SlideShare ist ein Scribd-Unternehmen logo

FIDOセキュリティ認定の概要と最新状況

FIDO Alliance
FIDO Alliance

TOKYO Seminar 2018 FIDOアライアンス SRWG共同座長、DOCOMO Innovations, Inc. セキュリティスペシャリスト ローレンス・ランドブレード

Software
1 von 15
Downloaden Sie, um offline zu lesen
All Rights Reserved | FIDO Alliance | Copyright 2018 FIDOのセキュリティ要件と 認証器のセキュリティ認定について 2018年12月 ローレンス・ランドブレード FIDOアライアンス SRWG共同座長 DOCOMO Innovations, Inc. セキュリティスペシャリスト
All Rights Reserved | FIDO Alliance | Copyright 20182 FIDOにおいて認証器のセキュリティ認定は重要 認証器ユーザー検証 FIDO認証 認証器は秘密鍵や 生体情報テンプレートを 格納 FIDOは生体情報、PIN、暗号鍵を守るため 認証器のセキュリティ実装に依存している
All Rights Reserved | FIDO Alliance | Copyright 20183 認定は信頼のエコシステムを構築する 信頼 サービス事業者: 消費者が購入した認証器を信頼可能 評価と認定 サービス 事業者 … Authenticator Authenticator 認証器 … FIDOアライアンス 認証器セキュリティ 認定プログラム
All Rights Reserved | FIDO Alliance | Copyright 2018 認定は消費者が購入する最終製品の認証器が対象 • 消費者は認証器のセキュリティの設定・運用が不要 • 消費者は認証器を改造し脆弱化できない 認定は認証器の全機能をカバーする サービス事業者は、認証器のメーカーやモデルが不明でも、 FIDO認定された認証器なら、信頼できる 4 コンシューマー向けデバイスを認定する
All Rights Reserved | FIDO Alliance | Copyright 20185 認証器単体のセキュリティを認定 1. プラットフォーム組み込み 2.TEE内 3. アプリ内 4. セキュリティキー TEE アプリ プラットフォーム 認証器 認証器 プラットフォーム ブラウザ 認証器 プラットフォーム ブラウザ 認証器 アプリ プラットフォーム 認証器はセキュリティのコア • 鍵と生体情報を守る 認証器は小規模で認定実施が可能 認定されている他のコンポーネント上に構築 可能 • TEE(Trusted Execution Environment)、Secure Element… プラットフォーム自体のセキュリティは認定対象、 認証器部分のみが対象USB/ BLE/NFC ブラウザ アプリ ブラウザ アプリ CTAP
All Rights Reserved | FIDO Alliance | Copyright 2018 あらゆるユースケースに対応する総合的なセキュリティレベル ハード・ソフトの要求条件の例 防衛の対象 チップへの故障利用攻撃と 侵入型攻撃に対する保護機能等 L3+ 捕捉されたデバイス (チップレベルの攻撃) 基板のポッティング、パッケージ・オン・パッケージ (PoP)、RAM暗号化等 L3 捕捉されたデバイス (基板レベルの攻撃) デバイスは機密動作環境(ROE: TEE、Secure Element等)が必須、 或は、本質的に機密動作環境のデバイス(USB トークン、スマートカード等) L2+ デバイスのOSの危殆化(きたいか) (ROEで防衛) L2 どんなHWやSWでもよい L1+ デバイスのOSの危殆化(きたいか) (ホワイト・ボックス暗号化で防衛) L1 フィッシング、サーバーのクレデンシャル流失、中間者攻撃 (パスワードよりベター) 6
All Rights Reserved | FIDO Alliance | Copyright 2018 レベル 1 例 • AndroidやiOSアプリ • プラットフォームのビルトイン認証器 • レベル2や3が取得可能な認証器でも、 レベル2や3の認定未取得のもの • パスワードよりベター • FIDOはフィッシングできない、さらに生体 認証は便利 • 鍵や生体情報テンプレートは、ブラウ ザやパスワードマネージャに格納した パスワードと同様に守られている • ホストOS機能を活用 • L1+ は 、 ホ ス ト OS 危 殆 化 ( き た い か)に対抗するホワイト ・ボックス暗 号化や難読化等を追加 7 L1の認定プロセス L1+(策定中) ベンダー デザインの詳細をドキュメント化 ラボ L1ではラボはなし 侵入テスト FIDO デザインのレビュー 管理 管理
All Rights Reserved | FIDO Alliance | Copyright 2018 レベル 2 L1に加えて • OS が 危 殆 化 ( き た い か ) さ れ て も セ キ ュ リ テ ィ が 担 保 で き る TEE 等 の 機密動作環境(ROE)必須 • 外部デバイス(USB、BLE、NFC) は機密動作環境(ROE)と見做す • 大規模攻撃への防衛を提供する • L2+は、セキュリティ要件が加わる 例 • FIDOレベル2の認定Androidスマホ上 アプリ(まだ認定を受けたものはない) • USB、BLE、NFCのセキュリティキー • レ ベ ル 3 可 能 な 認 証 器 だ が レ ベ ル 3 は 未取得のもの(レベル2は取得済み) 8 L2の認定プロセス L2+(策定中) ベンダー デザイン詳細をド キュメント化 ソースコード提出 ラボ デザインのレビュー 侵入テスト、 攻撃能力の計算 FIDO 管理 管理
All Rights Reserved | FIDO Alliance | Copyright 2018 レベル 3 L2に加えて • 物 理 的 に 捕 捉 さ れ た 認 証 器 へ の 防衛機能 • 分 解 、 プ ロ ー ブ 解 析 、 グ リ ッ チ 攻 撃 などの物理的攻撃への防衛機能 • L3+は、チップレベルの物理的攻撃 への防衛機能が追加される。例えば、 チップのモールド開封(decapping) やプローブ解析等への防衛機能 例 • Secure Elementやその他のハードウェア 攻撃を防衛する手段を用いるセキュリティ キー(USB、BLE、NFC) • スマホやプラットフォームの認証器もL3を取 得できなくはないが、難しい 9 L3とL3+の認定プロセス ベンダー デザイン詳細をドキュメント化 ソースコード提出 ラボ デザインのレビュー、侵入テスト、 攻撃能力の計算 FIDO 管理
All Rights Reserved | FIDO Alliance | Copyright 2018 コンパニオン・プログラム コモンクライテリア等、他のプログラムを可能な限り再利用する ▸ 認証器ベンダーの認定取得時間・労力・コストの削減。大きな削減が 可能となる場合もあり コンパニオン・プログラムが全FIDOの要求条件をカバーしている わけではない。認証器のために策定されたものではないため。 ▸ 先端的なコンパニオン・プログラムであっても、ベンダーはFIDOアライアンス で追加部の認定取得が必要となる コンパニオン・プログラム FIDOセキュリティレベル 現状 Common Criteria AVA_VAN 3 L3 運用中 Common Criteria AVA_VAN 4 L3+ 運用中 FIPS L2+, L3 策定中 Global Platform TEE Protection Profile L2+ 策定中 10 認証固有部 コンパニオン・プログラム 全FIDOセキュリティ要求条件 デバイス構造部 暗号化アルゴリズ ム FIDO固有部
All Rights Reserved | FIDO Alliance | Copyright 201811 バイオメトリクス部品認定 第三者機関によって、生体認証部品を実証的に 検 証 し 、 正 し く ユ ー ザ を 識 別 す る こ と を 確 認 す る 業界初の認定プログラム 生体認証のモダリティに関係なく、全てのFIDOの 実装形態に対応
All Rights Reserved | FIDO Alliance | Copyright 201812 FIDO認証ラボ FIDO認定を実施するラボはFIDOアライアンスの認証をパスしなければならない 2018年12月現在 L2 L2, L3, L3+バイオメトリクス 部品認定
All Rights Reserved | FIDO Alliance | Copyright 2018 認定の有効期限、派生認定、差分認定 差分認定 (Delta Certification) • FIDO機能に変更があった場合 • 新しい要求条件での再認定取得の場合 • 脆弱性解決の修正を実施した場合 • セキュリティの再評価が必要となったとき Phone Model1 32GB 認証器 v1 Phone Model1 64GB 認証器 v1 Phone Model2 32GB 認証器 v1 Phone Model3 32GB 認証器 v2 セキュリティ要求条件1.2 セキュリティ要求条件1.3 Phone Model1 64GB 認証器 v1 派生認定 (Derivative certification) • FIDO機能への変更がないこと • それ以外の周辺機能への変更は可能 • 製品のパッケージや製品名の変更は可能 • セキュリティの再評価は不要 認定は失効しない • ある製品に与えられた認定は失効することがない • 新しい要求条件で再認定取得するかはオプション 派生認定 差分認定 派生認定 差分認定 Phone Model1 64GB 認証器 v1.1 (修正版) 差分認定 13
All Rights Reserved | FIDO Alliance | Copyright 2018 要求条件策定とガバナンス 要求条件はセキュリティ要件 WG(作業部会)の 2/3 の 投 票 で 決 定 さ れ る 。 こ の WG は 広 範 な 会 社 から構成されている ▸ 認証器やテクノロジーのベンダー ▸ サービス事業者 ▸ 認定ラボ ▸ 業界団体、政府機関 FIDOアライアンスメンバー企業は本WGに参加可能 関連仕様は公開されておりオープン ▸ Security Requirements(セキュリティ要求条件仕様書) ▸ Allowed Cryptography(許可される暗号方式仕様書) ▸ Allowed Restricted Operating Environments (許可される機密動作環境仕様書) ▸ Metadata Requirements(メタデータ要求条件仕様書) Others… 14
All Rights Reserved | FIDO Alliance | Copyright 201815 Connect with FIDO fidoalliance.org

