[レポート] Strong customer authentication & biometrics using FIDO #linedevday_report

Strong customer authentication & biometrics using FIDO

2019年11月20日(水)・21日(木)にグランドニッコー東京 台場でLINEのデベロッパーカンファレンス「LINE DEVELOPER DAY 2019」が開催されました。

本記事は、セッション「Strong customer authentication & biometrics using FIDO」をレポートします。

スピーカー

  • Kieun Shin [LINE セキュリティ開発チーム エンジニア]

セッション概要

顧客認証はサービスの入り口であり、多くの場合、重要なユーザージャーニーの一つでもあります。しかし、安全性の高い認証の追求とユーザビリティ(使いやすさ)とは相反するものであり、(ユーザビリティを優先すれば)ユーザーからは受け入れにくいものになります。われわれは既に長い間、高い安全性と、直感的な、エンドユーザーにとっての使いやすさの両方を実現できる解決策を模索しています。取り組みの第1段階として、標準規格のFIDO (Fast IDentity Online)に準拠した認証プラットフォームの導入準備を進めました。FIDOは、まさにわれわれが求めている機能を提供してくれるからです。そして昨年、LINE認証サーバー向けにFIDOの認定を取得し、サービスにFIDOを導入する準備が整ったと発表しました。第2段階では、LINE PayでFIDOを活用し、顧客が生体認証により安全かつ簡単に決済できるようになりました。金融をはじめとする多くのサービスでも、FIDOの導入が進められています。本セッションを通じて、FIDOが如何に、当社の顧客保護やパスワードが不要な世界の実現という長期的なビジョンを支えているかをご理解いただけると思います。

