数以上が、パスキーはパスワードよりも安全(53%)と便利(54%)の両方であると考えています。

このパスキー採用の増加は、パスワードの欠点によって引き起こされている可能性があります。昨年、35%以上の人がパスワードの脆弱性により少なくとも1つのアカウントが侵害されました。さらに、消費者の47%は、その特定のアカウントのパスワードを忘れた場合、購入を断念します。

組織がパスキーへの移行を受け入れることをさらに奨励するために、FIDO Allianceは、パスキーの採用に取り組むオンラインサービスプロバイダーと認証製品およびサービスベンダーのための自主的な誓約である Passkey Pledgeも立ち上げました。

「ワールドパスキーデーの設立と成長は、あらゆる形態や規模の組織が、何十年にもわたるデータ侵害、アカウント乗っ取り、ユーザーのフラストレーションにつながってきたパスワードやその他のレガシー認証方法への依存から脱却する必要性に基づいて行動を起こしているという事実を反映しています。」と、FIDOアライアンスのエグゼクティブ・ディレクター兼CEOであるアンドリュー・シキアーは言う。世界中の100を超える組織がパスキー誓約に署名したという事実に興奮しており、市場をリードするパスキーセントラルリソースセンターを含む、無料で利用できるさまざまな資産を通じて、パスキーへの市場への進軍をサポートできることを嬉しく思います。」

レポート全文は、FIDO Allianceのサイトから入手できます。

この重要な変化は、テクノロジー業界が脆弱なパスワードベースのシステムから決定的に脱却する中、 デジタル セキュリティ の転換点を示しています。

「ワールド・パスキー・デーの制定と成長は、あらゆる形態や規模の組織が、パスワードやその他のレガシー認証方法への依存から脱却する必要性に応えて行動を起こしているという事実を反映しています」と、FIDOアライアンスのエグゼクティブ・ディレクター兼CEOであるアンドリュー・シキアーは述べています。

答えはパスキーであり、アカウントのセキュリティを物理デバイスのセキュリティにリンクするため、攻撃者がハードウェアにアクセスし、ロック解除方法(生体認証またはPIN)がない限り、パスワードをバイパスしてログインすることはできません。

Microsoft は、パスキーだけでなくパスワードの削除も他社よりも推進しています。「ユーザーがパスキーとパスワードの両方を持っていて、両方がアカウントへのアクセスを許可している場合、そのアカウントは依然としてフィッシングのリスクにさらされています。私たちの最終的な目標は、パスワードを完全に削除し、フィッシング耐性のある認証情報のみをサポートするアカウントを持つことです。」

パスキーの普及を担当する組織である FIDOアライアンスは、今回、インターネットの電波で「パスワードからの脱却の世界的な動きをさらに加速させるためのパスキー誓約を開始する」と語った。

最新の調査によると、「35%以上の人がパスワードの脆弱性により少なくとも1つのアカウントが侵害され、消費者の47%が特定のアカウントのパスワードを忘れた場合、購入を断念します。パスキーに精通している人の 54% がパスワードよりも便利であると考えており、53% がパスワードのセキュリティが優れていると考えているため、これはパスキーの採用にとって重要です。」

FIDOは、Microsoftのパスワード削除を業界をリードするものとして歓迎しています。「マイクロソフトが10億以上のユーザーアカウントのパスワードをプレイから外しているため、これはエキサイティングで独創的なマイルストーンです」と同社のCEOであるアンドリュー・シキアー氏は私に語った。今日、マイクロソフトがリーダーシップを発揮することで、より多くのサービスプロバイダーが同じことをするよう促し、パスワードが完全にバックミラーに映る日に近づくことができます。」

FIDOアライアンスは最近、より安全な未来を創造し、パスワードの脆弱性や煩わしさを乗り越えるために、World Passkey Pledgeへの参加を企業に呼びかけています。

タレスのサイバーセキュリティ専門家であるサイモン・マクナリー氏は、「パスワードは長い間、デジタルセキュリティの弱点であり、消費者や企業をパスワードのリセットと潜在的な侵害というイライラするサイクルに追いやってきました。私たちは、FIDOアライアンスの世界パスキーデーへのコミットメントと、パスワードレスの未来への推進を歓迎します。パスキーはシームレスで安全な認証エクスペリエンスを提供し、従来のパスワードに関連するリスクやフラストレーションを排除します。

パスキーは自動的に生成され、安全に保管されるため、複雑なパスワードの作成と管理の負担が軽減されます。また、機密データを共有せずに認証を許可することでプライバシーを強化し、侵害のリスクを軽減します。デジタルセキュリティへの信頼がますます重要になるにつれ、企業はユーザーを保護し、ブランドの信頼を築くために、パスワードレスソリューションを優先する必要があります。」

パスワードレスの未来に向けたパスキーの誓約

世界パスワードデー(以下、世界パスキーデー)を記念して、FIDOアライアンスはパスキーの使用に関する 調査 を発表し、 消費者の74%がパスキーを認識していることが判明しました。これを裏付けるために、この調査では、 消費者の69%が少なくとも1つのアカウントでパスキーを有効にしていることもわかりました。

さらに、パスキーを使用したことがある人については、 38%が可能な限りパスキーを有効にしていると報告 しており、一部の消費者はパスキーがもたらすユーザーエクスペリエンスとセキュリティ上の利点をすでに認識していることを示唆しています。実際、 消費者の半数以上が、パスキーはパスワードよりも安全(53%)と便利(54%)の両方であると考えています。Amazon、Apple、Google、Microsoft、Samsung など、多くの企業や組織がすでに パスキー誓約に署名しています。

極めて重要な瞬間

FIDOアライアンスのエグゼクティブ・ディレクター兼CEOであるアンドリュー・シキアー氏は、最近の調査とパスキー・プレッジの両方について次のようにコメントしています。

「今年の世界パスキーデーは、世界中のユーザー認証にとって極めて重要な時期に開催されます。サービスプロバイダーの数が急速に増加しており(世界のトップ100のWebサイトのほぼ半数を含む)、数十億のユーザーアカウントにパスワードの代わりにパスキーを使用してサインインするオプションを提供しています。 100 をはるかに超える組織 が パスキー誓約を取得しており、パスワードのリスクと負担のない未来への取り組みを示しています。

消費者はパスキーに対する認識が高まっているだけでなく、より頻繁に使用するようになっており、最近の調査では回答者の69%が少なくとも1つのアカウントでパスキーを有効にしており、38%が可能な限り有効にしています。

パスキーは非常に直感的に使用できるため、ユーザーがパスキーを統合すると、元に戻ることはめったにありません。これは、パスワードに依存するサインインプロセスに不満を抱いている消費者(そのうちの35%が昨年、パスワードの脆弱性の結果としてアカウントの侵害を経験したと回答)や、電子商取引小売業者にとっても同様に良いことです。