Empfohlen

Fido認証概要説明
Fido認証概要説明Fido認証概要説明
Fido認証概要説明FIDO Alliance
 
パスワードのいらない世界へ  FIDO認証の最新状況
パスワードのいらない世界へ  FIDO認証の最新状況パスワードのいらない世界へ  FIDO認証の最新状況
パスワードのいらない世界へ  FIDO認証の最新状況FIDO Alliance
 
パスワードのいらない世界へ
パスワードのいらない世界へパスワードのいらない世界へ
パスワードのいらない世界へKeiko Itakura
 
FIDO認証によるパスワードレスログイン実装入門
FIDO認証によるパスワードレスログイン実装入門FIDO認証によるパスワードレスログイン実装入門
FIDO認証によるパスワードレスログイン実装入門Yahoo!デベロッパーネットワーク
 
What are Passkeys.pdf
What are Passkeys.pdfWhat are Passkeys.pdf
What are Passkeys.pdfKeiko Itakura
 
認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜Masaru Kurahayashi
 
分散型IDと検証可能なアイデンティティ技術概要
分散型IDと検証可能なアイデンティティ技術概要分散型IDと検証可能なアイデンティティ技術概要
分散型IDと検証可能なアイデンティティ技術概要Naohiro Fujie
 
FIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へFIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へFIDO Alliance
 

Empfohlen

Fido認証概要説明
Fido認証概要説明Fido認証概要説明
Fido認証概要説明FIDO Alliance
 
パスワードのいらない世界へ  FIDO認証の最新状況
パスワードのいらない世界へ  FIDO認証の最新状況パスワードのいらない世界へ  FIDO認証の最新状況
パスワードのいらない世界へ  FIDO認証の最新状況FIDO Alliance
 
パスワードのいらない世界へ
パスワードのいらない世界へパスワードのいらない世界へ
パスワードのいらない世界へKeiko Itakura
 
FIDO認証によるパスワードレスログイン実装入門
FIDO認証によるパスワードレスログイン実装入門FIDO認証によるパスワードレスログイン実装入門
FIDO認証によるパスワードレスログイン実装入門Yahoo!デベロッパーネットワーク
 
What are Passkeys.pdf
What are Passkeys.pdfWhat are Passkeys.pdf
What are Passkeys.pdfKeiko Itakura
 
認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜Masaru Kurahayashi
 
分散型IDと検証可能なアイデンティティ技術概要
分散型IDと検証可能なアイデンティティ技術概要分散型IDと検証可能なアイデンティティ技術概要
分散型IDと検証可能なアイデンティティ技術概要Naohiro Fujie
 
FIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へFIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へFIDO Alliance
 
次世代 KYC に関する検討状況 - OpenID BizDay #15
次世代 KYC に関する検討状況 - OpenID BizDay #15次世代 KYC に関する検討状況 - OpenID BizDay #15
次世代 KYC に関する検討状況 - OpenID BizDay #15OpenID Foundation Japan
 
