FIDO AllianceのAPACサミット開催、ベトナムのITの進化に瞠目!
FIDO Allianceが主催するカンファレンスFIDO APAC Summit 2023が、2023年8月28日から30日の3日間、ベトナムのリゾートホテルで開催された。今回は全体を概観するサマリーとしてPre-Conference Workshopとして実施されたセッションと展示ブースを中心に紹介する。
FIDO AllianceのFIDOは「Fast ID Online」の略で、ユーザーIDとパスワードによる認証はモダンなITシステムには不十分であるとして、より安全な認証システムの仕様を決めるためのオープンな非営利団体だ。「Simpler Stronger Authentication」というフレーズをキャッチフレーズとしている。
今回のサミットの副題が「Connecting for a Safer Digital Signature / Passwordless Authentication The APAC Region」となっていることからもわかるとおり、パスワードを使わない安全な認証方法を広めることがFIDO Allianceの目的だ。FIDO Allianceがアジアで初めて開催したのが今回のAPAC Summit 2023であり、ベトナム南部の都市ニャチャンの島に存在するVinpearl Nha Trangという巨大な総合リゾートを会場に約2日間に渡って行われた。参加者は全体で約250名、約8割以上がベトナムからの参加者で、それ以外はタイ、シンガポール、中国、台湾、韓国、マレーシア、日本、オーストラリア等から参加、そしてFIDO Allianceのスタッフが北米から参加しているというのが概略だ。
この看板にはYubicoなどのスポンサー名が確認できるが、何よりもベトナムの情報通信省(MIC)とベトナムの大手ITベンダーVinCSSがトップのスポンサーとして開催に協力していることが目を惹く。VinCSSは多くの場面でスポンサーとして存在感を示しており、サミット参加者に手渡されるお土産もVinCSSが製造販売する指紋認証デバイスだ。
Pre-Conference Workshop
サミットは28日がソーシャルイベントということでゴルフトーナメントが行われ、参加者を接待する機会となったが、セッションそのものは2日目の8月29日に行われたPre-Conference Workshopから始まった。最初がYubicoのAlex Wilson氏によるFIDO Authentiationの歴史、続いてGoogleのPasskeyの入門セッション、そして3番目にFDO(FIDO Device Onboard)というIoT向けの認証システムの解説をVinCSSのエグゼクティブが行った。認証というとどうしても人間のコンピュータに対する認証を想定してしまうが、IoTに代表されるネットワークに接続されるデバイスにおける認証も大きな課題であり、3番目のセッションのようなトピックが用意されているわけだ。
Yubicoによる認証の歴史の解説
Wilson氏はYubicoの生い立ちからパスワードに始まるコンピュータの認証の進化、フィッシングの増加などを解説し、現代のアタッカーはシステムをハックするのではなくログインすることでシステムへの侵入を行うという例を示して、認証における安全性確保が非常に大事になっていることを強調した。
GoogleによるPasskey入門
その後、Passkey 101というPasskeyに関する解説セッションではGoogleのアドボケイトであるEiji Kitamura氏が配信で登壇し解説を行った。
このワークショップはKitamura氏が2022年の12月にJSconf JPで行ったPasskeyの解説セッションの短縮版だったため、理解を深めるためには以下のJSconf JPの動画を参照されたい。
●動画:Passkey and how it works on Google ecosystem
ここではPasskeyの基本動作、公開鍵暗号方式を使っていること、ユーザー体験をなるべく変えずにパスワードによる認証から移行させる工夫などを解説している。
Passkeyが安全なのは公開鍵を使い、デバイスのハードウェアに認証情報が保存されるからと説明。他にもデバイス間での移行がスムーズであることにも触れた。ユーザー体験を損なわないことを優先してシステム開発が行われていることを示していると言えるだろう。またJavaScriptを使ってクレデンシャルを生成するコードも見せて解説を行ったが、今回の参加者にそれが響いたかはよくわからなかったが、PasskeyはGoogle、Apple、Microsoftが協力して開発を行っており、パスワードを置き換えるシステムの中では最有力候補というのはまちがいないだろう。
VinCSSによるIoT向け認証FDOの解説
