00:06
はい、みなさんこんにちは。きーすことくわはらです。本日もやっていきましょう。
きーすのエンジニア雑談チャンネル。この番組では、ウェブ業界やエンジニアリング、いろんな技術についての情報を、雑談形式で発信していきたいと思います。
で、今日は、タイトルにあります、FIDOというものを眺めながら、雑談をしようと思っています。
僕には大恥ずかしながら、セキュリティマーカーは本当に初心者で、このFIDOというワードすら、昨日初めて知ったんですね。
Past Identity Onlineの略です。FIDO。F-I-D-Oというものがあります。
何かというと、インターネット上でのより安全な認証方法を提供してくれるための標準規格になります。
パスワードに依存する従来の認証方法に変わるものとして、生体認証、指紋認証とか、顔の認証とか、あとは目の網膜とか、その辺の認証をするものを出し変わった気がします。
などなどから、セキュリティやピンなど、ユーザーが持つデバイスを利用した、いわゆる二要素認証、トゥーファクターオーセンティケーションとか、多要素認証、マルチファクターオーセンティケーションなどを実現してくれる企画というものです。
FIDEの目的というのは、利便性を維持しつつも、オンライン認証でセキュリティを強化することというのを目的として作られているものです。
長らくパスワードがずっと使われてきたんですけど、セキュリティの観点からパスワードレスの方がやっぱり強いよねというところと、本当に強固で利便性の高いものというのを策定普及というのを目指して作られているものです。
一応、2012年にFIDEのバージョン1.0との仕様がリリースされて、2017年に2.0との仕様がリリースされたらしいですね。
これの大きな特徴としては、生体認証の方法というのは制限しません。生体認証はサーバーにも保存せず、クライアント側ですね、僕ら側の方で生体認証の装置内に保存するなどとかあります。
僕ら自身が認証の媒体だったりするというのはあるので、それはそれで強い。人間は一つとして同じものはないので、それを認証に使うというのは確かに正しいような発想としてはいいよねと思います。
生体認証装置の認定というのは、一応FIDEアライアンスという団体がありまして、こちらで行っていて、認定済みの生体認証装置の型番とかの情報はそのアライアンスのサーバーに登録されたりする。
FIDEアライアンスという企画を作っている団体というのは、大手IT企業から多数参加している業界団体なことですね。
詳しくはどんな人たちかというと、GoogleとかMicrosoft、Appleなど多くのテクノロジー企業が参加している民間のものらしいですね。
また、これらの企業はFIDE企画とかを自社の製品やサービスにどんどん統合したり導入するというところで、ユーザーのための具体な方法とかを実装したり提供している。
FIDE企画というのはオンラインセキュリティの新しい標準として、今もすごい急速に普及しているらしく、パスワード依存のリスクというのをどんどん減らしていって、サイバー攻撃に対する耐性を高めることに貢献をしていますよと言われているものです。
03:12
主な特徴としてはさっきも言いましたけども、具体的に言うとパスワードレス認証とかローカル認証、また二要素もしくは多要素認証というものですね。
パスワードレスが本当に大きくて、実は僕パスワードを覚えている側の人間で、本当はパスワードレスの方が強固だよねっていうのは確かにあるので、いくつかは生態認証とか生態情報をセキュリティキーとして使ったりはしています。
一応僕の中でそのプロトコルを決めていて、このサービスとかこのシステムについてはこのパスワードなっていうようなプロトコルだけを僕は頭の中覚えてるんですよね。
パスワード自体はもう覚えてないです。ただそれ通りにやれば確かにいけるよねって言って、だいたいそれで今までもう数年生きててるので、ある意味僕はそういうことをやってるんですけど、まあマシンとか機械に頼ったほうが本当はいいかもです。
あとはローカル情報とかはユーザーのデバイス上ですね、そこだけに保存してあって、それで処理して生態認証とかデータをサーバーに送信しませんみたいなところですね。
二要素認証とか多要素認証はもう皆さんご存知だし何度もやっているものだと思いますけど、所有するデバイスのセキュリティキーとかと生態情報などなどの両方を使う、もしくは複数のものを使って認証を行うところで段階挟んで強めているというか種類を増やして強化をしているというところですね。
具体としてはオンラインパンキングとかショッピングとか企業のいろんな社内システムとかのセキュリティーに使ったりとかもその辺はご想像通りだと思います。
まあまあそんなものの裏にそもそもファイドっていう企画があったの知ったんですね。
いやー本当、不勉強でちょっと恥ずかしくなりました。
現実のパスワードレス認証って言うとだいたい生態認証技術というのがあまりにも強い。指紋と顔と目の交際のパターンとかを使ってする。
あとは声紋もありました。確かに声の認証もありますね。
僕まだ声紋認証をやったことがないんで試しにやってみたいかもありますけどね。
意図的に声変えてみたり自分で声高くしたり低くしたりとかでどこまで認証いけるかって感じはしますけど。
喉の声帯っていうのがその場で変えることはできないので声高くしようが低くしようが声真似しようが実は通るような気もしますけどね。
あとはセキュリティキーで物理のセキュリティキーとかもありますよね。
指キーとかあとUSBポートまたはNFCを通じてそのデバイスを接続して認証を行うハードウェアデバイスとかっていうものも一応まだある。
僕ほぼほぼ使ってないですけど今も使われてるんですかね。指キーは確かに一時期話題になったんですけどあまり効かなくなったなっていう認識ですね。
あとはソフトウェアベースのセキュリティキーですね。
あとはモバイルデバイスの連携も書かれているんですけどスマホ認証ですね。
プッシュ通知とかそのワンタイムパスワードOTPとかあとQRコードスキャンなどで認証を行うとかですね。
確かにワンタイムはいいかもしれないですね。
最後は暗号キーに基づく認証です。公開あり暗号技術とかありますよね。
秘密書きと公開書きで通信しながら身元の確認をすると。
06:02
行動生体認証というものもあるらしくてキーストローグダイナミクスと歩行分析っていう2つのものがあって
前者キーストローグダイナミクス。ユーザーのタイピングパターンとか速度を分析して認証すると。
なるほど。これ面白いですね。タイピングパターン。
いやでも確かにあるかもしれないのでそれは面白いですね。
でもう一個歩行分析でモバイルデバイスのセンサーとかを使ってユーザーの歩行パターンに基づいて認証しましょうと。
歩き方も確かにありますね。癖っていうのが。結局それ個人の癖とかになると思いますけど。
いや確かにね。いろんなものがありますけどこの辺がパスワードレス認証と言われるものですね。
それと似たものがやっぱりローカル認証もありますけどローカル認証と生体認証って結構似てますね。
でも実際にローカルで歩くことに変わりはないんでね。指紋、顔、色彩、性紋とかですね。
ジェスチャーベースの認証ですね。さっきの歩くのも含めていろんなもののジェスチャーそのもので個人の特定のパターンから認証するというメカニズムを使うとか。
はい。あとは暗号化はセキュアエンクレーブっていうものですね。
データ暗号化もまあよくやりますけどもセキュアエンクレーブ。
どこかにiPhoneのセキュアエンクレーブっていうものがあってそれのように生体認証データ含むセンシティブな情報っていうのを保管するため
物理的に確立された安全な領域っていうところを使ったりもすると。
一応セキュアエンクレーブはさっきも言った通りで
iPhone、iPad、iPod touch、Mac、Apple TV、Apple Watch、HomePodなどのそれ専用のセキュアサブシステムのことで
Appleプラットフォームを使っている人しか関係ないものになりますよっていうところです。
詳しくはセキュアエンクレーブっていうのがApple公式の記事とかあるんでその辺見てもらえれば。
さておきそんなものもたくさんあって
今もやっぱ認証技術とかセキュリティ技術ってのはどんどん進歩しているし
ちゃんとそういう裏にいろんなものの仕様とか企画があるっていうのを昨日知って
面白かったですね。
最近やっぱりPassKeyがすごく話題になっているしこれがもっともっと広まってほしいなとか
ちょっとずつサイトを利用したりとかいろんなシステムを使っているときにPassKey登録しますかって聞かれるようになったんで
まあ少しずつですね各社を導入され始めているんだろうなってところでそれは期待はしたいですね。
はいというところで
はい今回はこんなところで終わっていきたいと思います。
いつも聞いてくださり本当にありがとうございます。
ではまた次回の主力でお会いしましょう。
バイバイ。