認証サービスへのWebAuthnの導入
認証サービスへのWebAuthnの導入認証サービスへのWebAuthnの導入
認証サービスへのWebAuthnの導入TakashiTsukamoto4
 
新しい認証技術FIDOの最新動向
新しい認証技術FIDOの最新動向新しい認証技術FIDOの最新動向
新しい認証技術FIDOの最新動向FIDO Alliance
 
FIDOのキホン
FIDOのキホンFIDOのキホン
FIDOのキホンYahoo!デベロッパーネットワーク
 
Azure ADとIdentity管理
Azure ADとIdentity管理Azure ADとIdentity管理
Azure ADとIdentity管理Naohiro Fujie
 
今更聞けない電子認証入門 -OAuth 2.0/OIDCからFIDOまで- <改定2版>
今更聞けない電子認証入門 -OAuth 2.0/OIDCからFIDOまで- <改定2版>今更聞けない電子認証入門 -OAuth 2.0/OIDCからFIDOまで- <改定2版>
今更聞けない電子認証入門 -OAuth 2.0/OIDCからFIDOまで- <改定2版>Naoto Miyachi
 
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景Tatsuo Kudo
 
FIDO2導入してみたを考えてみた
FIDO2導入してみたを考えてみたFIDO2導入してみたを考えてみた
FIDO2導入してみたを考えてみたFIDO Alliance
 
俺が考えた最強のID連携デザインパターン
俺が考えた最強のID連携デザインパターン俺が考えた最強のID連携デザインパターン
俺が考えた最強のID連携デザインパターンMasaru Kurahayashi
 
アイデンティティ管理の基礎~Fim adfsアーキテクチャ
アイデンティティ管理の基礎~Fim adfsアーキテクチャアイデンティティ管理の基礎~Fim adfsアーキテクチャ
アイデンティティ管理の基礎~Fim adfsアーキテクチャNaohiro Fujie
 
MicrosoftのDID/VC実装概要
MicrosoftのDID/VC実装概要MicrosoftのDID/VC実装概要
MicrosoftのDID/VC実装概要Naohiro Fujie
 
Idcon25 FIDO2 の概要と YubiKey の実装
Idcon25 FIDO2 の概要と YubiKey の実装Idcon25 FIDO2 の概要と YubiKey の実装
Idcon25 FIDO2 の概要と YubiKey の実装Haniyama Wataru
 
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜Masaru Kurahayashi
 
組織におけるアイデンティティ管理の基本的な考え方
組織におけるアイデンティティ管理の基本的な考え方組織におけるアイデンティティ管理の基本的な考え方
組織におけるアイデンティティ管理の基本的な考え方Naohiro Fujie
 
ID管理/認証システム導入の理想と現実
ID管理/認証システム導入の理想と現実ID管理/認証システム導入の理想と現実
ID管理/認証システム導入の理想と現実Naohiro Fujie
 
FIDO2導入とヤフーがめざすパスワードレスの世界
FIDO2導入とヤフーがめざすパスワードレスの世界FIDO2導入とヤフーがめざすパスワードレスの世界
FIDO2導入とヤフーがめざすパスワードレスの世界FIDO Alliance
 
プロトコルから見るID連携
プロトコルから見るID連携プロトコルから見るID連携
プロトコルから見るID連携Naohiro Fujie
 
SSI DIDs VCs 入門資料
SSI DIDs VCs 入門資料SSI DIDs VCs 入門資料
SSI DIDs VCs 入門資料KAYATO SAITO
 
IDA,VC,DID関連仕様 最新情報 - OpenID BizDay #15
IDA,VC,DID関連仕様 最新情報 - OpenID BizDay #15IDA,VC,DID関連仕様 最新情報 - OpenID BizDay #15
IDA,VC,DID関連仕様 最新情報 - OpenID BizDay #15OpenID Foundation Japan
 
OpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Foundation Japan
 
Creating a World without Passwords -- A FIDO UAF Case Study
Creating a World without Passwords -- A FIDO UAF Case StudyCreating a World without Passwords -- A FIDO UAF Case Study
Creating a World without Passwords -- A FIDO UAF Case StudyFIDO Alliance
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Hitachi, Ltd. OSS Solution Center.
 

Weitere ähnliche Inhalte

Was ist angesagt?

次世代 KYC に関する検討状況 - OpenID BizDay #15
次世代 KYC に関する検討状況 - OpenID BizDay #15次世代 KYC に関する検討状況 - OpenID BizDay #15
次世代 KYC に関する検討状況 - OpenID BizDay #15OpenID Foundation Japan
 
認証サービスへのWebAuthnの導入
認証サービスへのWebAuthnの導入認証サービスへのWebAuthnの導入
認証サービスへのWebAuthnの導入TakashiTsukamoto4
 
新しい認証技術FIDOの最新動向
新しい認証技術FIDOの最新動向新しい認証技術FIDOの最新動向
新しい認証技術FIDOの最新動向FIDO Alliance
 
Azure ADとIdentity管理
Azure ADとIdentity管理Azure ADとIdentity管理
Azure ADとIdentity管理Naohiro Fujie
 
今更聞けない電子認証入門 -OAuth 2.0/OIDCからFIDOまで- <改定2版>
今更聞けない電子認証入門 -OAuth 2.0/OIDCからFIDOまで- <改定2版>今更聞けない電子認証入門 -OAuth 2.0/OIDCからFIDOまで- <改定2版>
今更聞けない電子認証入門 -OAuth 2.0/OIDCからFIDOまで- <改定2版>Naoto Miyachi
 
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景Tatsuo Kudo
 
FIDO2導入してみたを考えてみた
FIDO2導入してみたを考えてみたFIDO2導入してみたを考えてみた
FIDO2導入してみたを考えてみたFIDO Alliance
 
俺が考えた最強のID連携デザインパターン
俺が考えた最強のID連携デザインパターン俺が考えた最強のID連携デザインパターン
俺が考えた最強のID連携デザインパターンMasaru Kurahayashi
 
アイデンティティ管理の基礎~Fim adfsアーキテクチャ
アイデンティティ管理の基礎~Fim adfsアーキテクチャアイデンティティ管理の基礎~Fim adfsアーキテクチャ
アイデンティティ管理の基礎~Fim adfsアーキテクチャNaohiro Fujie
 