この変化はイノベーションや収益だけではありません。デジタルの信頼を再構築し、すべての人にとってより安全で効率的なインターネットを構築することです。」

世界パスキーの日（2025年5月1日）にあたり（以前は世界パスワードの日と呼ばれていました）、FIDOアライアンスは世界中の主要な組織による実際のパスキー導入事例にスポットライトを当てています。さまざまな業界で企業がより迅速で簡単、そして安全なサインインを提供するために進めてきたパスキーの成功事例のハイライトをご覧ください。これはパスワードからのパスキーへの移行に向けたグローバルでのコミットメントを示すものです。

FIDOアライアンスは、パスキーの利用状況と認証に対するコンシューマーの意識がどのように変化したかを理解するため、コンシューマーを対象にした独自の調査も本日発表しました。この調査によると、過去1年間で35%以上の人がパスワードの脆弱性が原因で少なくとも1つのアカウントを侵害されたことがわかりました。さらに、47%のコンシューマーは特定のアカウントのパスワードを忘れてしまった場合、購入を断念するとの結果となっています。これはパスキーの採用にとって重要です。なぜなら、パスキーを知っている人の54%はパスワードよりも便利だと考えており、53%はより高いセキュリティが提供されるとの認識があるからです。レポート全文はこちらからご覧いただけます。

ABANCAは、スペインの銀行です。 ABANCAのモバイルアプリは月間120万人以上の顧客にサービスを提供しており、同銀行の最大の支店として機能しています。現在、モバイル顧客の42％以上が同銀行のプロダクト、ABANCA Keyを通じてパスキーを使用しています。その結果、1100万件以上の高リスク取引が技術的またはサービス上のインシデントなしに保護され、UXを優先した結果、顧客努力スコア（CES）4.7を達成しました。

Aflac は、米国で最初にパスキーを採用した主要な保険会社です。米アフラックはTransmit Securityと提携してパスキー認証イニシアチブを開始しました。現在、プロジェクトの第一段階が完了したところで、すでに50万人以上の米アフラック顧客がパスキーを登録しており、その結果、パスワード忘れに伴う再設定要求が32％減少しました。これにより、コールセンターへの本人確認に関する問い合わせが月3万件減少しました。米アフラックでは、登録時に最も高いパスキーの設定成功率を確認できており、FIDOアライアンスのデザインガイドラインの推奨事項であるアカウント関連タスク中に顧客にプロンプトを出すことを裏付けていると報告しています。米アフラックの顧客によるパスキーの着実かつ自然な採用は日々増加し続けており、コスト削減と顧客体験の測定可能な改善に直接貢献しています。

KDDI は現在、FIDOを利用する1360万人以上のau ID顧客を抱えており、その結果、カスタマーサポートセンターへの問い合わせが大幅に減少（約35％減）しました。KDDIは、加入者と非加入者の両方に対してFIDO認証の提供をていねいに進めています。

LINEヤフー が提供するYahoo! JAPAN IDは、現在2800万人のアクティブなパスキーユーザーを抱えています。現在、スマートフォンでのユーザー認証の約50％がパスキーを使用しています。LINEヤフーは、パスキーの方が認証の成功率が高く、SMS OTPよりも2.6倍高速であると述べています。

メルカリ では、900万人のユーザーがパスキーに登録しており、同期パスキーで登録したユーザーにはパスキーログインを必須としています。注目すべきことに、2023年3月以降、メルカリショップとメルコイン（メルカリの子会社）ではフィッシング詐欺による被害が1件も発生していません。

Microsoft は2024 年に Microsoft コンシューマー アカウントのパスキーの展開を開始しました。現在、毎日約100万個のパスキーが登録されています。Microsoftは、パスキーでサインインするユーザーはパスワードを利用して自身のアカウントにサインインするユーザーよりも3倍成功率が高く（パスワードの32％に対して98％）、パスキーサインインは従来のパスワード＋MFAフローよりも8倍速く、パスワードレス優先のUXによりパスワードの使用が20％以上減少したことを観測しました。

日本経済新聞社 は2月にパスキーを展開し、すでに数千人の顧客がパスキーを使用しているのを確認しています。さらに、サポートデスクにはパスキーの使用方法に関する問い合わせがほとんどありません。

NTTドコモ ではパスキーの登録数を増やしており、現在dアカウントユーザーによる認証の50％以上でパスキーが使用されています。NTTドコモは、フィッシング詐欺による被害が大幅に減少したと報告しており、2022年9月以降、ドコモオンラインショップでの不正決済は発生していません。また、NTTドコモは、パスキー対応サービスを増やすなどUXを継続的に改善しています。

Samsung Electronics のGalaxyスマートフォンは、生体認証とFIDOプロトコルを通じて迅速かつ便利なログインをサポートしています。使いやすさ、速度、サービス間の互換性、および業界標準としての地位により、パスキーはSamsung Electronicsにとって魅力的な選択肢となりました。

VicRoads は、オーストラリアのビクトリア州の車両登録および運転免許発行機関です。年間600万台以上の車両を登録し、500万人以上の運転免許を交付しています。パスキーベンダーのCorbadoとの展開を開始して最初の数週間で、パスキーの採用はVicRoadsの予想を大幅に上回りました。ユーザーはフィッシングに強い認証方法を受け入れ、スピードとセキュリティに最適化された円滑なログイン体験の恩恵を受けました。非常に高いパスキーアクティベーション率（モバイルデバイスで最大80％、すべてのプラットフォームで50％以上）により、最初の7週間で30％のパスキーログイン率につながりました。利用率は着実に上昇し続けており、認証関連のサポートチケットの減少、SMS OTPコストの削減、ユーザーエクスペリエンスとセキュリティの向上など、測定可能な運用上の利点につながっています。

Zoho Corporation は、1億人以上のzoho.com顧客にパスキーを展開し、その結果、パスキーの導入が前月比30％増加し、パスワードリセットの問い合わせが10％減少しました。次のステップとして、同社は5月に Zoho Vault の顧客への展開を開始する予定です。

ABANCA、Microsoft、日本経済新新聞社、Samsung Electronics、VicRoadsおよびZoho Corporationのケーススタディの全文をご覧いただき、これらの企業がどのようにパスキー導入のメリットを観測しているかをご覧ください。文書化された他のケーススタディを通じてパスキーの導入についてさらに知見を深めるには、FIDOアライアンスのリソースライブラリをご覧ください。共有したいケーススタディをお持ちの場合は是非ご連絡ください！ お 問い合わせ！

