この機能は、特別な注意を必要とするほど重要であるとみなされる特定のトランザクションの間、ユーザーに確認を促すことによって、アカウント乗っ取りに対する安全策を提供する。このようなシナリオでは、保護されたセキュリティ環境が、メッセージが悪意のあるソフトウェアによって破損されていないことを保証するような方法で、ユーザーに確認メッセージを表示する。

Android Protected Confirmationを使用するには、アプリがハードウェアで保護されたAndroid Keystoreで鍵を生成します。アプリは、その鍵が保護された確認の署名にのみ使用できることを証明する認証証明書を送信する。その後、ユーザーが電源ボタンを2回押してトランザクション・プロンプトを確認すると、署名されたアサーションが生成され、「what-you-see-is-what-you-sign」インタラクションが提供される。Protected Confirmationによる信頼性の向上は、個人間送金、認証、医療機器制御など、さまざまなユースケースでセキュリティを強化するのに役立つ。

数年前、Nok NokはTrusted Execution Environment（TEE）ベンダーと協力して、まさにこのコンセプトを示す概念実証を開発しました。改ざん防止されたトランザクション表示という概念はFIDOに組み込まれており、ユーザがフィッシングに遭って認証情報を漏らす可能性を完全にシャットアウトすることができる。

保護された確認機能は現在、Google Pixel 3にのみ実装されているが、他のデバイスベンダーも追随する可能性がある。しかし、すべてのオペレーティングシステムとモバイルデバイスでサポートされているFIDO標準は、この保護された確認機能（FIDO用語では「トランザクション」と呼ばれる）をカプセル化している。

FIDO認証の利用は、この急速な変化に対応する一つの方法である。FIDO認証の利用は、この急速な変化に対応する1つの方法です。最新のセキュリティ機能を活用することで、アプリ開発者はコア製品の非セキュリティ機能の開発に戻ることができます。さらに、FIDOを使えば、アプリやバックエンドのインフラを変更しなくても、現在および将来利用可能なさまざまなセキュリティ機能を利用することができます。

FIDO（Fast IDentity Online）アライアンスは、Nok Nok Labsを含む小さな企業グループによって5年前に設立された。5年の間に多くのことが起こりました。私たちは進歩し、前進し、私たちのソリューションは、今日のデジタル世界における最大の問題のひとつを解決するために、250を超える世界最大の組織からなるアライアンスを構築しました：認証

年前、ノックはある問題を解決する使命を帯びた。パスワードは得体の知れない混乱に陥っていた。当時のオンライン・アカウント600万件を分析したところ、99.8％のアカウントをカバーするユニークなパスワードはわずか1万件しかなかった。銀行口座の73％が、他のオンラインサービス間で共有されているパスワードを使っていた。セキュリティの観点からは、これは大きな問題である。ユーザーの視点から見ると、パスワードの問題は、カート放棄という別の統計によって代用することができる。2013年、オンラインカートの71.6％が放棄された。そのうちの31％は摩擦が原因で放棄された。.

出典 スタティスタ

私たちが5年前に抱えていた問題は重大であり、その根底にあるテーマは今でも共鳴していることは明らかです。パスワードは、端的に言って、現代のコンピューティング・エコシステム用に設計されていません。 私たちは、より良いものを設計する必要がありました。

Nok Nok Labsは、コンピューティングのシステム的な問題を解決するには、根本的に革命的なコンセプトのデザインとアーキテクチャに同意する機関のコンソーシアムが必要であることを知っていた。こうしてFIDOアライアンスが誕生した。

新しいソリューションは、(1)ユーザーエクスペリエンス、(2)相互運用性、(3)プライバシー、(4)セキュリティを提供する必要があった。最終的なソリューションは、ユーザーフレンドリーでなければならなかった。

ユースケースとユーザビリティ

ユーザー名とパスワードによってユーザーが経験する摩擦は、そのスキームに基づく認証がアカウントへのアクセスを許可することに限定されなければならないことを意味する。より使いやすく、さらにアイデンティティを保証するシグナルを提供するものを作成することで、エンドユーザーは、摩擦を大幅に増加させることなく、いつでも認証を促されるようになり、エンゲージメントを放棄するリスクを回避することができる。

バイオメトリクス革命が起こり、指紋のような単純なバイオメトリクスが、口座へのアクセスだけでなく、取引の確認、デスクトップやラップトップ、あるいはキオスクやATMからのログインに必要な強力なシグナルを提供できることが明らかになった。ユーザビリティが利用を促進し、ここ数年の間に、FIDOベースの認証は30億人以上のユーザーに普及した。米国、中国、日本、ヨーロッパ、アフリカで展開されている。

相互運用性

モバイル・ネットワーク事業者、金融、ヘルスケア、物理的アクセス制御など多様な市場からの30億人のユーザーは、規格の創設理念を証明している：相互運用性  

現代のコンピューティング・エコシステムは均質なものではない。FIDOの仕様は、どのようなアプリケーションでも、どのようなデバイスでも、どのような認証方法でも実現できるように設計されている。そのため、アップル製、サムスン製、富士通製など、指紋から顔認証までさまざまなバイオメトリクスを使用した強力な認証をデバイス上で実行することが可能になっている。そして、FIDO認証製品（400以上ある）の組み合わせは、それぞれ同じレベルのプライバシーとセキュリティを提供する。

プライバシー

FIDOベースのソリューションは、世界最大級の銀行や通信会社で使用されている。これらの機関は、あなたの最も詳細な秘密を保護する責任があります。FIDOソリューションの設計において、プライバシーが最重要課題でした。

何よりもまず、認証イベントで使用されるバイオメトリック・データは、集中管理されたサーバーに送信されることはありません。データはユーザーのデバイスに留まり、ユーザーが管理する。第二に、FIDOプロトコルは非対称公開鍵暗号方式に基づいており、企業が保存する情報に基づいてユーザーをリンクしたり追跡したりすることはできない。

セキュリティ

ユーザー名／パスワードによる認証システムの最大の欠陥の一つは、共有された秘密が集中データベースに保存されていることである。 このため、たった一度の違反で、次から次へと攻撃に再利用されるデータの宝庫であるドラゴン全体にアクセスすることができる。Nok Nok Labsが開発し、FIDOプロトコルに組み込まれたソリューションは、貴重な識別子の分散化である。秘密鍵とユーザーのバイオメトリック・データは、数十億人のFIDOユーザーの個人デバイスに保存され、悪質な行為者がシステム全体を危険にさらすことは不可能である。

結果

アライアンスが始まってから5年間で、私たちは目覚ましい進歩を遂げました。企業は、セキュリ ティを損なうことなく、認証にかかるコストを大幅に削減している。ある金融機関は、年間約300万ドルの節約を報告している。また、パスワードのリセット要求が60％減少したという報告もある。複数の組織が、この新しいアーキテクチャがApple FaceIDのような新技術をいかに迅速に取り入れることができたかを称賛している。そして、私たちはまだ始まったばかりです。Nok Nokが5年前に始めた、現代のコンピューティング・エコシステムにおける認証の変革というミッションは実現されつつあり、この先も素晴らしいことが待っている。

* * *

Nok Nokのエリクソンとの取り組みについて詳しくお知りになりたい方は、ケーススタディをダウンロードしてください。

Nok Nok Labsを立ち上げたとき、私はよく「現代認証のビジョンは "シグナルゲーム "である。

ユーザーとデバイスは、認証要求（パスワード、スマートカード、バイオメトリクスなど）を通じて信号を提供する。依拠当事者はその主張を処理し、しばしば他の信号（例えば、位置情報、デバイスの完全性信号など）を調べ、その結果の計算によって最終的な結果を決定する。

2011年当時、ユーザー認証イベントは、代替手段のない弱いシグナル（パスワードやフィッシング可能なOTP、マルウェアに簡単に破られる強力な認証など）だった。その結果、依拠当事者は、認証請求の結果を判断するために、計算に深く投資し、さらに多くのシグナルを蓄積しなければならなかった。弱いシグナルは不確実性と疑念を生み、過剰な摩擦でビジネスを麻痺させたり、認証情報を漏洩させる機会を作り出したりする。実際、Verizon Data Breach 調査によると、データ漏洩の主な原因はクレデンシャルの漏洩である。ハッキングに関連する侵害の80%は、盗まれたパスワード、脆弱なパスワード、推測可能なパスワードのいずれかを利用している。

既存の強力な認証はあまり役に立たなかった。導入された「強力な認証」のどれだけが、フィッシングやMiTM、マルウェア攻撃に対して本当に脆弱なのか、衝撃的な事実が残っている。認証が、複雑なパスワード、OTPトークン、スマートカード、あるいは様々な空想的な認証機能など、王国への鍵を与える魔法のクレデンシャルであると思われていた時代は終わった。

私たちのビジョンは、パートナーとともにFIDOアライアンスを設立し、私たちの発明をFIDOアライアンスに導入することにつながりました。この標準は、シンプルで一貫性のある開発者APIを維持し、バックエンドを変更することなく、あらゆる認証方法（トークン、バイオメトリクス、ウェアラブルなど）の使用を可能にする。また、このユーザが本当に正しいユーザであるという強い保証を提供する。また、暗号プロトコルの設計により、認証環境を特徴付け、フィッシング攻撃やMiTM攻撃に抵抗または排除します。

スティーブ・ムニューシン財務長官は先日のスピーチで、FIDO認証標準とFIDOアライアンスのNISTとの取り組みは、官民パートナーシップにおける模範的な革新であり、金融包摂を可能にし、銀行口座を持たない人々を銀行化するために不可欠であると称賛しました。我々は、NISTとのパートナーシップに重要な役割で貢献できたことを誇りに思います。私たちはFIDOアライアンスのイノベーションリーダーであり続け、最も広く展開されている標準規格や今後予定されている標準規格の主要な作成者／編集者でもあります。

当社のNNL S3 Authenticationプラットフォームは、クラウド、モバイル、IoTアプリケーションにおいて、ビジネスが正しいユーザー、正しいデバイス、正しいコンテキストに対応していることを保証する、業界をリードする標準ベースの方法です。当社のプラットフォームが提供する強力なシグナルは、リスクプラットフォームに変革をもたらし、ビジネスが摩擦のないユーザーインタラクションを提供し、認証とデータプライバシーに関する新たな規制を満たし、自信を持ってユーザーインタラクションをパーソナライズすることを可能にします。

ThreatMetrixによる本日の発表は、我々のモダン認証のビジョンを検証するものです。