2024年8月31日土曜日

SIDI Hubの過去のサミットのレポートが公開され始めています

こんにちは、富士榮です。

いよいよ9月10日(火)のワシントンD.C.会合と10月25日(金)の東京会合を経て、G20リオデジャネイロに向けて折り返そうとしているSIDI Summitのワールドツアーですが、過去の会合(ケープタウン、ベルリン)のレポートが公開されています。


https://sidi-hub.community/summits/

今回公開されたのは、ケープタウン会合のレポート(ドラフト)とベルリン会合のレポートです。

結構なボリュームなので次のワシントンD.C.会合に向けて徐々に読んでいこうと思います。

2024年8月30日金曜日

カリフォルニア州のモバイル運転免許証のハッカソンが開催されます

こんにちは、富士榮です。

残念ながら応募の締め切りは過ぎていますが、10月〜11月にカリフォルニア州のモバイル運転免許証のハッカソンが開催されます。


2つのシナリオに分けた2トラックで開催されるようです。

  • Public Event
  • Government Event

前者は名前の通り誰でも参加でき、後者は政府機関(+ベンダ)のみが参加できるようです。

いずれにしてもmDLを利活用するシナリオを探して作ってみましょう、という取り組みですね。

https://www.dmv.ca.gov/portal/ca-dmv-wallet/mdl-for-technology-developers/hackathons-2024/

以前紹介したドイツのSPRINDの取り組みもそうですが、日本でもこのような取り組みを取り入れてコミュニティを盛り上げていけるといいですねぇ。

 


2024年8月29日木曜日

パスキーのデモサイトが便利

こんにちは、富士榮です。


Googleのえーじさんが公開されているパスキーのデモサイトがめちゃ便利です。


こちらです。

登録した認証器がタイプなどの情報が見やすく表示されます。

この辺りでパスキーの実装を試していた時にも認証器を色々と試しては情報の解析をしたりしていたので、このサイトを使うとその辺の作業がとっても楽ですね!



2024年8月28日水曜日

選択的情報開示とウォレットと本人確認書類

こんにちは、富士榮です。


突然ですが、本人確認書類の電子化をする理由ってなんでしょう。

  • ペーパーレス
  • プラスチックカードの発行費用の削減
  • 機械可読によるビジネスプロセスの最適化

など、頑張れば色々と理由はつけられます。

OpenArtが書いてくれたモバイル本人確認書類。なんか変。


Perplexityにデジタル化の意義について聞いてみたらこんな回答が返ってきました。

質問)

免許証やマイナンバーカードなどの本人確認書類をデジタル化することによるメリットはなんですか?

回答)

デジタル化された本人確認書類には、以下のようなメリットがあります: 

利便性の向上

  • 携帯の容易さ

    • デジタル化された本人確認書類はスマートフォンなどのデバイスに保存できるため、常に携帯することが容易になります。財布や身分証ケースを持ち歩く必要がなくなり、日常生活の利便性が向上します。
  • 迅速な提示
    • 必要な時にすぐに提示できるため、本人確認のプロセスが迅速化されます。デジタル形式であれば、必要な情報を素早く表示したり、関連する証明書を即座に呼び出したりすることが可能になります。

 セキュリティの強化

  • 偽造防止
    • デジタル技術を活用することで、偽造や改ざんを防ぐ高度なセキュリティ機能を実装できます。電子署名や暗号化技術により、従来の紙の書類よりも安全性が向上します。

紛失リスクの低減

  • 物理的な紛失のリスクが軽減されます。デジタル形式であれば、クラウドにバックアップを取ることができ、デバイスを紛失しても復元が容易になります。

行政手続きの効率化

  • オンライン申請の促進
    • デジタル化された本人確認書類があれば、さまざまな行政手続きをオンラインで完結させることが可能になります。例えば、マイナンバーカードを利用すれば、確定申告や各種証明書の取得がオンラインで行えるようになります。

データ連携の容易さ

  • デジタル化により、異なる行政サービス間でのデータ連携が容易になります。これにより、複数の手続きを一度に行ったり、必要な情報を自動的に入力したりすることが可能になり、手続きの効率が大幅に向上します。

環境負荷の低減

  • 物理的な書類の発行や更新が不要になるため、紙の使用量が削減され、環境負荷の低減につながります。また、郵送や窓口での対面手続きが減ることで、移動に伴うCO2排出量も抑えられます。

デジタル化された本人確認書類は、利便性、セキュリティ、行政効率、環境保護など、多岐にわたるメリットをもたらします。ただし、デジタル格差への配慮や、プライバシー保護の徹底など、課題にも適切に対応していく必要があります。


なんだか、想像通りすぎますね。特に後半はデジタル化の意味が違いますね。


追加で質問してみます。

質問)

デジタル化について、デジタイゼーションとデジタライゼーションの違いの観点から説明してください。

回答)

