連載 [第1回] :
  FIDO APAC Summit 2023レポート

FIDO AllianceのAPACサミット開催、ベトナムのITの進化に瞠目!

2023年9月25日(月)
松下 康之 - Yasuyuki Matsushita
FIDO Allianceが主催し、ベトナムの政府機関やSIが強力にサポートしたFIDO APAC Summit 2023が開催された。

FIDO Allianceが主催するカンファレンスFIDO APAC Summit 2023が、2023年8月28日から30日の3日間、ベトナムのリゾートホテルで開催された。今回は全体を概観するサマリーとしてPre-Conference Workshopとして実施されたセッションと展示ブースを中心に紹介する。

FIDO AllianceのFIDOは「Fast ID Online」の略で、ユーザーIDとパスワードによる認証はモダンなITシステムには不十分であるとして、より安全な認証システムの仕様を決めるためのオープンな非営利団体だ。「Simpler Stronger Authentication」というフレーズをキャッチフレーズとしている。

今回のサミットの副題が「Connecting for a Safer Digital Signature / Passwordless Authentication The APAC Region」となっていることからもわかるとおり、パスワードを使わない安全な認証方法を広めることがFIDO Allianceの目的だ。FIDO Allianceがアジアで初めて開催したのが今回のAPAC Summit 2023であり、ベトナム南部の都市ニャチャンの島に存在するVinpearl Nha Trangという巨大な総合リゾートを会場に約2日間に渡って行われた。参加者は全体で約250名、約8割以上がベトナムからの参加者で、それ以外はタイ、シンガポール、中国、台湾、韓国、マレーシア、日本、オーストラリア等から参加、そしてFIDO Allianceのスタッフが北米から参加しているというのが概略だ。

カンファレンス会場のエントランスに掲げられていた大看板

カンファレンス会場のエントランスに掲げられていた大看板

この看板にはYubicoなどのスポンサー名が確認できるが、何よりもベトナムの情報通信省(MIC)とベトナムの大手ITベンダーVinCSSがトップのスポンサーとして開催に協力していることが目を惹く。VinCSSは多くの場面でスポンサーとして存在感を示しており、サミット参加者に手渡されるお土産もVinCSSが製造販売する指紋認証デバイスだ。

VinCSS製の指紋認証デバイス。USB接続だけではなくBluetooth、NFC接続にも対応

VinCSS製の指紋認証デバイス。USB接続だけではなくBluetooth、NFC接続にも対応

Pre-Conference Workshop

サミットは28日がソーシャルイベントということでゴルフトーナメントが行われ、参加者を接待する機会となったが、セッションそのものは2日目の8月29日に行われたPre-Conference Workshopから始まった。最初がYubicoのAlex Wilson氏によるFIDO Authentiationの歴史、続いてGoogleのPasskeyの入門セッション、そして3番目にFDO(FIDO Device Onboard)というIoT向けの認証システムの解説をVinCSSのエグゼクティブが行った。認証というとどうしても人間のコンピュータに対する認証を想定してしまうが、IoTに代表されるネットワークに接続されるデバイスにおける認証も大きな課題であり、3番目のセッションのようなトピックが用意されているわけだ。

Yubicoによる認証の歴史の解説

Authenticationの歴史を辿るセッションを行うYubicoのAlex Wilson氏

Authenticationの歴史を辿るセッションを行うYubicoのAlex Wilson氏

Wilson氏はYubicoの生い立ちからパスワードに始まるコンピュータの認証の進化、フィッシングの増加などを解説し、現代のアタッカーはシステムをハックするのではなくログインすることでシステムへの侵入を行うという例を示して、認証における安全性確保が非常に大事になっていることを強調した。

記事を例にアタッカーがログインすることがシステム侵入の第一歩と説明

記事を例にアタッカーがログインすることがシステム侵入の第一歩と説明

GoogleによるPasskey入門

その後、Passkey 101というPasskeyに関する解説セッションではGoogleのアドボケイトであるEiji Kitamura氏が配信で登壇し解説を行った。

日本から配信で登壇したGoogleのKitamura氏

日本から配信で登壇したGoogleのKitamura氏

このワークショップはKitamura氏が2022年の12月にJSconf JPで行ったPasskeyの解説セッションの短縮版だったため、理解を深めるためには以下のJSconf JPの動画を参照されたい。

●動画:Passkey and how it works on Google ecosystem

ここではPasskeyの基本動作、公開鍵暗号方式を使っていること、ユーザー体験をなるべく変えずにパスワードによる認証から移行させる工夫などを解説している。

Passkeyが安全な理由として公開鍵を挙げ、フィッシングへの耐久性も上がると説明

Passkeyが安全な理由として公開鍵を挙げ、フィッシングへの耐久性も上がると説明

Passkeyが安全なのは公開鍵を使い、デバイスのハードウェアに認証情報が保存されるからと説明。他にもデバイス間での移行がスムーズであることにも触れた。ユーザー体験を損なわないことを優先してシステム開発が行われていることを示していると言えるだろう。またJavaScriptを使ってクレデンシャルを生成するコードも見せて解説を行ったが、今回の参加者にそれが響いたかはよくわからなかったが、PasskeyはGoogle、Apple、Microsoftが協力して開発を行っており、パスワードを置き換えるシステムの中では最有力候補というのはまちがいないだろう。

JSのコードを使ってどうやってクレデンシャルを生成するのかを解説

JSのコードを使ってどうやってクレデンシャルを生成するのかを解説

VinCSSによるIoT向け認証FDOの解説

そして最後のワークショップとして行われたのが「FIDO Device Onboarding 101」というセッションで、講師役はNguyen Phi Kha氏が務めた。Phi Kha氏の肩書きはDirector Of Research Developmentであり、本イベントの最大のスポンサーであるVinCSSのエグゼクティブだ。