MicrosoftのDID/VC実装概要
MicrosoftのDID/VC実装概要MicrosoftのDID/VC実装概要
MicrosoftのDID/VC実装概要Naohiro Fujie
 
Idcon25 FIDO2 の概要と YubiKey の実装
Idcon25 FIDO2 の概要と YubiKey の実装Idcon25 FIDO2 の概要と YubiKey の実装
Idcon25 FIDO2 の概要と YubiKey の実装Haniyama Wataru
 
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜Masaru Kurahayashi
 
組織におけるアイデンティティ管理の基本的な考え方
組織におけるアイデンティティ管理の基本的な考え方組織におけるアイデンティティ管理の基本的な考え方
組織におけるアイデンティティ管理の基本的な考え方Naohiro Fujie
 
ID管理/認証システム導入の理想と現実
ID管理/認証システム導入の理想と現実ID管理/認証システム導入の理想と現実
ID管理/認証システム導入の理想と現実Naohiro Fujie
 
FIDO2導入とヤフーがめざすパスワードレスの世界
FIDO2導入とヤフーがめざすパスワードレスの世界FIDO2導入とヤフーがめざすパスワードレスの世界
FIDO2導入とヤフーがめざすパスワードレスの世界FIDO Alliance
 
プロトコルから見るID連携
プロトコルから見るID連携プロトコルから見るID連携
プロトコルから見るID連携Naohiro Fujie
 
SSI DIDs VCs 入門資料
SSI DIDs VCs 入門資料SSI DIDs VCs 入門資料
SSI DIDs VCs 入門資料KAYATO SAITO
 
IDA,VC,DID関連仕様 最新情報 - OpenID BizDay #15
IDA,VC,DID関連仕様 最新情報 - OpenID BizDay #15IDA,VC,DID関連仕様 最新情報 - OpenID BizDay #15
IDA,VC,DID関連仕様 最新情報 - OpenID BizDay #15OpenID Foundation Japan
 
OpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Foundation Japan
 

Was ist angesagt? (20)

次世代 KYC に関する検討状況 - OpenID BizDay #15
次世代 KYC に関する検討状況 - OpenID BizDay #15次世代 KYC に関する検討状況 - OpenID BizDay #15
次世代 KYC に関する検討状況 - OpenID BizDay #15
 
認証サービスへのWebAuthnの導入
認証サービスへのWebAuthnの導入認証サービスへのWebAuthnの導入
認証サービスへのWebAuthnの導入
 
新しい認証技術FIDOの最新動向
新しい認証技術FIDOの最新動向新しい認証技術FIDOの最新動向
新しい認証技術FIDOの最新動向
 
FIDOのキホン
FIDOのキホンFIDOのキホン
FIDOのキホン
 
Azure ADとIdentity管理
Azure ADとIdentity管理Azure ADとIdentity管理
Azure ADとIdentity管理
 
今更聞けない電子認証入門 -OAuth 2.0/OIDCからFIDOまで- <改定2版>
今更聞けない電子認証入門 -OAuth 2.0/OIDCからFIDOまで- <改定2版>今更聞けない電子認証入門 -OAuth 2.0/OIDCからFIDOまで- <改定2版>
今更聞けない電子認証入門 -OAuth 2.0/OIDCからFIDOまで- <改定2版>
 
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景
 
FIDO2導入してみたを考えてみた
FIDO2導入してみたを考えてみたFIDO2導入してみたを考えてみた
FIDO2導入してみたを考えてみた
 
俺が考えた最強のID連携デザインパターン
俺が考えた最強のID連携デザインパターン俺が考えた最強のID連携デザインパターン
俺が考えた最強のID連携デザインパターン
 
アイデンティティ管理の基礎~Fim adfsアーキテクチャ
アイデンティティ管理の基礎~Fim adfsアーキテクチャアイデンティティ管理の基礎~Fim adfsアーキテクチャ
アイデンティティ管理の基礎~Fim adfsアーキテクチャ
 
MicrosoftのDID/VC実装概要
MicrosoftのDID/VC実装概要MicrosoftのDID/VC実装概要
MicrosoftのDID/VC実装概要
 
Idcon25 FIDO2 の概要と YubiKey の実装
Idcon25 FIDO2 の概要と YubiKey の実装Idcon25 FIDO2 の概要と YubiKey の実装
Idcon25 FIDO2 の概要と YubiKey の実装
 
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
 
組織におけるアイデンティティ管理の基本的な考え方
組織におけるアイデンティティ管理の基本的な考え方組織におけるアイデンティティ管理の基本的な考え方
組織におけるアイデンティティ管理の基本的な考え方
 
ID管理/認証システム導入の理想と現実
ID管理/認証システム導入の理想と現実ID管理/認証システム導入の理想と現実
ID管理/認証システム導入の理想と現実
 
FIDO2導入とヤフーがめざすパスワードレスの世界
FIDO2導入とヤフーがめざすパスワードレスの世界FIDO2導入とヤフーがめざすパスワードレスの世界
FIDO2導入とヤフーがめざすパスワードレスの世界
 
プロトコルから見るID連携
プロトコルから見るID連携プロトコルから見るID連携
プロトコルから見るID連携
 
SSI DIDs VCs 入門資料
SSI DIDs VCs 入門資料SSI DIDs VCs 入門資料
SSI DIDs VCs 入門資料
 
IDA,VC,DID関連仕様 最新情報 - OpenID BizDay #15
IDA,VC,DID関連仕様 最新情報 - OpenID BizDay #15IDA,VC,DID関連仕様 最新情報 - OpenID BizDay #15
IDA,VC,DID関連仕様 最新情報 - OpenID BizDay #15
 
OpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンス
 

Ähnlich wie FIDOセキュリティ認定の概要と最新状況

Creating a World without Passwords -- A FIDO UAF Case Study
Creating a World without Passwords -- A FIDO UAF Case StudyCreating a World without Passwords -- A FIDO UAF Case Study
Creating a World without Passwords -- A FIDO UAF Case StudyFIDO Alliance
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Hitachi, Ltd. OSS Solution Center.
 
クラウド利用者として考えるサステナビリティ
クラウド利用者として考えるサステナビリティクラウド利用者として考えるサステナビリティ
クラウド利用者として考えるサステナビリティHiroki Moriya
 
Cld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システCld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システTech Summit 2016
 
Cld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システCld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システTech Summit 2016
 
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxmkoda
 
Nii open forum_053019_dr.gomi
Nii open forum_053019_dr.gomiNii open forum_053019_dr.gomi
Nii open forum_053019_dr.gomiFIDO Alliance
 
Idcon gomi-052715-pub
Idcon gomi-052715-pubIdcon gomi-052715-pub
Idcon gomi-052715-pubHidehito Gomi
 
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜Yahoo!デベロッパーネットワーク
 
FIDO2によるパスワードレス認証が導く新しい認証の世界
FIDO2によるパスワードレス認証が導く新しい認証の世界FIDO2によるパスワードレス認証が導く新しい認証の世界
FIDO2によるパスワードレス認証が導く新しい認証の世界Kazuhito Shibata
 
セキュリティの知識を共有する セキュリティパターン(2018/6/15)
セキュリティの知識を共有する セキュリティパターン(2018/6/15) セキュリティの知識を共有する セキュリティパターン(2018/6/15)
セキュリティの知識を共有する セキュリティパターン(2018/6/15)Nobukazu Yoshioka
 
Get ( 持続 ID ) 関数の罠
Get ( 持続 ID ) 関数の罠Get ( 持続 ID ) 関数の罠
Get ( 持続 ID ) 関数の罠Atsushi Matsuo
 
FIWARE の ID 管理、アクセス制御、API 管理
FIWARE の ID 管理、アクセス制御、API 管理FIWARE の ID 管理、アクセス制御、API 管理
FIWARE の ID 管理、アクセス制御、API 管理fisuda
 
FIDO認証で「あんしんをもっと便利に」
FIDO認証で「あんしんをもっと便利に」FIDO認証で「あんしんをもっと便利に」
FIDO認証で「あんしんをもっと便利に」LINE Corporation
 
2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshare2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshareShinichiro Kawano
 
トラストレベルに応じた認証と認可のポリシー
トラストレベルに応じた認証と認可のポリシートラストレベルに応じた認証と認可のポリシー
トラストレベルに応じた認証と認可のポリシーYusuke Kondo
 
[CB16] スマートフォン制御のIoTデバイスにおけるBLE認証設計の課題:Gogoroスマートスクターの分析を通じて by Chen-yu Dai [...
[CB16] スマートフォン制御のIoTデバイスにおけるBLE認証設計の課題:Gogoroスマートスクターの分析を通じて by Chen-yu Dai [...[CB16] スマートフォン制御のIoTデバイスにおけるBLE認証設計の課題:Gogoroスマートスクターの分析を通じて by Chen-yu Dai [...
[CB16] スマートフォン制御のIoTデバイスにおけるBLE認証設計の課題:Gogoroスマートスクターの分析を通じて by Chen-yu Dai [...CODE BLUE
 

Ähnlich wie FIDOセキュリティ認定の概要と最新状況 (20)

Creating a World without Passwords -- A FIDO UAF Case Study
Creating a World without Passwords -- A FIDO UAF Case StudyCreating a World without Passwords -- A FIDO UAF Case Study
Creating a World without Passwords -- A FIDO UAF Case Study
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
 
Iddance2 fido
Iddance2 fidoIddance2 fido
Iddance2 fido
 
クラウド利用者として考えるサステナビリティ
クラウド利用者として考えるサステナビリティクラウド利用者として考えるサステナビリティ
クラウド利用者として考えるサステナビリティ
 
Cld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システCld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システ
 
Cld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システCld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システ
 
指紋認証と「FIDO」について
指紋認証と「FIDO」について指紋認証と「FIDO」について
指紋認証と「FIDO」について
 
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
 
Nii open forum_053019_dr.gomi
Nii open forum_053019_dr.gomiNii open forum_053019_dr.gomi
Nii open forum_053019_dr.gomi
 
Idcon gomi-052715-pub
Idcon gomi-052715-pubIdcon gomi-052715-pub
Idcon gomi-052715-pub
 
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
 
FIDO2によるパスワードレス認証が導く新しい認証の世界
FIDO2によるパスワードレス認証が導く新しい認証の世界FIDO2によるパスワードレス認証が導く新しい認証の世界
FIDO2によるパスワードレス認証が導く新しい認証の世界
 
20200219-iot@loft#8_security_of_smarthome
20200219-iot@loft#8_security_of_smarthome20200219-iot@loft#8_security_of_smarthome
20200219-iot@loft#8_security_of_smarthome
 
セキュリティの知識を共有する セキュリティパターン(2018/6/15)
セキュリティの知識を共有する セキュリティパターン(2018/6/15) セキュリティの知識を共有する セキュリティパターン(2018/6/15)
セキュリティの知識を共有する セキュリティパターン(2018/6/15)
 
Get ( 持続 ID ) 関数の罠
Get ( 持続 ID ) 関数の罠Get ( 持続 ID ) 関数の罠
Get ( 持続 ID ) 関数の罠
 
FIWARE の ID 管理、アクセス制御、API 管理
FIWARE の ID 管理、アクセス制御、API 管理FIWARE の ID 管理、アクセス制御、API 管理
FIWARE の ID 管理、アクセス制御、API 管理
 
FIDO認証で「あんしんをもっと便利に」
FIDO認証で「あんしんをもっと便利に」FIDO認証で「あんしんをもっと便利に」
FIDO認証で「あんしんをもっと便利に」
 
2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshare2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshare
 
トラストレベルに応じた認証と認可のポリシー
トラストレベルに応じた認証と認可のポリシートラストレベルに応じた認証と認可のポリシー
トラストレベルに応じた認証と認可のポリシー
 
[CB16] スマートフォン制御のIoTデバイスにおけるBLE認証設計の課題:Gogoroスマートスクターの分析を通じて by Chen-yu Dai [...
[CB16] スマートフォン制御のIoTデバイスにおけるBLE認証設計の課題:Gogoroスマートスクターの分析を通じて by Chen-yu Dai [...[CB16] スマートフォン制御のIoTデバイスにおけるBLE認証設計の課題:Gogoroスマートスクターの分析を通じて by Chen-yu Dai [...
[CB16] スマートフォン制御のIoTデバイスにおけるBLE認証設計の課題:Gogoroスマートスクターの分析を通じて by Chen-yu Dai [...
 