そして最後のワークショップとして行われたのが「FIDO Device Onboarding 101」というセッションで、講師役はNguyen Phi Kha氏が務めた。Phi Kha氏の肩書きはDirector Of Research Developmentであり、本イベントの最大のスポンサーであるVinCSSのエグゼクティブだ。
ここではIoTデバイスが工場からリセラー経由で家庭に届くという想定のもと、現状のシステムでは設定に手間がかかる、デフォルトのユーザーネーム/パスワードのままでは安全ではない、メーカーごとに違う認証システムを使っているなどの欠点を挙げて説明。その上でFIDO Allianceが推進するFIDO Device Onboard(FDO)を解説した。
このシステム全体を概観したのが次のスライドだ。
ここではデバイス自体がFIDOの仕様を実装しなければならないが、加えてデバイスとエンドユーザーを結びつけるRendezvous Server(ランデブーサーバー)が必要になる。デバイスメーカーにおいては自社での認証サービスを運用するということを想定すると、ユーザーが使い始めた後はメーカーが持つサーバーやサービスに紐付ける必要がある。ランデブーサーバーは、その前段階のリセラーでの利用とユーザーでの利用を切り替えてメーカーが持つサーバーやサービスに中継を行う役割を担うものだ。
またデバイス側の負荷を減らす意味もあるのだろう、オーナーシップバウチャーと呼ばれるクレデンシャルの情報をチェーン状に繋げて、常に一意のキー情報だけがアクティブになり、それを切り替えていくことで複数のリセラーが商流に絡んだとしても最終的に誰が使うのかが特定される仕組みのようだ。これは家庭内のルーターやセキュリティカメラから侵入されるという最近のインシデントの傾向を見据えた仕組みであり、時流に合わせた取り組みである点に注目したい。
スポンサーブース
ここからはメインのカンファレンスルームの前に設置されていたスポンサーブースを簡単に紹介しよう。
VinCSSは社員も多数参加しており、非常に活気のあるブースを展開していた。
YubicoはFIDO Allianceの中でもFIDO2やWebAuthn、U2F(Universal 2nd Factor)などにも貢献している有力なFIDOメンバーだ。
Thalesは大手電機グループとしてさまざまな国防関連設備やセキュリティシステムを世界各国で販売しているが、ベトナムで開催されるAPACのカンファレンスに参加していたのは驚きだった。
セッションの配信はないようだが、各セッションやブース、前日のゴルフトーナメントでのドローンを使った撮影まで含めて動画のクリップ撮影は常に行われており、2日目夜、最終日を飾るGala Partyではサミットの振り返り動画が見事に編集され、パーティ会場で再生されるという早業を見せた。動画の撮影・編集についてはベトナムの企業の技術力の高さを感じることができた。また今回の会場となったVinpearl Nha Trangはホテルのチェックインにタブレットで顔画像を撮影し、そのデータがその後のレストラン入場などの認証に使われるシステムが稼働しており、顔認証でどのレストランでも宿泊客であることの確認が即座に行われていた。こんなところにも原始的なカードキーではなく生体認証がユーザーとホスト側にとっても大きな利点があることを感じることができた。ベトナムのユーザーにとってはむしろこれが当たり前なのかもしれない。日本が遅れていることを感じる瞬間だった。
この後、セッションの中で目立っていた政府系機関でのFIDO Alliance関連の活動、NTTドコモとメルカリのセッション、ドコモとメルカリの登壇者に対するインタビューなどをお届けする予定だ。
連載バックナンバー
Think ITメルマガ会員登録受付中
全文検索エンジンによるおすすめ記事
- 写真で見るAuthenticate 2023、ショーケースに参加したスポンサー企業のブースを紹介
- Authenticate 2023からIoTデバイスのゼロタッチオンボーディングを可能にするFDOを紹介
- FIDO APAC Summit 2023、FIDOを支援する各国政府の動きを紹介
- FIDO APAC Summit 2024開催、マレーシア政府のコミットメントを感じるキーノートなどを紹介
- FIDO APAC Summit 2023からドコモとメルカリのセッションを紹介
- FIDO APAC Summit 2023、ドコモとメルカリの登壇者にインタビュー
- FIDOが東京でセミナーを開催、パスキーについてデジタル庁の責任者が講演を実施
- FIDO Alliance主催のAuthenticate 2023開催、キーノートからパスキーの現状とハッキングの具体例を紹介
- Authenticate 2023から、導入事例を紹介したISRのセッションをインタビューとともに紹介
- パスキーでサインインの安全性と利便性の課題を同時に解決