Phi Kha氏がIoTデバイスの認証問題を解説

Phi Kha氏がIoTデバイスの認証問題を解説

ここではIoTデバイスが工場からリセラー経由で家庭に届くという想定のもと、現状のシステムでは設定に手間がかかる、デフォルトのユーザーネーム/パスワードのままでは安全ではない、メーカーごとに違う認証システムを使っているなどの欠点を挙げて説明。その上でFIDO Allianceが推進するFIDO Device Onboard(FDO)を解説した。

FDOの概要。リセラーで電源オンしてからがFDOの領域

FDOの概要。リセラーで電源オンしてからがFDOの領域

このシステム全体を概観したのが次のスライドだ。

FDOの全体像。デバイスに加えてRendezvous Serverが必要

FDOの全体像。デバイスに加えてRendezvous Serverが必要

ここではデバイス自体がFIDOの仕様を実装しなければならないが、加えてデバイスとエンドユーザーを結びつけるRendezvous Server(ランデブーサーバー)が必要になる。デバイスメーカーにおいては自社での認証サービスを運用するということを想定すると、ユーザーが使い始めた後はメーカーが持つサーバーやサービスに紐付ける必要がある。ランデブーサーバーは、その前段階のリセラーでの利用とユーザーでの利用を切り替えてメーカーが持つサーバーやサービスに中継を行う役割を担うものだ。

デバイスの出荷後、リセラーの手を経てユーザーの利用が始まるまでのフロー

デバイスの出荷後、リセラーの手を経てユーザーの利用が始まるまでのフロー

またデバイス側の負荷を減らす意味もあるのだろう、オーナーシップバウチャーと呼ばれるクレデンシャルの情報をチェーン状に繋げて、常に一意のキー情報だけがアクティブになり、それを切り替えていくことで複数のリセラーが商流に絡んだとしても最終的に誰が使うのかが特定される仕組みのようだ。これは家庭内のルーターやセキュリティカメラから侵入されるという最近のインシデントの傾向を見据えた仕組みであり、時流に合わせた取り組みである点に注目したい。

スポンサーブース

ここからはメインのカンファレンスルームの前に設置されていたスポンサーブースを簡単に紹介しよう。

VinCSSのブース。常に社員と参加者で溢れていた元気のあるブース

VinCSSのブース。常に社員と参加者で溢れていた元気のあるブース

VinCSSは社員も多数参加しており、非常に活気のあるブースを展開していた。

YubicoもUSB指紋認証デバイスのパイオニアとして存在感を示していた

YubicoもUSB指紋認証デバイスのパイオニアとして存在感を示していた

YubicoはFIDO Allianceの中でもFIDO2やWebAuthn、U2F(Universal 2nd Factor)などにも貢献している有力なFIDOメンバーだ。

フランスの国防関連企業Thalesも参加していた

フランスの国防関連企業Thalesも参加していた

Thalesは大手電機グループとしてさまざまな国防関連設備やセキュリティシステムを世界各国で販売しているが、ベトナムで開催されるAPACのカンファレンスに参加していたのは驚きだった。

カンファレンスの公式メディアも大活躍。朝からインタビュー

カンファレンスの公式メディアも大活躍。朝からインタビュー

セッションの配信はないようだが、各セッションやブース、前日のゴルフトーナメントでのドローンを使った撮影まで含めて動画のクリップ撮影は常に行われており、2日目夜、最終日を飾るGala Partyではサミットの振り返り動画が見事に編集され、パーティ会場で再生されるという早業を見せた。動画の撮影・編集についてはベトナムの企業の技術力の高さを感じることができた。また今回の会場となったVinpearl Nha Trangはホテルのチェックインにタブレットで顔画像を撮影し、そのデータがその後のレストラン入場などの認証に使われるシステムが稼働しており、顔認証でどのレストランでも宿泊客であることの確認が即座に行われていた。こんなところにも原始的なカードキーではなく生体認証がユーザーとホスト側にとっても大きな利点があることを感じることができた。ベトナムのユーザーにとってはむしろこれが当たり前なのかもしれない。日本が遅れていることを感じる瞬間だった。

この後、セッションの中で目立っていた政府系機関でのFIDO Alliance関連の活動、NTTドコモとメルカリのセッション、ドコモとメルカリの登壇者に対するインタビューなどをお届けする予定だ。

著者
松下 康之 - Yasuyuki Matsushita
フリーランスライター&マーケティングスペシャリスト。DEC、マイクロソフト、アドビ、レノボなどでのマーケティング、ビジネス誌の編集委員などを経てICT関連のトピックを追うライターに。オープンソースとセキュリティが最近の興味の中心。

連載バックナンバー

セキュリティイベント
第4回

FIDO APAC Summit 2023、FIDOを支援する各国政府の動きを紹介

2023/10/5
FIDO APAC Summit 2023より、FIDOの活動を支援する各国政府機関の動きを紹介する。
セキュリティイベント
第3回

FIDO APAC Summit 2023、ドコモとメルカリの登壇者にインタビュー

2023/10/2
FIDO APAC Summit 2023において登壇したドコモとメルカリの識者に、海外と比較してデジタルIDに消極さが目立つ日本の政府について意見を聞いた。
セキュリティイベント
第2回

FIDO APAC Summit 2023からドコモとメルカリのセッションを紹介

2023/9/28
FIDO Allianceが主催するAPAC Summitから、ドコモとメルカリのセッションを紹介する。

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています