FIDOが東京でセミナーを開催、パスキーについてデジタル庁の責任者が講演を実施

パスワードレスの認証基盤を推進する団体FIDO Allianceが主催する技術解説セミナー「第10回FIDO東京セミナー」が2023年12月8日に都内で開催された。今回はその中で行われたデジタル庁のアイデンティティ関連の責任者である林達也氏のセッションを紹介する。林氏は「デジタル庁 アイデンティティユニット／アイデンティティアーキテクト責任者」という肩書を持ち、デジタル庁における認証やIDに関するシステム化の責任者といったところだろう。

●参考：セミナーのアジェンダ：10th FIDO Tokyo Seminar

「社会受容」という言葉に官公庁らしさが現れている

キーワードは「社会受容」

キーノートセッションのタイトルは「デジタル社会におけるアイデンティティ関連技術とその社会受容について」という固いものだが、単に技術解説や事例に留まらず、アイデンティティに関する課題についても言及しているところがベンダーやユーザーとの違いだろう。

セッションを行う林氏

この写真に写り込んでいる右側の男性はFIDO AllianceのエグゼクティブディレクターであるAndrew Shikiar氏で、左側の男性はGoogleのID製品のプロダクトマネージャーでパネルディスカッションにも参加したChristiaan Brand氏だ。

デジタル庁のアイデンティティ関連部署について解説

林氏が所属するアイデンティティ関連の部署は2022年5月に設立された組織であり、アイデンティティとプライバシーの2つのサブユニットで構成されている10名程度の組織であるという。

そしてこのイベントのキーノートとして登壇した背景についても解説。

どうしてデジタル庁がキーノートを行うのか？ を説明

デジタルアイデンティティが重要な要素であることは間違いないが技術だけでは達成できない、デプロイと社会受容が重要という部分に、単に技術を使えば良いという視点ではなくそれをいかにして社会に受け入れてもらうか、持続させるかが重要であると考えていることがわかる。

また次のスライドではパスキーを使うこと自体が目的ではなく、パスワードをなくすことは過程でしかないこと、変化には段階が必要であることも説明しており、社会に受け入れられるためには段階的に進める必要があることを示している。

パスキー自体は目的ではなく手段

デジタルアイデンティティで特に重要な実装例となるデジタルウォレットについても、業界動向については注視していることを説明し、EUでの動向、標準化の状況、The Linux Foundationの下部組織であるOpenWallet Foundationについてもリサーチしていることを説明、デジタル庁が技術と標準について大きな関心を持っていることを語った。

ヨーロッパやアメリカの状況、標準化、LF配下の新しい組織についても関心を持っている

また主催者であるFIDO Allianceにも気を遣って「FIDO的ポイント」というスライドではFIDO2／パスキーがデジタルアイデンティティの前提条件となる可能性が高いとしながらも、スマートフォンというプラットフォームにおいてデジタルウォレットが自然に使えるようなツールとなる必要があると説明。ここでも社会受容という言葉を「自然に使える」という言葉に置き換えて説明している。老若男女を問わずデジタルアイデンティティがあらゆるツール、プラットフォームで摩擦なく導入されていく必要があることを強調した。

FIDOからみたデジタルアイデンティティに関する要点の整理

「社会受容」「自然に使える」はユーザー体験というスライドでも説明されており、単に使いやすいだけではなく安全でプライバシーにも配慮したユーザー体験を提供する必要があると語り、その際に高度な専門性を持ってユーザー体験を設計できる人材が少ないことから、チームとしてシステムを設計、構築する必要があると説明した。

ユーザー体験にも使いやすさと安全性、プライバシー保護が重要

またIT的な視点では「ベストプラクティスが必要」と説明。ここではパスキーが良い技術であることは認めつつもベンダーによってさまざまな実装があること、運用についてはまだ知識と経験が不足していることを指摘。特にパスキーのアカウントリカバリーについては成熟していないと説明。専門家たちがその経験を共有する例があることにも触れてはいるが、その情報が文書化されて共有できる形にする必要があると語った。

パスキーと鍵管理について

このスライドではパスキーとパスキーが使う秘密鍵、公開鍵についての運用にも触れている。秘密鍵の運用、相互互換性、使いやすさなどについて説明し、多様な使われ方、実装の仕方を網羅した上で、使いやすいパスワードレスの認証基盤となれるか？ を問うている。これについてはユーザーレベルの使いやすさと、ベンダーやプラットフォーム側の使いやすさなどを混同せずに、整理した上で評価すべきだろうと感じた。林氏のプレゼンテーションでは敢えてそこを切り分けずに説明されていることが気になった。

FIDO APAC Summitを概説するセッションも

林氏のプレゼンテーションの後にFIDO APAC Summitに参加したNTTドコモの久保氏、メルカリの市原氏が登壇して、サミットの概要を解説するセッションも行われた。

久保氏（左）と市原氏（右）がAPACでのパスキー導入の状況を解説

また国内サービス事業者におけるFIDO認証の課題と展望に関するパネルディスカッションも行われ、KDDIの澤田秀樹氏がパスキーの問題についても説明を行い、携帯端末を入れ替える際にクラウド経由でデジタルIDが持ち越せるようになった部分の要望についても説明を行った。

auにおけるデジタルIDフィッシングの問題を整理

セミナーでは台湾のAudrey Tang氏の動画やTikTokのプロダクトマネージャーやGoogle、Amazonのエンジニアがセッションを行うなど、多彩なメンバーによるさまざまな角度からの解説が行われた。

デジタルアイデンティティの社会受容が重要というデジタル庁のプレゼンテーションにもあるように、今やパスワードは必要悪であり、それを超えていく技術であるパスキーがすでに存在する以上、民間企業は従業員やユーザーにパスキーを使わせることに積極性を示して欲しいと感じさせられたイベントとなった。