Mehr von FIDO Alliance

FIDO Alliance: Welcome and FIDO Update.pptx
FIDO Alliance: Welcome and FIDO Update.pptxFIDO Alliance: Welcome and FIDO Update.pptx
FIDO Alliance: Welcome and FIDO Update.pptxFIDO Alliance
 
IBM: Hey FIDO, Meet Passkey!.pptx
IBM: Hey FIDO, Meet Passkey!.pptxIBM: Hey FIDO, Meet Passkey!.pptx
IBM: Hey FIDO, Meet Passkey!.pptxFIDO Alliance
 
OTIS: Our Journey to Passwordless.pptx
OTIS: Our Journey to Passwordless.pptxOTIS: Our Journey to Passwordless.pptx
OTIS: Our Journey to Passwordless.pptxFIDO Alliance
 
FIDO Workshop-Demo Breakdown.pptx
FIDO Workshop-Demo Breakdown.pptxFIDO Workshop-Demo Breakdown.pptx
FIDO Workshop-Demo Breakdown.pptxFIDO Alliance
 
CISA: #MoreThanAPassword.pptx
CISA: #MoreThanAPassword.pptxCISA: #MoreThanAPassword.pptx
CISA: #MoreThanAPassword.pptxFIDO Alliance
 
FIDO Authentication: Unphishable MFA for All
FIDO Authentication: Unphishable MFA for AllFIDO Authentication: Unphishable MFA for All
FIDO Authentication: Unphishable MFA for AllFIDO Alliance
 
Introducing FIDO Device Onboard (FDO)
Introducing FIDO Device Onboard (FDO)Introducing FIDO Device Onboard (FDO)
Introducing FIDO Device Onboard (FDO)FIDO Alliance
 
FIDO Alliance Webinar: Catch Up WIth FIDO
FIDO Alliance Webinar: Catch Up WIth FIDOFIDO Alliance Webinar: Catch Up WIth FIDO
FIDO Alliance Webinar: Catch Up WIth FIDOFIDO Alliance
 
Consumer Attitudes Toward Strong Authentication & LoginWithFIDO.com
Consumer Attitudes Toward Strong Authentication & LoginWithFIDO.comConsumer Attitudes Toward Strong Authentication & LoginWithFIDO.com
Consumer Attitudes Toward Strong Authentication & LoginWithFIDO.comFIDO Alliance
 
日立PBI技術を用いた「デバイスフリーリモートワーク」構想
日立PBI技術を用いた「デバイスフリーリモートワーク」構想日立PBI技術を用いた「デバイスフリーリモートワーク」構想
日立PBI技術を用いた「デバイスフリーリモートワーク」構想FIDO Alliance
 
Introduction to FIDO and eIDAS Services
Introduction to FIDO and eIDAS ServicesIntroduction to FIDO and eIDAS Services
Introduction to FIDO and eIDAS ServicesFIDO Alliance
 
富士通の生体認証ソリューションと提案
富士通の生体認証ソリューションと提案富士通の生体認証ソリューションと提案
富士通の生体認証ソリューションと提案FIDO Alliance
 
テレワーク本格導入におけるID認証考察
テレワーク本格導入におけるID認証考察テレワーク本格導入におけるID認証考察
テレワーク本格導入におけるID認証考察FIDO Alliance
 
「開けゴマ!」からYubiKeyへ
「開けゴマ!」からYubiKeyへ「開けゴマ!」からYubiKeyへ
「開けゴマ!」からYubiKeyへFIDO Alliance
 
YubiOnが目指す未来
YubiOnが目指す未来YubiOnが目指す未来
YubiOnが目指す未来FIDO Alliance
 
中小企業によるFIDO導入事例
中小企業によるFIDO導入事例中小企業によるFIDO導入事例
中小企業によるFIDO導入事例FIDO Alliance
 
VPNはもう卒業!FIDO2認証で次世代リモートアクセス
VPNはもう卒業!FIDO2認証で次世代リモートアクセスVPNはもう卒業!FIDO2認証で次世代リモートアクセス
VPNはもう卒業!FIDO2認証で次世代リモートアクセスFIDO Alliance
 
CloudGate UNOで安全便利なパスワードレスリモートワーク
CloudGate UNOで安全便利なパスワードレスリモートワークCloudGate UNOで安全便利なパスワードレスリモートワーク
CloudGate UNOで安全便利なパスワードレスリモートワークFIDO Alliance
 
数々の実績:迅速なFIDO認証の展開をサポート
数々の実績:迅速なFIDO認証の展開をサポート数々の実績:迅速なFIDO認証の展開をサポート
数々の実績:迅速なFIDO認証の展開をサポートFIDO Alliance
 
FIDO Alliance Research: Consumer Attitudes Towards Authentication
FIDO Alliance Research: Consumer Attitudes Towards AuthenticationFIDO Alliance Research: Consumer Attitudes Towards Authentication
FIDO Alliance Research: Consumer Attitudes Towards AuthenticationFIDO Alliance
 

Mehr von FIDO Alliance (20)

FIDO Alliance: Welcome and FIDO Update.pptx
FIDO Alliance: Welcome and FIDO Update.pptxFIDO Alliance: Welcome and FIDO Update.pptx
FIDO Alliance: Welcome and FIDO Update.pptx
 
IBM: Hey FIDO, Meet Passkey!.pptx
IBM: Hey FIDO, Meet Passkey!.pptxIBM: Hey FIDO, Meet Passkey!.pptx
IBM: Hey FIDO, Meet Passkey!.pptx
 
OTIS: Our Journey to Passwordless.pptx
OTIS: Our Journey to Passwordless.pptxOTIS: Our Journey to Passwordless.pptx
OTIS: Our Journey to Passwordless.pptx
 
FIDO Workshop-Demo Breakdown.pptx
FIDO Workshop-Demo Breakdown.pptxFIDO Workshop-Demo Breakdown.pptx
FIDO Workshop-Demo Breakdown.pptx
 
CISA: #MoreThanAPassword.pptx
CISA: #MoreThanAPassword.pptxCISA: #MoreThanAPassword.pptx
CISA: #MoreThanAPassword.pptx
 
FIDO Authentication: Unphishable MFA for All
FIDO Authentication: Unphishable MFA for AllFIDO Authentication: Unphishable MFA for All
FIDO Authentication: Unphishable MFA for All
 
Introducing FIDO Device Onboard (FDO)
Introducing FIDO Device Onboard (FDO)Introducing FIDO Device Onboard (FDO)
Introducing FIDO Device Onboard (FDO)
 
FIDO Alliance Webinar: Catch Up WIth FIDO
FIDO Alliance Webinar: Catch Up WIth FIDOFIDO Alliance Webinar: Catch Up WIth FIDO
FIDO Alliance Webinar: Catch Up WIth FIDO
 
Consumer Attitudes Toward Strong Authentication & LoginWithFIDO.com
Consumer Attitudes Toward Strong Authentication & LoginWithFIDO.comConsumer Attitudes Toward Strong Authentication & LoginWithFIDO.com
Consumer Attitudes Toward Strong Authentication & LoginWithFIDO.com
 
日立PBI技術を用いた「デバイスフリーリモートワーク」構想
日立PBI技術を用いた「デバイスフリーリモートワーク」構想日立PBI技術を用いた「デバイスフリーリモートワーク」構想
日立PBI技術を用いた「デバイスフリーリモートワーク」構想
 
Introduction to FIDO and eIDAS Services
Introduction to FIDO and eIDAS ServicesIntroduction to FIDO and eIDAS Services
Introduction to FIDO and eIDAS Services
 
富士通の生体認証ソリューションと提案
富士通の生体認証ソリューションと提案富士通の生体認証ソリューションと提案
富士通の生体認証ソリューションと提案
 
テレワーク本格導入におけるID認証考察
テレワーク本格導入におけるID認証考察テレワーク本格導入におけるID認証考察
テレワーク本格導入におけるID認証考察
 
「開けゴマ!」からYubiKeyへ
「開けゴマ!」からYubiKeyへ「開けゴマ!」からYubiKeyへ
「開けゴマ!」からYubiKeyへ
 
YubiOnが目指す未来
YubiOnが目指す未来YubiOnが目指す未来
YubiOnが目指す未来
 
中小企業によるFIDO導入事例
中小企業によるFIDO導入事例中小企業によるFIDO導入事例
中小企業によるFIDO導入事例
 
VPNはもう卒業!FIDO2認証で次世代リモートアクセス
VPNはもう卒業!FIDO2認証で次世代リモートアクセスVPNはもう卒業!FIDO2認証で次世代リモートアクセス
VPNはもう卒業!FIDO2認証で次世代リモートアクセス
 
CloudGate UNOで安全便利なパスワードレスリモートワーク
CloudGate UNOで安全便利なパスワードレスリモートワークCloudGate UNOで安全便利なパスワードレスリモートワーク
CloudGate UNOで安全便利なパスワードレスリモートワーク
 
数々の実績:迅速なFIDO認証の展開をサポート
数々の実績:迅速なFIDO認証の展開をサポート数々の実績:迅速なFIDO認証の展開をサポート
数々の実績:迅速なFIDO認証の展開をサポート
 
FIDO Alliance Research: Consumer Attitudes Towards Authentication
FIDO Alliance Research: Consumer Attitudes Towards AuthenticationFIDO Alliance Research: Consumer Attitudes Towards Authentication
FIDO Alliance Research: Consumer Attitudes Towards Authentication
 

FIDOセキュリティ認定の概要と最新状況

  • 1. All Rights Reserved | FIDO Alliance | Copyright 2018 FIDOのセキュリティ要件と 認証器のセキュリティ認定について 2018年12月 ローレンス・ランドブレード FIDOアライアンス SRWG共同座長 DOCOMO Innovations, Inc. セキュリティスペシャリスト
  • 2. All Rights Reserved | FIDO Alliance | Copyright 20182 FIDOにおいて認証器のセキュリティ認定は重要 認証器ユーザー検証 FIDO認証 認証器は秘密鍵や 生体情報テンプレートを 格納 FIDOは生体情報、PIN、暗号鍵を守るため 認証器のセキュリティ実装に依存している
  • 3. All Rights Reserved | FIDO Alliance | Copyright 20183 認定は信頼のエコシステムを構築する 信頼 サービス事業者: 消費者が購入した認証器を信頼可能 評価と認定 サービス 事業者 … Authenticator Authenticator 認証器 … FIDOアライアンス 認証器セキュリティ 認定プログラム
  • 4. All Rights Reserved | FIDO Alliance | Copyright 2018 認定は消費者が購入する最終製品の認証器が対象 • 消費者は認証器のセキュリティの設定・運用が不要 • 消費者は認証器を改造し脆弱化できない 認定は認証器の全機能をカバーする サービス事業者は、認証器のメーカーやモデルが不明でも、 FIDO認定された認証器なら、信頼できる 4 コンシューマー向けデバイスを認定する
  • 5. All Rights Reserved | FIDO Alliance | Copyright 20185 認証器単体のセキュリティを認定 1. プラットフォーム組み込み 2.TEE内 3. アプリ内 4. セキュリティキー TEE アプリ プラットフォーム 認証器 認証器 プラットフォーム ブラウザ 認証器 プラットフォーム ブラウザ 認証器 アプリ プラットフォーム 認証器はセキュリティのコア • 鍵と生体情報を守る 認証器は小規模で認定実施が可能 認定されている他のコンポーネント上に構築 可能 • TEE(Trusted Execution Environment)、Secure Element… プラットフォーム自体のセキュリティは認定対象、 認証器部分のみが対象USB/ BLE/NFC ブラウザ アプリ ブラウザ アプリ CTAP
  • 6. All Rights Reserved | FIDO Alliance | Copyright 2018 あらゆるユースケースに対応する総合的なセキュリティレベル ハード・ソフトの要求条件の例 防衛の対象 チップへの故障利用攻撃と 侵入型攻撃に対する保護機能等 L3+ 捕捉されたデバイス (チップレベルの攻撃) 基板のポッティング、パッケージ・オン・パッケージ (PoP)、RAM暗号化等 L3 捕捉されたデバイス (基板レベルの攻撃) デバイスは機密動作環境(ROE: TEE、Secure Element等)が必須、 或は、本質的に機密動作環境のデバイス(USB トークン、スマートカード等) L2+ デバイスのOSの危殆化(きたいか) (ROEで防衛) L2 どんなHWやSWでもよい L1+ デバイスのOSの危殆化(きたいか) (ホワイト・ボックス暗号化で防衛) L1 フィッシング、サーバーのクレデンシャル流失、中間者攻撃 (パスワードよりベター) 6
  • 7. All Rights Reserved | FIDO Alliance | Copyright 2018 レベル 1 例 • AndroidやiOSアプリ • プラットフォームのビルトイン認証器 • レベル2や3が取得可能な認証器でも、 レベル2や3の認定未取得のもの • パスワードよりベター • FIDOはフィッシングできない、さらに生体 認証は便利 • 鍵や生体情報テンプレートは、ブラウ ザやパスワードマネージャに格納した パスワードと同様に守られている • ホストOS機能を活用 • L1+ は 、 ホ ス ト OS 危 殆 化 ( き た い か)に対抗するホワイト ・ボックス暗 号化や難読化等を追加 7 L1の認定プロセス L1+(策定中) ベンダー デザインの詳細をドキュメント化 ラボ L1ではラボはなし 侵入テスト FIDO デザインのレビュー 管理 管理
  • 8. All Rights Reserved | FIDO Alliance | Copyright 2018 レベル 2 L1に加えて • OS が 危 殆 化 ( き た い か ) さ れ て も セ キ ュ リ テ ィ が 担 保 で き る TEE 等 の 機密動作環境(ROE)必須 • 外部デバイス(USB、BLE、NFC) は機密動作環境(ROE)と見做す • 大規模攻撃への防衛を提供する • L2+は、セキュリティ要件が加わる 例 • FIDOレベル2の認定Androidスマホ上 アプリ(まだ認定を受けたものはない) • USB、BLE、NFCのセキュリティキー • レ ベ ル 3 可 能 な 認 証 器 だ が レ ベ ル 3 は 未取得のもの(レベル2は取得済み) 8 L2の認定プロセス L2+(策定中) ベンダー デザイン詳細をド キュメント化 ソースコード提出 ラボ デザインのレビュー 侵入テスト、 攻撃能力の計算 FIDO 管理 管理
  • 9. All Rights Reserved | FIDO Alliance | Copyright 2018 レベル 3 L2に加えて • 物 理 的 に 捕 捉 さ れ た 認 証 器 へ の 防衛機能 • 分 解 、 プ ロ ー ブ 解 析 、 グ リ ッ チ 攻 撃 などの物理的攻撃への防衛機能 • L3+は、チップレベルの物理的攻撃 への防衛機能が追加される。例えば、 チップのモールド開封(decapping) やプローブ解析等への防衛機能 例 • Secure Elementやその他のハードウェア 攻撃を防衛する手段を用いるセキュリティ キー(USB、BLE、NFC) • スマホやプラットフォームの認証器もL3を取 得できなくはないが、難しい 9 L3とL3+の認定プロセス ベンダー デザイン詳細をドキュメント化 ソースコード提出 ラボ デザインのレビュー、侵入テスト、 攻撃能力の計算 FIDO 管理
  • 10. All Rights Reserved | FIDO Alliance | Copyright 2018 コンパニオン・プログラム コモンクライテリア等、他のプログラムを可能な限り再利用する ▸ 認証器ベンダーの認定取得時間・労力・コストの削減。大きな削減が 可能となる場合もあり コンパニオン・プログラムが全FIDOの要求条件をカバーしている わけではない。認証器のために策定されたものではないため。 ▸ 先端的なコンパニオン・プログラムであっても、ベンダーはFIDOアライアンス で追加部の認定取得が必要となる コンパニオン・プログラム FIDOセキュリティレベル 現状 Common Criteria AVA_VAN 3 L3 運用中 Common Criteria AVA_VAN 4 L3+ 運用中 FIPS L2+, L3 策定中 Global Platform TEE Protection Profile L2+ 策定中 10 認証固有部 コンパニオン・プログラム 全FIDOセキュリティ要求条件 デバイス構造部 暗号化アルゴリズ ム FIDO固有部
  • 11. All Rights Reserved | FIDO Alliance | Copyright 201811 バイオメトリクス部品認定 第三者機関によって、生体認証部品を実証的に 検 証 し 、 正 し く ユ ー ザ を 識 別 す る こ と を 確 認 す る 業界初の認定プログラム 生体認証のモダリティに関係なく、全てのFIDOの 実装形態に対応
  • 12. All Rights Reserved | FIDO Alliance | Copyright 201812 FIDO認証ラボ FIDO認定を実施するラボはFIDOアライアンスの認証をパスしなければならない 2018年12月現在 L2 L2, L3, L3+バイオメトリクス 部品認定
  • 13. All Rights Reserved | FIDO Alliance | Copyright 2018 認定の有効期限、派生認定、差分認定 差分認定 (Delta Certification) • FIDO機能に変更があった場合 • 新しい要求条件での再認定取得の場合 • 脆弱性解決の修正を実施した場合 • セキュリティの再評価が必要となったとき Phone Model1 32GB 認証器 v1 Phone Model1 64GB 認証器 v1 Phone Model2 32GB 認証器 v1 Phone Model3 32GB 認証器 v2 セキュリティ要求条件1.2 セキュリティ要求条件1.3 Phone Model1 64GB 認証器 v1 派生認定 (Derivative certification) • FIDO機能への変更がないこと • それ以外の周辺機能への変更は可能 • 製品のパッケージや製品名の変更は可能 • セキュリティの再評価は不要 認定は失効しない • ある製品に与えられた認定は失効することがない • 新しい要求条件で再認定取得するかはオプション 派生認定 差分認定 派生認定 差分認定 Phone Model1 64GB 認証器 v1.1 (修正版) 差分認定 13
  • 14. All Rights Reserved | FIDO Alliance | Copyright 2018 要求条件策定とガバナンス 要求条件はセキュリティ要件 WG(作業部会)の 2/3 の 投 票 で 決 定 さ れ る 。 こ の WG は 広 範 な 会 社 から構成されている ▸ 認証器やテクノロジーのベンダー ▸ サービス事業者 ▸ 認定ラボ ▸ 業界団体、政府機関 FIDOアライアンスメンバー企業は本WGに参加可能 関連仕様は公開されておりオープン ▸ Security Requirements(セキュリティ要求条件仕様書) ▸ Allowed Cryptography(許可される暗号方式仕様書) ▸ Allowed Restricted Operating Environments (許可される機密動作環境仕様書) ▸ Metadata Requirements(メタデータ要求条件仕様書) Others… 14
  • 15. All Rights Reserved | FIDO Alliance | Copyright 201815 Connect with FIDO fidoalliance.org