カリフォルニア州マウンテンビュー、2025 年 5 月 1 日 – デジタルセキュリティがこれまで以上に重要になる中、 FIDOアライアンスは 2025年の世界パスキーデーを記念して、米国、英国、中国、韓国、日本の消費者を対象とした独自の調査を発表し、パスキーの使用法と認証に対する消費者の態度がどのように進化したかを理解しています。

調査によると、昨年、35% 以上の人がパスワードの脆弱性により少なくとも 1 つのアカウントが侵害されたことがわかりました。さらに、消費者の 47% は、その特定のアカウントのパスワードを忘れた場合、購入を断念します。パスキーに精通している人の 54% がパスワードよりも便利であると考えており、53% がパスキーのセキュリティが優れていると考えているため、これはパスキーの採用にとって重要です。

世界パスキーデーは、個人や組織がパスキーサインインを採用し、ウェブをより安全でアクセスしやすくするよう、FIDOアライアンスの年次行動喚起として機能しています。

調査のハイライトは、消費者のパスキーの認識が高まっていることを示しており、パスキーを認識している人々の間での採用におけるいくつかの主要な傾向を概説しています。

• 消費者の 74% がパスキーを認識しています。
• 消費者の 69% が、少なくとも 1 つのアカウントでパスキーを有効にしています。
• パスキーを使用したことがある人のうち、38%が可能な限りパスキーを有効にしていると報告しています。
• 消費者の半数以上が、パスキーはパスワードよりも安全(53%)と便利(54%)の両方であると考えています。

調査レポートは https://fidoalliance.org/wpd-report-2025-consumer-password-passkey-trends/ で入手でき、グローバルなデジタルアクセス、認証、セキュリティを改善するために、消費者や組織の間でパスキーの採用がどのように傾向にあるかについての追加の洞察が含まれています。

「ワールドパスキーデーの設立と成長は、あらゆる形態や規模の組織が、何十年にもわたるデータ侵害、アカウント乗っ取り、ユーザーのフラストレーションにつながってきたパスワードやその他のレガシー認証方法への依存から脱却する必要性に基づいて行動を起こしているという事実を反映しています。」とFIDOアライアンスのエグゼクティブディレクター兼CEOである アンドリュー・シキアー は述べています。世界中の100を超える組織がパスキー誓約に署名したという事実に興奮しており、市場をリードするパスキーセントラルリソースセンターを含む、無料で利用できるさまざまな資産を通じて、パスキーへの市場への進軍をサポートできることを嬉しく思います。」

FIDOアライアンスは、パスキーへの移行を組織に受け入れるようさらに奨励するため、パスキーの採用に取り組むオンラインサービスプロバイダーや認証製品・サービスベンダーを対象とした自発的な誓約である「 パスキープレッジ」も立ち上げました。パスキーの誓約は、わずか 20 日余りで 100 以上の組織からコミットメントを受け取りました。パスキーの誓約を行った企業の完全なリストは 、こちらでご覧いただけます。

パスキーの可用性は着実に増加しており、企業とサービスプロバイダーが共同で、より高速なサインイン、より高い成功率、アカウント乗っ取りの減少、サポートコストの削減、カート放棄の減少という新時代の受け入れを目指しているため、世界のトップ100のWebサイトの48%に実装が行われています。

組織のパスワードレス体験を開始する方法、またはパスキーの使用を今すぐ開始する方法については、 次の https://www.passkeycentral.org/home を参照してください。

編集者への注記

• このSurveyMonkeyオンライン世論調査は、2025年4月13日から14日まで、18歳以上の成人1,389人を対象に実施されました。この調査の回答者は、SurveyMonkeyプラットフォームで毎日アンケートに回答する約300万人の中から選ばれました。この調査のデータは、米国、英国、中国、韓国、日本の人口構成を適切に反映するために、年齢、人種、性別、教育、地理で重み付けされています。この調査のモデル化された誤差推定値はプラスマイナス 3.5 パーセント ポイントです。
• パスキーをサポートする世界トップクラスのウェブサイトやサービスの割合を計算するために、FIDO Allianceは、公開されている情報とパスキーの展開に関する独自のデータを組み合わせました。

FIDO アライアンスについて

FIDO(Fast IDentity Online)アライアンスは、強力な認証技術間の相互運用性の欠如に対処し、ユーザーが複数のユーザー名とパスワードを作成して記憶する際に直面する問題を解決するために、2012年7月に設立されました。 FIDOアライアンスは、認証におけるパスワード依存を軽減するために、オープンで拡張性と相互運用性のあるシンプルで堅牢な「FIDO認証」を標準化することで、オンラインサービスの本質に変革をもたらします。 FIDO認証はオンラインサービスの利用時に、堅牢でプライバシーが確保された便利な認証を提供します。 詳細については、 www.fidoalliance.org をご覧ください。

連絡先

press@fidoalliance.org

2025年の世界パスキーデーに先立ち、FIDOアライアンスは、認証の好みがリアルタイムでどのように進化しているかについてのさらなる洞察を提供するために、米国、英国、中国、韓国、日本の1,389人を対象に独立した調査を委託しました。

この調査によると、人々は従来のパスワードに苦労し続けています。

• 回答者の36%は、脆弱なパスワードや盗難が原因で少なくとも1つのアカウントが侵害されたことがあると回答しています。
• 48%が、パスワードを忘れたという理由だけでオンライン購入を断念したことを認めています。

この電子書籍で調査結果の全文をお読みください。

PWGは、次の3つの分野に焦点を当てます。

1. 支払い認証の特定の要件を特定して評価します。要件には、UX、セキュリティ、および支払いに固有の規制の分野が含まれます。
2. 支払い認証要件に対処するための既存および新しいソリューションを特定して評価します。そして
3. パスキーおよび/または提案されたFIDOソリューションと、EMV® 3-DセキュアやEMV® SRCなどの既存の決済技術の使用に関するガイドライン。

PWGはまた、決済のためのFIDOソリューションの使用に関連する関連プロジェクトにも取り組んでおり、これには、展開ケーススタディの収集と公開、課題と問題に対する潜在的な解決策の文書化が含まれます。FIDOアライアンス連絡パートナーと協力して、教育と導入を推進しています。

決済ワーキンググループに参加する

PWGへの参加と決済のためのパスキーの採用の推進に関心のある組織は、今すぐ問い合わせることができます。PWGへの参加は、FIDOアライアンスの理事会、スポンサー、政府レベルのすべてのメンバーが参加できます。参加に関心のある非会員組織は、FIDOアライアンスに連絡して会員になる必要があります。詳細については、 https://fidoalliance.org/members/become-a-member/ をご覧ください。

Microsoft アカウント (MSA) は、Xbox、Microsoft 365、Copilot などのサービス全体で消費者向けのエクスペリエンスを強化します。2023 年に、Microsoft はこれらのサービス全体でパスキー サポートの展開を開始し、ユーザーがパスワードの代わりに顔、指紋、またはデバイスの PIN を使用してサインインできるようにしました。FIDO 認証情報を統合することで、パスワードの必要性がなくなり、10 億人を超えるユーザーが Microsoft アカウントにアクセスするのが簡単、迅速、かつ大幅に安全になりました。

FIDO認証導入前に解決を目指していた課題は何でしょうか？

私たちは、次の 3 つの主要な課題の解決に着手しました。

安全： パスワードは本質的に安全ではなく、フィッシングやブルートフォース攻撃に対して非常に脆弱です。2024年には、毎秒7,000件以上のパスワード攻撃が観測されました。

ユーザーエクスペリエンス: パスワードは、ユーザーがパスワードを忘れたり、再利用したり、入力ミスしたりして、イライラするものです。私たちは、ユーザーが初めて、いつでも成功できるサインイン エクスペリエンスを求めていました。

大規模な導入: 私たちは、世界中のユーザーベースの高いユーザビリティの期待に応えながら、デバイスやプラットフォーム間で動作するソリューションを必要としていました。

他のソリューションではなく、FIDO認証を選択した理由をご教示ください。 また、FIDO認証を実装する上で、メリットとして挙げられた点をご教示ください。

FIDO認証情報は、セキュリティ、使いやすさ、相互運用性の理想的な組み合わせを提供します。フィッシングや資格情報の盗難に耐性があり、パスワードなどの共有秘密が不要になります。FIDO認証情報は、消費者のユースケースにとって不可欠な、シームレスなクロスデバイスおよびクロスプラットフォームのエクスペリエンスも可能にします。テストでは、パスキーがセキュリティの向上とユーザーエクスペリエンスの劇的な向上の両方をもたらすことがわかりました。

FIDO認証の実装についてご説明ください。

Microsoft は段階的なアプローチを採用しました。まず、Xbox や Copilot などのコンシューマー サービス全体で MSA サインインのパスキーを有効にすることから始めました。そこから、パスワードレスのオプションを優先するために UX を変更しました。新しい Microsoft アカウントは既定でパスワードレスになり、既存のユーザーはサインイン中またはサインイン後にパスキーを登録するように案内されます。このプロセスを通じて、私たちはAppleやGoogleなどのプラットフォームパートナーと緊密に連携し、FIDOアライアンスとの長年の協力関係を継続して、私たちのアプローチが業界標準に合致していることを確認してきました。私たちのアプローチの詳細については、「 10 億人のユーザーにパスキーを愛するように説得する: 導入とセキュリティを強化するための Microsoft からの UX デザインの洞察」を参照してください。

FIDO認証の導入効果について、データで共有可能なものがあればご教示ください。

その影響は重大でした。

• 現在、毎日100万件以上のパスキーが登録されています。
• パスキーを使用してサインインするユーザーは、成功率が 3 倍高くなります (成功率は 95% 対パスワードの 30%)。
• パスキー サインインは、従来のパスワード + MFA フローよりも 8 倍高速です。
• パスワードレスに好まれるUXは、すでにパスワードの使用を20%以上削減しています。

これらの結果は、FIDO認証がセキュリティを向上させ、ユーザー満足度を高め、パスワードのリセットやサポートコールなどの運用上の負担を軽減することを裏付けています。

詳細については、 Microsoft ブログをご覧ください。

日本経済新聞社と日経グループは「質の高い報道とサービスで 読者・顧客の判断を助け 世界で最も公正で信頼されるメディアになる」をミッションに掲げ、言論報道機関としての基盤である日本経済新聞を含む各種メディア・サービスを展開しております。その中核サービスである日経電子版を始めとした、日経グループのデジタルサービスを支える統合ID基盤が「日経ID」です。

このように幅広いサービスを展開する日経IDでは多くのユーザーを抱えており、かねてからセキュリティとユーザービリティの両立が課題でした。これまで OpenID Connect によるログイン体験の向上を図りつつ、二要素認証やCAPTHCA(*1)の導入などで不正アクセスのリスクを軽減するなどの施策を実施してきましたが、ユーザーのパスワード漏洩や使い回しなどパスワード認証によるセキュリティリスクや、近年の攻撃の高度化への対策は難しい状況でした。

(*1)ユーザーが人間であることを確認するためのセキュリティ認証方式

そのような中、FIDO認証が進化しパスキーとしてサービスへの導入の敷居が下がってきたことから、日経IDとしても期待を持って検討を進め導入に至りました。現在はWebサービスだけでなくモバイルアプリにも対応するなど機能面での拡充や、社内外のブログ記事や登壇、日経IDラウンジヘルプセンターでの案内などユーザーの認知度向上などを通じてパスキー普及を目指している段階です。

FIDO認証導入前に解決を目指していた課題は何でしょうか？

1番の目的はセキュリティとユーザー体験の両立です。日経IDのユーザーはデジタルサービスを使い慣れていないお客様も多く、単純にセキュリティを向上させれば良いと言うわけでもありません。例えばCAPCHAの導入によってパスワード総当たり攻撃が防げたとしても、チューリングテスト(*2)が通せずサービスが利用できないなどユーザーがサービスをご利用する際の障害になり、問い合わせの増加などサポートの負荷にもなっていました。

(*2) 「人間的」かどうかを判定するためのテスト

しかしFIDO認証（パスキー）に関しては、OSやプラットフォームとの統合による高いセキュリティとユーザー体験の両立を標準規格として実現しています。そのため、パスワード認証によるリスク低減のために導入したUXの低下を伴うセキュリティ施策をパスキーに置き換えることが可能になりました。

他のソリューションではなく、FIDO認証を選択した理由をご教示ください。 また、FIDO認証を実装する上で、メリットとして挙げられた点をご教示ください。

FIDO認証（パスキー）の比較検討対象としては以下2点が候補に上がりました

• TOTPやメール認証などの2要素認証の必須化
• 他のID基盤によるソーシャルログイン

これらと比較検討した結果、FIDO認証（パスキー）は以下の利点があると感じています

• 既存のパスワード認証に加えて、追加の認証という形で徐々に移行できる
• 生体認証などよりUXの高い認証方法が利用できる
• パスワードの持つリスクを根本的に解決できる

実際に実装するに当たっては特に「追加の認証」という点が大きかったと感じています。つまり、既存のIDモデルを壊さずに疎結合・高凝集に実装できるという点です。WebAuthn の仕様は、バックエンド・フロントエンド共にシンプルなインターフェースのライブラリ・APIが各プラットフォームで用意されています。そのためセキュアな実装が容易に可能でした。また既存の認証手段を残すことも可能であるため、サポート工数もそこまで増えないという利点も大きかったです。

FIDO認証の実装についてご説明ください。

FIDO認証のバックエンドライブラリOSS である WebAuthn4J を利用した自社独自実装になります。WebAuthn4J の選定についてはデータモデルのわかりやすさに加え、FIDOアライアンスが提供する FIDO2 Test Tools をパスしていることを評価しました。またフロントエンドについては WebAuthn API を直接操作する実装を自社独自開発しました。さらに、これらの総合的なテストとしてFIDO認証をエミュレートするテストライブラリを作成し24時間自動テストが稼働している形になります。

FIDO認証（パスキー）の展開は以下のステップで段階的に進めました：

• 社内ベータテストによるフィードバックや利用状況のモニタリング
• 外部セキュリティ企業によるホワイトボックス・ブラックボックス検査
• 全ユーザーに公開

FIDO認証の導入効果について、データで共有可能なものがあればご教示ください。

今年の2月にリリースしたばかりのため詳細な数字はまだご提示できませんが、すでに数千人のユーザーにパスキーをご利用いただいております。また、パスキーの利用方法に関する問い合わせなど、サポート窓口への負荷もほとんど発生していないと聞いており、円滑にご利用いただけていると認識しています。

リソース

FIDO認証（パスキー）の実装のところでお話ししたFIDO認証をエミュレートするテストライブラリは日経のOSSとして公開しており、下記のURLから取得できます。 https://github.com/Nikkei/nid-webauthn-emulator

FIDO認証（パスキー）による認証を完了した後の認可についてはOpenID Connect基盤である Authlete を利用しており、こちらの導入事例の中で FIDO認証（パスキー）導入に関する熱意を語っています。（この発表が行われた2023年当時はまだパスキーの検討段階) https://www.authlete.com/ja/resources/videos/20231212/02/

導入検討段階における技術ブログ記事: https://hack.nikkei.com/blog/advent20241221/

背景: VicRoads

VicRoads は、オーストラリアのビクトリア州にある車両登録および運転免許当局です。年間600万台以上の車両を登録し、500万人以上のドライバーの免許を取得しています。

ビクトリア州政府、アウェア・スーパー、オーストラリアン・リタイアメント・トラスト、マッコーリー・アセット・マネジメントの合弁事業として運営されているVicRoadsは、州内の公共サービスの重要なプロバイダーです。

課題:政府サービスのためのシームレスでコスト効率の高い認証

VicRoadsは、何百万人もの人々に安全で摩擦のないサービスを提供することで、オーストラリアで最も信頼されるデジタル政府サービスプロバイダーになることを目指しています。

VicRoadsが顧客に代わって保持するデータの重要性を考えると、セキュリティは常に主要な考慮事項でした。

これまで、VicRoadsは顧客データの保護をサポートするために、SMSワンタイムパスワード(OTP)と認証アプリを介したすべてのユーザーアカウントに多要素認証(MFA)を義務付けていました。

パスキーは、サインインプロセスで生体認証、顔認識、PIN、またはスワイプパターンを活用します。従来のMFAとは異なり、パスキーには秘密鍵を格納するデバイスとローカル認証の両方が必要なため、フィッシング耐性があり、コスト効率が高い。

ソリューション:Corbadoは、最小限の統合作業で、リスクのないパスキーファーストのソリューションを提供します

VicRoads はパスキー ベンダーの Corbado と協力し、ソリューションをゼロから構築するのではなく、実証済みのアプローチを優先しました。

Corbadoは、カスタマーエクスペリエンスと最新の認証テクノロジーの両方を深く理解しているため、VicRoadsは、顧客がパスキーを簡単に使用できると確信していました。

Corbado はまた、ブラウザの互換性、回復フロー、ユーザー エクスペリエンスの最適化など、パスキー固有の課題に関する詳細な技術ガイダンスを提供し、VicRoads の信頼をさらに強固にしました。

「Corbado を選んだのは、顧客や業務を中断することなく、パスキー機能を既存のインフラストラクチャに統合できるからです」と VicRoads の最高技術責任者である Crispin Blackall 氏は述べています。

実装:事前に構築されたパスキーに最適化されたコンポーネントとSDKにより、迅速な統合が可能

Corbado Connect は、VicRoads の既存のインフラストラクチャおよび組織のエンタープライズ スタックに深く組み込まれている CIAM とシームレスに統合されています。このパスキーの有効化は、ユーザー データや認証方法の移行を必要とせずに実現され、何百万人ものユーザーにとってスムーズかつ効率的な移行が保証されました。

VicRoadsの現在の認証システムの上にパスキー機能を重ねることで、Corbadoは既存のすべてのユーザー資格情報を保持しながら、摩擦のない展開を可能にしました。このアプローチにより、新しいテクノロジーの導入に伴う混乱やリスクが排除されました。

スムーズな移行を確実にするために、VicRoads は個人顧客から始めて段階的にパスキーを導入しました。Corbado Connect のロールアウト コントロールによってサポートされるこの段階的な展開により、VicRoads はパフォーマンスを監視し、潜在的な問題に対処し、ユーザー エクスペリエンスを最適化してから、パスキー認証をパートナーや企業の顧客にシームレスに拡張することができました。

結果: 顧客はパスキーを気に入っており、最初の数週間で最大 80% のパスキー有効化率を実現

導入から最初の数週間で、パスキーの採用はVicRoadsの予想を大幅に上回りました。ユーザーはフィッシングに強い認証方法を採用し、速度とセキュリティに最適化された摩擦のないログイン エクスペリエンスの恩恵を受けました。

非常に高いパスキーアクティベーション率(モバイルデバイスで80%、すべてのプラットフォームで50%以上)により、最初の7週間でパスキーログイン率が30%になりました。普及率は着実に増加し続けており、次のような測定可能な運用上のメリットにつながります。

• 認証関連のサポートチケットの削減
• SMS OTPコストの削減
• ユーザーエクスペリエンスとセキュリティの向上。

これまでのところ、VicRoads は Web ポータルでパスキーの展開に成功しています。次のステップは、パスキーをネイティブ アプリ (myVicRoads および myLearners) に統合し、ユーザーが追加のセットアップなしで既存のパスキーを活用できるようにすることです。最終的に、パスキーがすべてのデジタル プラットフォームに完全に実装されると、VicRoads はパスワードを完全に排除し、セキュリティを最大化し、パスワードレスの未来を完全に受け入れることを目指しています。

「パスキーはセキュリティを損なうことなく使いやすいです。登録およびライセンス サービスをよりシンプルで安全に処理できる方法をお客様に提供できることを嬉しく思います」と、VicRoads の最高技術責任者である Crispin Blackall は述べています。

機会:政府認証の新しい基準を設定する

VicRoadsは、世界最大級の公共部門のパスキー導入により、政府アプリケーションの認証モダナイゼーションにおけるデジタルリーダーとしての地位を確立しています。

VicRoadsは、中断することなく高い採用率を達成し、大規模な組織がセキュリティを強化し、ユーザーエクスペリエンスを向上させることができることを証明しました。この成功により、VicRoads は認証戦略の最新化を目指す他の政府機関のベンチマークとしての地位を確立しました。

「パスキーは、デジタルIDサービスに対するユーザー認証方法のパラダイムシフトを表しています」と 、FIDOアライアンスの最高経営責任者であるアンドリュー・シキアーは述べています。 「VicRoads によるパスキーの採用は、政府機関がこの業界全体のイノベーションを活用して、重要なサービスへのアクセスを簡素化しながら人々のデータを保護する方法を示しています。これは、ビクトリア州内外にとって、より安全で効率的なデジタルの未来に向けた重要な一歩です。」

次のステップ: 次世代認証の開発

VicRoads と Corbado の継続的なパートナーシップにより、拡大するデジタル サービス ベースに対してシームレスなユーザー エクスペリエンスを維持しながら、認証イノベーションの最前線に立ち続けることが保証されます。Corbado のマネージド パスキー サービスの主な利点は、採用を促進する最適化が組み込まれていることであり、継続的な改善と将来のすべての WebAuthn アップデートとのシームレスな WebAuthn 準拠を保証します。

この取り組みにより、VicRoads は政府および公共部門でパスキーを広く採用する道を切り開き、安全で摩擦のない大規模な認証が達成可能であることを証明しました。

コルバドについて

Corbado はパスキー ソリューションの大手プロバイダーであり、企業や政府機関がユーザー移行なしでパスキー認証をシームレスに展開できるようにします。Corbado の焦点は、大規模な展開での採用を最大化することです。FIDOアライアンスのメンバーであるCorbadoのソリューションは、高い採用率、強化されたセキュリティ、摩擦のないユーザーエクスペリエンスを保証します。 https://www.corbado.com/ にアクセスしてください。

ほぼすべての主要なビジネスカテゴリで55を超えるアプリを持つZoho Corporationは、世界で最も多作なテクノロジー企業の1つです。インドのチェンナイに本社を置くZohoは、世界中で18,000人以上の従業員を雇用する非公開企業で収益を上げています。Zohoはユーザーのプライバシーに取り組んでおり、広告収益のビジネスモデルに依存していません。同社はデータセンターを所有および運営し、顧客データのプライバシーとセキュリティを完全に監視しています。世界中の数十万社の1億人以上のユーザーが、Zoho自体を含め、Zohoを信頼してビジネスを運営しています。詳細については、zoho.com をご覧ください。

克服しようとしていた課題は何でしたか?

従来の認証方法の代わりに、安全で簡単なログインが可能です。

他のソリューションではなく、FIDO認証を選択した理由をご教示ください。 また、FIDO認証を実装する上で、メリットとして挙げられた点をご教示ください。

セキュリティ、サポートドキュメント、コミュニティの向上。

FIDO認証のロールアウトについて説明する。

IAMチームを通じて自分たちでロールしました。

まず、zoho.com(100mn + ユーザー)のパスキー認証を展開しました

2025年5月にパスワードマネージャーZoho Vaultでパスキー管理を展開

FIDO認証が与えた影響を示すデータポイントは?

パスキー採用率が前月比30%増加

パスワードリセットクエリが10%減少

リソース

• https://help.zoho.com/portal/en/kb/accounts/sign-in-za/articles/passkey
• https://www.zoho.com/vault/features/passkeys.html

サムスン電子のGalaxyスマートフォンは、生体認証とFIDOプロトコルによる高速で便利なログインをサポートします。

FIDO認証導入前に解決を目指していた課題は何でしょうか？

FIDOベースのパスキーは、従来のユーザー名とパスワードの必要性を排除することで、ユーザーがウェブサイトやアプリにアクセスする方法を変革しています。パスキーは、公開される可能性のあるサーバーに保存されるのではなく、Galaxy デバイスに安全に保存され、生体認証を使用した迅速かつ安全なサインインが可能になります。

他のソリューションではなく、FIDO認証を選択した理由をご教示ください。 また、FIDO認証を実装する上で、メリットとして挙げられた点をご教示ください。

FIDOは、ユーザーの生体認証データをデバイス外に送信することなく、安全な認証を可能にします。その使いやすさ、速度、サービス間の互換性、業界標準としての地位により、Samsung Electronics にとって魅力的な選択肢となりました。

FIDO認証の実装についてご説明ください。

FIDO認証をデバイスに直接統合し、ユーザーがすぐにアクセスできるようにしました。FIDOのサポートを、より多くのGalaxyモデルとソフトウェアアップデートに拡大し続けています。

リソース

• https://www.samsung.com/levant/support/apps-services/how-to-create-and-use-a-passkey/
• https://www.samsung.com/ca/support/apps-services/how-to-create-and-use-a-passkey/
• https://news.samsung.com/in/the-knox-journals-the-passwordless-future-of-security

当社のモバイルバンキングアプリは、毎月1,200,000人以上の顧客にサービスを提供する銀行最大の支店です。これらのお客様は、個人情報盗難攻撃に対する最善の保護を必要としており、当社は常に最高のユーザーエクスペリエンスを優先し、最も堅牢で革新的なソリューションを提供します。ABANCA Keyは、FIDO規格に基づく新しい本人確認サービスです。これは、個人情報盗難攻撃を防ぐための大手企業による長年の研究の末に開始されました。パスキーを使用して、ABANCA Keyは最高レベルの保護を提供します。推測や再利用が不可能であるため、お客様の個人情報を攻撃者から保護します。

FIDO認証導入前に解決を目指していた課題は何でしょうか？

一方では、セキュリティ上の課題があります。スペインにおける通話やSMSメッセージによるフィッシングの増加は、行政、携帯電話会社、金融機関にとって疫病であり、深刻な問題となっていますが、その一方で、摩擦を最小限に抑えて最高のユーザーエクスペリエンスを維持する必要性がありました。パスキーは相互運用性と標準化のためのフレームワークを提供し、実装と展開を容易にします。しかし、何よりも、セキュリティ業界で初めて、摩擦のないユーザーエクスペリエンスを実現するための均質性のフレームワークを提供します。

他のソリューションではなく、FIDO認証を選択した理由をご教示ください。 また、FIDO認証を実装する上で、メリットとして挙げられた点をご教示ください。

FIDOアライアンスにはセキュリティ、オペレーティングシステム、インフラストラクチャ、モバイルエコシステムの主要プレーヤーが含まれているため、MFAやパスワードレスなど、信頼のためにさまざまな方法をたどることができるため、FIDOを選んだという理由はたくさんあります。そして、標準化と均質化のために、実装、展開、ロールアウトの時間を短縮します。

FIDO認証の実装についてご説明ください。

最高のユーザーエクスペリエンスを提供するために、私たちはテクノロジーを可能な限り深く理解することを約束します。これにより、問題を効果的に特定して解決し、ユーザーの行動をより深く理解することができます。FIDO規格に基づいて独自のプラットフォームを開発し、プロバイダーであるかのように認証することで、独自のパートナーになりました。

デプロイを段階的に展開しました。5か月足らずで、サーバーとフロントエンド(iOSとAndroid)の両方の開発準備が整い、初期段階で従業員とともに展開を開始し、その後、エンド顧客にバッチで展開を開始しました。わずか7か月で、私たちはすでにすべての顧客に全面的に展開していました。

FIDO認証の導入効果について、データで共有可能なものがあればご教示ください。

• お客様の42%以上がすでにABANCA Keyを使用しています
• 11,000,000件以上の高リスク取引が、技術的またはサービスのインシデントなしにABANCA Keyで保護されています
• カスタマーロールアウトは、技術的なインシデントやサービスのインシデントなしに実行され、最も重要なことは、ABANCA Keyにサインインして使用するためのカスタマージャーニーUXにより、カスタマーエフォートスコア(CES)が4.7であることを管理しました。

このケーススタディの開発に役立つと思われるリンクやリソースを提供してください。

• https://comunicacion.abanca.com/es/noticias/abanca-primer-banco-espanol-en-implantar-la-tecnologia-de-llaves-de-acceso-en-la-banca-movil-para-reforzar-la-seguridad-de-sus-clientes/
• https://www.abanca.com/es/banca-a-distancia/llave-abanca/

毎日のオンライン旅行のどこかで、彼は Web サイトまたはアプリケーション (認証用語で「証明書利用者」) からパスキーを作成するよう促されました。しかし、その利点は彼には明らかではありませんでした。緊急性もなかったようだ。彼は、 パスキーとは何か、次にパスキー を設定するように促されたときに何をすべきかを私が知っているだろうと考えました。私は彼に「何かをする前に話しましょう」と言いました。

シマンテックとコフェンスの最近のレポートに加えて、グアルディオ氏は「生成AIの台頭により、まったくの初心者でも高度なフィッシング詐欺を仕掛けることができるようになった。コーディングのスキルは必要ない。ほんの数回のプロンプトと数分です。」

そして 、Microsoft はユーザーに同じことを伝えました。「AIは、独自の生産性ツールを探している詐欺やサイバー犯罪の攻撃者の技術的ハードルを下げ始めており、サイバー攻撃に対する信頼できるコンテンツをますます速い速度でより簡単かつ安価に生成できるようになりました…AIを活用した不正攻撃は世界中で発生しています。」

FIDO( Fast IDentity Online )認証は、パスワードやワンタイムコードよりも堅牢でシンプルなデジタル認証標準を推進する主要な国際協会であるFIDOアライアンスによって付与されています。このコンソーシアムは、Google、Apple、Microsoft、Amazon、Visa などの世界有数のテクノロジー企業で構成されており、より堅牢でユーザーフレンドリーなデジタル ID 方法を推進するために力を合わせています。Llave ABANCAのFIDO認証により、このグローバルアライアンスは、銀行が実装したソリューションがオンライン本人確認の最高水準を満たしていることを認定します。

RSA Securityの最高製品およびテクノロジー責任者(Chief Product and Technology Officer)であり、常駐のITプロフェッショナルであるJim Taylor氏は、パス キー、生体認証、その他のパスワード以外の実装を組織全体に導入する際に得た教訓について、IT Brewのインタビューで語りました。 パスワードレスの成功の 2 つの大きな鍵には、多くの選択肢と忍耐力が含まれていたと彼は言いました。

「大きな切り替えはありません。パスワードレスで押すだけで「タダ!」と言える大きな赤いボタンがあればいいのにと思いますよね?そのようには機能しません」とテイラー氏は IT Brew に語った。

会場に出席した70+人の参加者のうち、サムスン電子、NTTドコモ、レノボ、ラオンセキュア、イージステクノロジー、メルカリを代表する6人のFIDOアライアンス取締役会メンバーをお迎えすることができ、この集まりの世界的な関与と戦略的重要性を強調しました。

メインプログラムに先立ち、海外からの参加者は特別なTTAラボツアーに招待され、FIDOやその他の通信技術をサポートする韓国のテストと標準インフラストラクチャの舞台裏を覗くことができました。

技術リーダーシップと地域協力の紹介

この日は、公共部門と民間部門の両方にとって、信頼できる、フィッシング耐性があり、ユーザーフレンドリーな認証ソリューションとしてのパスキーの役割の拡大を反映した、専門家の講演者と教育セッションのエキサイティングなラインナップが特徴でした。

• イベントは、 森山浩一博士 (FIDO Japan WG議長;W3C 諮問委員会メンバー)は、相互運用可能で安全な技術標準を設定する上でのグローバルなコラボレーションの重要性を強調しました。
• FIDO AllianceのシニアテクニカルディレクターであるDavid Turner氏は、パスキーの進歩に関する詳細な最新情報を共有し、開発者サポート、ユーザーエクスペリエンス、より広範な国際的エンゲージメントなど、今後の重点分野を強調しました。
• ITRIのWei-Chung Hwang氏は、パスキーとPKIの思慮深い比較を行い、最新の認証アーキテクチャ内でこの2つがどのように共存し、相互に補完できるかを概説しました。
• プリンシパルソフトウェアエンジニア兼FKWG副議長のKi-Eun Shin氏は、スケーラブルで安全なパスキーシステムを構築する開発者向けに、実装、テスト、UXに関する考慮事項をカバーする実践的なガイドを提供しました。
• AirCuveのDovlet Tekeyev氏は、韓国の最新のゼロトラストガイドライン2.0を紹介し、主要な原則、推奨事項、FIDOソリューションが国のサイバーセキュリティ戦略とどのように連携するかを聴衆に説明しました。
• RaonSecureのバイスプレジデントであるユージン・リー氏は、FIDOベースの生体認証の業界横断的な展開経験を共有し、金融や通信を含む多様な分野への適応性を強調しました。
• サムスン電子のプリンシパルセキュリティエンジニアであるJong-Su Kim氏は、FIDO主導のイノベーションを通じてすべてのユーザーのサイバーセキュリティを簡素化するというサムスンのビジョンを共有し、技術セッションを締めくくりました。

