認証規格の開発は、ゆっくりと流れる曲がりくねった川のようなものです。 新しいマイルストーンに到達するためには、しばしば何年もの献身的な作業が必要となりますが、それがセキュリティエコシステム全体の糧となり、企業全体のデジタルワークフローの安全性を支えているのです。 この川の恩恵はエンドユーザーには見えないことが多いのですが、CISOや開発者は毎日のように川の健全性について考えています。
Yubicoは彼らのそばにいて、川を監視し、Web認証API(WebAuthn)とClient to Authenticator Protocol(クライアント・トゥ・オーセンティケーター・プロトコル)(CTAP2)の両方を包含する(CTAP2)の両方を包含するFIDO2のような近代的な認証規格の開発において、主導的な役割を果たしています。 川のほとりに立っているCISOは、ただ水が流れていくのを見ているだけのつもりはありません。 理想的なのは、数年先のスタンダードの方向性を予測しながら、その先を見据えていることです。
今日は、Yubicoの2人のエキスパート、シニアアーキテクトのジョン・ブラッドリー(JB)とスタンダード担当プログラムマネージャーのジョン・フォンタナ(JF)と一緒に、2021年以降のスタンダードの方向性について議論します。 彼らは川岸に常駐し、新しい基準の開発やインターネットの安全を守るために「未来に向かって働く」のです。
Q:2021年以降の認証規格の注目点は何ですか?
JF:Webやオンライン・コンピューティングの進化をサポートするために、最終的に統一されるかもしれない規格が次々と登場しています。 これらの進化により、使いやすさと強固なセキュリティの両立がようやく実現します。 WebAuthn、FIDO、OpenIDはそれぞれ異なる規格ですが、この傘の下に集まることで、より洗練された企業システムや新たなイノベーションを提供することができます。明日には起こらないかもしれないが、これらはそこに向かっているのです。
ここではWebAuthnが現在の目玉です。 第2弾の仕様は、今月初めの4月8日に決定されました。 ワーキンググループは、新しいクレデンシャルタイプ、証明書に関連するデータを保存する機能、iframeの使用制限など、いくつかの機能を追加しました。W3CのWebAuthn仕様のFIDO対応版であるCTAP(Client to Authenticator Protocol=(クライアント・トゥ・オーセンティケーター・プロトコル)2.1は、今年の夏の終わりに予定されており、FIDO2に対応したブラウザやオペレーティングシステムを使用した、パスワードレス、二要素、または多要素認証を定義するものです。
JB:標準が開発されて受け入れられてから、実際に市場で採用されるまでにはタイムラグがあるので、期待を抑えなければなりません。 大手ハイテク企業は、標準規格が承認された後、追いつくのに1年かかるのが常ですが、私たちは、標準規格がどのようなものになるかを形作るために、かなり前から貢献したいと考えています。
現在、私たちの認証基準の仕事を形成している最大のトレンドの一つは、リモートワークとハイブリッドワークだと思います。 具体的には、現場にいない人を安全にオンボーディングしてクレデンシャルを取得するといったことをどのように解決し、それをどのようにして大規模に実現するかということです。 もし、企業がこのように、人に会わずに人を乗せることができ、それを安全に行うことができれば、リモートワークが爆発的に増加している現在、大企業のコストを大幅に削減することができるでしょう。
規格採用を促進するトレンドは他にもあります。 つい先日、AppleがWebAuthnを採用し、MacOS 11とiOS 14.3でサポートしたことで、企業や消費者向けのアプリケーションでの採用の可能性が広がりました。
Q:この規格の将来の応用例にはどんなものがありますか?
JF:決済の分野では、多くの標準化作業が行われています。なぜなら、金融機関は、決済プロセスを中断させるようなリダイレクトのない、Webブラウザ内の統合されたフローを求めているからです。 2021年後半には本格的な導入が始まるかもしれません。 3Dセキュアの規格(オープンスタンダードではない「Verified by Visa」(Visaで認証)ツールを思い出してください)も進化しており、このフローを一般的なWebブラウザやプラットフォームに簡単に統合できるようになっています。
JB:バイオメトリクス(生体認証)も検討しています。 CTAP 2.1規格は、生体認証の流れをより良くし、より一貫したユーザーエクスペリエンスを提供するもので、これはYubicoにとっても重要な開発分野の一つです。 これらは、第一世代のFIDO2プラットフォームやデバイスでは十分に考えられていなかったことです。
Q: 公共部門のような歴史的に遅れていた業種についてはどうでしょうか? 今年、政府機関はPIVやCACを超えて、FIDOやWebAuthnのような最新の認証規格に移行しようとしていると思いますか?
JF:規格に関しては、私たちは常に「未来に向かって仕事をしている」ので、自分たちが知っていること、あるいは知っていると思われること、そして来年や再来年にやってくることを想定して開発しています。 米国の政府機関は導入が遅れていて、いまだにPIVやCACの規格、物理的なリーダー、スマートカードに頼っているかもしれませんが、パンデミックやリモートワークへの移行により、多くの政府機関で危機感が高まっています。 現在のツール(PIV/CAC)に加えて、より良いツール、特に代替品ではなく、より最新のアーキテクチャと機能を備えたツールが必要です。 米国の機関が何ヶ月も停止している間に、ヨーロッパの機関がリモートプロセスをより早く、より少ない労力で稼動させるのを米国も見たのです。 ヨーロッパのシステムは、ID証明のようなリモートサービスに対応していました。 米国の政府機関は、特定の場所やワークステーションに依存しない、強力なリモートオプションの必要性を明確に認識しています。 NISTや他の機関は、PIVやCACを放棄しているわけではありませんが、より新しい技術をデジタル・アイデンティティ・ガイドラインに組み込む作業を行っています。
JB:米国社会保障庁やIRS(米国国税庁)のような大きな機関、あるいは州の失業給付機関などは、近い将来、市民に大規模に展開できる多要素認証(MFA)オプションを求めています。 これにより、多くの政府系需要が発生します。 彼らは、先に述べたような、簡単なリモート・オンボーディング・プロセスなど、システムが機能するために不可欠な機能のすべてを求めるでしょう。
認証規格のアジェンダを追っている人は、2021年には多くのことを見ることができるでしょう。 ソーラーウインズ社の事件をはじめとする最新の情報漏洩事件や、リモートワークの増加に伴い、標準化が加速し、リモートでの身元証明、迅速なオンボーディングプロセス、合理化された支払いフローへの道が開かれることになるでしょう。 これは、リモートワークの時代に向けて、より安全な認証手段を求めている多くのCISOにとって、喜ばしいニュースでしょう。
認証規格に関連した最新の開発情報の入手や、新しいFIDO2やWebAuthnリソースへの早期アクセスをご希望の方は、Yubicoデベロッパープログラムのメーリングリストにこちらからご登録ください。