スライド

レポート

  • 質問
    • アカウント、パスワードを何個持っている?
    • 同じパスワードを何回も使っているのでは
    • パスワード好き?好きな人はいないと思う
    • 携帯で入力するのは大変
    • パスワードに依存しているサービスはたくさんある
    • パスワードに対しての攻撃が数多くされる
    • 結論として、パスワードは安全ではない
    • 1年間で280%増えている
    • 80%がパスワード絡み
    • 20%のパスワード忘れ
    • こんなに安全でないものに依存している
  • ソリューション
    • パスワードマネージャー
      • パスワードを保管する
      • サーバーサイドに保存されている
      • OTP,SMSnado
      • フィッシング可能
    • バイオメトリクス
      • 指紋、顔、虹彩
      • プライバシーの懸念もある
    • SSOもある(OIDC, OAuth)
  • 1版良いものはこれから出てくる、それが今日の話、より良い認証のしリューション
  • What is fido
    • 250+ Members
    • 10000+ Hours
      • 費やした時間
    • 30+ Partners
    • 最初から車を作ろうとしない、安全性も低いし拡張性も低い
    • 特徴
      • 使いやすい
      • 強力
      • プラガブル
      • プライバシー保護
    • 仕組み
      • 公開鍵
      • Authenticatorデバイス、スマホなど毎日使うもの
      • RP Server(Web Server)
        • Challengeを送る
        • ユーザーにプロンプトを送る
        • 生体認証のスキャニングなど
        • シグネチャが生成され、サーバーに送られる
    • FIDOの規格
      • FIDO1
        • UAF, U2Fが含まれる
      • FIDO2
        • CTAP
        • W3C WebAuthn
  • なぜFIDOが大事か
    • セキュリティのシステムがレイヤー化
    • 破られても安全、他のレイヤーが防ぐ
    • Fintech areaにも注目
      • お金、アカウントを保護するのが重要
      • 認証というのが重要なエクスペリエンスになる
      • FIDOのような認証が非常に注目されている
    • 何が違うのか
      • Scopeのあるクレデンシャルを作れる、正当なデバイスと保証する
      • 重要なファクターである
      • MFAも提供する
      • バイオメトリック
      • オンラインとオフラインを分けている
      • 主要なブラウザでサポートされている
      • デバイスの所有が強力に保証される
        • キーをつい即することができない
        • パスワードと明確に違うところ
        • ネットワークに運ばれることもない
        • 信用できる証明書で保証されている
        • 登録されたことがあるものだけが正当な証明書を発行できる
        • アタッカーはなりすますには、物理的に所有しなければいけない
        • MFAも提供できる
          • Something you have
          • Something you know
          • Something you are
        • メジャーブラウザ、プラットフォームのサポート
          • Chrome, Firefox, Edge, Safari
          • Android, iOS, Windows
      • LINEでのFIDO
        • LINE FIDO Server
          • 認証リクエストを証明する
          • 世界で最初のユニバーサル証明書
          • どのようなFIDOのデバイスでも動く、ほとんどを網羅できる
        • Software stack
          • Spring Bootの上、リアクティブスタックの上に構築している
        • デプロイモデル
          • AssS ( AuthN as a Service)
          • On Premise
      • iOSの場合
        • 簡単に統合できるサーバーを持っている
        • Appleはネイティブにはサポートしていない
        • 自分たちでファイルスタックを作る必要がある
          • Face ID, Touch IDを活用している
          • LTMSの上に構築している(キーチェーンのWrapper)
        • Androidの場合
          • 7からAuthenticatorでサポートされている
          • Google APIをシンプルなインターフェースでWrapした
      • LINE Pay is now using FIDO
        • FIDOを採択した理由
          • 最高の瀬キィリティを提供してくれる
          • ユーザビリティを犠牲にしていない
          • FIDOに置き換えたのは、ユーザーをより効率的に守るため
          • LINE Payをもっと信用してもらうために
        • ハイレベルアーキテクチャ
          • LINE FIDO2 Combo
          • LINE Pay RP Serverを活用
          • 同じようなコンポーネントをグローバルで使えるようにステイル
        • LINE Payのピンコードを最初に作り、そのあとFace ID, Touch IDなどで認証
          • 認証のプロセスはデバイスで作ること
          • 登録されたパブリックキーで作る
            • アプリの起動時
            • 決済時
        • LINE Pay deplopyment plan
          • iOSは9月にリリース
          • Androidでも近日リリース
          • 来年、In-appで導入し、他国で展開
  • この次には何がくるか?
    • 提供したいのはより簡単で安全なブートストラッピングプロセス
    • 新しいデバイスで使い始める時、他の認証済みのデバイスで認証する
      • 電話や時計など、絶対に所有しているもの
    • ストーリー : ラップトップを買って、専用のボタンをクリックし、電話や時計でボタンをタッチまたは顔スキャンでログイン完了
      • FIDOのアプリをデバイスに入れておけば、なんでも使えるようになる
    • 再認証シナリオもサポート
      • セッションが終わった後、ユーザーを確認したい
      • その時にはAuthNを確認する
      • FIDO登録済みデバイスで認証
        • 自分自身を確認してください、となる
  • Identity binding
    • 金融機関はオンボーディングプロセスでIdentityを取る必要がある
    • KYCプロセスを走らせる必要がある
    • 政府が発行したID、FIDOでレジスター
    • 良い点がいくつかある
      • KYCプロセスを減らすことができる
      • Identity documents + Selfie and User devices
  • パスワードレスへ
    • パスワードをこれからは無くしていきたい
    • 長期的な話ではある
    • LINEでは一歩ずつ進んでパスワードレスの世界にしたい
    • FIDOを使ってユーザーに色々なサービスを使って欲しい
    • FIDOを多くの人に知って欲しい
    • 全てのサービスにFIDOを展開していく予定
    • 最終的にはパスワード認証で必要なくなる世界を目指している
    • ぜひ今後も注視していただきたい

まとめ

FIDOを使うことで、ユーザーからパスワードという存在を考えずに認証行為が行えるという体験を作ることができます。今後もどんどん普及すると良いですね!