地域の洞察と勢いの共有

この日は、 日本 (メルカリのFJWG共同副会長兼CISOの市原直久)、 中国 (レノボの子会社であるGMRZテクノロジーのFCWG会長兼CEOのヘンリー・チャイ)、 台湾 (FTFフォーラムの議長兼イージステクノロジーの副社長であるカレン・チャン)、 マレーシア (シーチョンシーク、SecuremetricのCTO)、 ベトナム (Simon Trac Do、VinCSS の CEO 兼創設者) は、それぞれパスキー展開に関する現地の最新情報を紹介しています。講演者は、技術的な課題、ユーザーの採用、APAC全体でパスワードレスの未来を加速させるための国境を越えた協力の重要性の高まりを共有しました。

パスワードレスを共に前進させる

FIDO APAC地域メンバーミートアップ&ワークショップは、フィッシングに強いパスワードレス認証を地域全体で推進するという私たちの共同のコミットメントを再確認しました。この活力に満ちた前向きなイベントに貢献してくれたすべての講演者、スポンサー、参加者に感謝します。

APACでの地域を超えたコラボレーションイベントや、オンライン認証をよりシンプルかつ強力にするために、FIDOアライアンスからの最新情報にご期待ください。

カリフォルニア州マウンテンビュー、2025年4月9日 – FIDOアライアンスは、ウェブをより安全でアクセスしやすくするために、パスキーサインインの認知度と採用を高めるための自主的な取り組みである パスキープレッジを、世界中の組織に呼びかけています。

2022 年にパスキーが世界に導入されて以来、何百ものサービス プロバイダーがパスキーがユーザーにもたらす優れたセキュリティと使いやすさを採用してきました。現在、150億を超えるユーザーアカウントに、パスワードに頼る代わりにパスキーを使用するオプションが装備されており、パスワードは簡単に盗まれ、アカウントの乗っ取りや詐欺に再利用されます。パスキーを導入している組織は、より多くのユーザーがはるかに短い時間でサービスにサインインできることを一貫して発見しており、これにより、収益や従業員の生産性が向上し、詐欺やアカウント乗っ取りも減少します。

パスキーの利用をさらに推進・促進するため、毎年5月の第1木曜日を「世界パスキーデー」(旧「世界パスワードデー」)と定めています。企業は、世界パスキーデーに先立ってパスキー誓約を行い、年間を通じて次の目標を達成するために誠実な努力をすることを約束することができます。

• サインイン用のパスキーを積極的に実装しているサービス プロバイダーの場合 – 誓約書に署名してから 1 年以内に、会社のサービスにサインインする際のユーザーによるパスキーの使用を測定的に増やすために講じたアクションを示します。
• サインイン用のパスキーを実装中のサービスプロバイダーの場合 – 誓約書に署名してから 1 年以内に、会社のサービスにサインインするためのパスキーを有効にするために実行された測定可能なアクションを示します。
• FIDOベースの製品やサービスを提供するベンダーの場合 – 誓約書に署名してから1年以内に、自社の製品やサービスの採用を通じてパスキーの使用を目に見える形で増やすために講じた行動を実証してください。
• FIDOベースの製品やサービスを開発するベンダーの場合 – 誓約書に署名してから1年以内に、FIDOが自社の製品を認証し、パスキーサインインをサポートする製品またはサービスを立ち上げるための測定可能な行動を実証します。
• 業界団体および標準化団体の場合 – 誓約書に署名してから 1 年以内に、パスキー サインインの可視性と利点を高めるためのアクションを示します。

誓約を行った組織は、その関与を支援するための資産を受け取り、2025 年 5 月 1 日の世界パスキーデーに予定されている活動や発表に参加する機会が得られます。

サインアップフォームを含む誓約の詳細については、 https://fidoalliance.org/passkeypledge/ をご覧ください。

行動を起こす:組織が誓約を果たすのを支援するためのリソース

FIDO アライアンスには、パスキー Pledgeの組織が行動を起こすためのリソースとベストプラクティスがあります。

• パスキー Pledgeへのコミットメントを外部のコミュニケーションチャネルで共有
• パスキーの展開を計画、実装、拡張するための passkeycentral.org に関するガイダンスを活用する
• FIDOデザインガイドラインの実装、パスキーのロールアウトのためのデータ駆動型UXのベストプラクティス
• 自社製品がコンプライアンス、相互運用性、安全性を証明するために、 製品にFIDO認証 を取得する
• 顧客に代わってケーススタディを公開し、実装の過程とビジネス成果を共有します。組織は info@fidoalliance.org に連絡して、ケーススタディをFIDOアライアンスに直接提出することができます
• FIDO アライアンスのメンバー活動やワーキンググループに参加し、パスキーの最適化と採用をさらに推進
• サインイン オプションとしてパスワードを削除するための計画や手順の実行。

FIDO アライアンスについて

FIDO(Fast IDentity Online)アライアンスは、強力な認証技術間の相互運用性の欠如に対処し、ユーザーが複数のユーザー名とパスワードを作成して記憶する際に直面する問題を解決するために、2012年7月に設立されました。 FIDOアライアンスは、認証におけるパスワード依存を軽減するために、オープンで拡張性と相互運用性のあるシンプルで堅牢な「FIDO認証」を標準化することで、オンラインサービスの本質に変革をもたらします。 FIDO認証はオンラインサービスの利用時に、堅牢でプライバシーが確保された便利な認証を提供します。 詳細については、 www.fidoalliance.org をご覧ください。

連絡先

press@fidoalliance.org

パスキー転送機能は Google パスワード マネージャーに統合されており、Google Play 開発者サービスの最近のリリースには、パスキーのエクスポートおよびインポート ツールへの直接参照が含まれています。これらの開発は、Android プラットフォームでの認証、セキュリティ、使いやすさを強化するための Google の広範な取り組みの一環です。この取り組みは、最近の FIDO Allianceの調査によると、パスキーの企業採用が拡大し続ける中で行われた。

まず良いニュースです。受信トレイへのスパムメールの大量配信に対するGoogleの制限強化は機能しており、マーケティングメッセージであなたを悩ませるために生み出された業界に壊滅的な影響を与えています。ウェブサイト MarTech は、「昨年、業界は「エンゲージメント率(特に開封率とクリック率)が大幅に低下した」と述べています。彼らのメールは、すでにブランドと関わっている人々の受信トレイにのみ表示されます。ほとんどの購読者にとって、電子メールはスパムとしてフラグが立てられています。」