デジタイゼーションとデジタライゼーションは、デジタル化の異なる段階を表す概念です。以下にその違いを説明します:

デジタイゼーション

  • デジタイゼーションは、デジタル化の最初の段階を指します。
  • 定義
    • アナログ形式の情報をデジタル形式に変換する過程です。
  • 特徴
    • 物理的な情報や資料をデジタルデータに変換します。
    • 業務フローの一部をデジタル化することに焦点を当てます。
  • 具体例
    • 紙の書類や本をスキャンして電子ファイル化する
    • 電子契約や電子署名の導入
    • クラウドストレージやオンラインドキュメントによるファイル管理
    • QRコードやバーコードの活用

デジタライゼーション

  • デジタライゼーションは、デジタイゼーションの次の段階を表します。
  • 定義
    • ビジネスプロセス全体をデジタル化し、新たな価値を創出することです。
  • 特徴
    • 組織のビジネスモデル全体を一新します。
    • クライアントやパートナーへのサービス提供方法を改善します。
    • 特定の業務プロセス全体をデジタル化します。
  • 具体例
    • クラウドやAIなどのテクノロジーを導入して業務の自動化や最適化を図る
    • オンラインでの販売やマーケティングを強化する
    • 電子書籍の販売システムの構築
    • 動画共有プラットフォームの運営

 主な違い

  • 対象範囲:

    • デジタイゼーション: 個別の情報や業務フローの一部
    • デジタライゼーション: ビジネスプロセス全体
  • 目的:
    • デジタイゼーション: 情報のデジタル化、業務効率化
    • デジタライゼーション: ビジネスモデルの変革、新たな価値創出
  • 影響度:
    • デジタイゼーション: 局所的な改善
    • デジタライゼーション: 組織全体の変革

デジタイゼーションとデジタライゼーションは、デジタル化の異なる段階を表す概念であり、企業のデジタルトランスフォーメーション(DX)を実現するための重要なステップとなります


こうやってみると本人確認書類のデジタル化はデジタイゼーションとデジタライゼーションが混ぜこぜで語られていそうですね。

まさに崎村さんが言うところの「西用と変法」ですな。 


というか、そもそも運転免許証のデジタル化についてのメリットは「バーに入るとき免許証を全部見せる必要ないですよね。物理免許証だと選択的開示はできないけど、デジタル化すると21歳以上であることだけを示せるようになるんですよ!」ってみなさん言ってましたよね。


カリフォルニア州のモバイル運転免許証(mDL)やっているSpruceIDのWayneもBlogで語ってますよ。


https://blog.spruceid.com/top-5-takeaways-from-getting-started-with-digital-id-a-look-inside-californias-mobile-drivers-license-program/


TBDもそんな説明をしていましたね。。。

そして彼女がパスポートを係員に渡すと、「ああ、私たちは誕生日が同じなんですね!」とか「出身地は美しい島ですよね〜」とか言われてしまいます。

調べた結果VCは「過剰な個人データを明らかにせずに、法定飲酒年齢に達していることを証明する必要があるとします。完全な ID を提示する代わりに、ベンダーに VC を提示することもできます。販売者は資格情報を年齢証明として認識し、引き換えにアルコールを提供します。」 

https://idmlab.eidentity.jp/2024/03/tbdverifiable-credentials.html


たぶん、こう言うアナログではできなかったことが、デジタル化することによってできるようになる、というのがデジタライゼーションでありイノベーションなんだろうなぁ、、と強く思います。


しかし、ちょうど先日カリフォルニア州のモバイル運転免許証がGoogle Walletに搭載できるようになった、という話も出てきていますしが、Apple WalletやGoogle Walletはスマホ搭載はするものの選択的開示はできなさそうです。

https://www.gov.ca.gov/2024/08/23/californians-can-now-add-their-mobile-drivers-license-to-google-wallet/

例のApple Walletにマイナンバーカードを搭載する件はどうなんでしょうか。。。うーん。


mDoc自体は当然選択的開示をサポートしていて、ISO 18013-5:2021の6.2 Functional requirementsをみると「The interface between the mDL and the mDL reader shall support the selective release of mDL data to an mDL reader.」とあるようにサポートすべし的な記載なんですよねぇ。Presentation要求にOpenID for Verifiable Presentationsを使う場合は属性要求にPresentation Exchangeを使うと思いますが、その場合はinput_descriptorで要求属性なんかもかけるわけで、リーダーというかVerifier側はそう言う実装になっていくんでしょうけど、大前提としてウォレット側が選択するUIを持っていないと片手落ちになってしまいます。自己主権アイデンティティとか言っていた人たちはどう思っているんでしょうか

まぁ、全員が選択的開示をしたいわけではないので、これまで通りデジタイズされた免許証を使ったりマイナンバーカードを使う人がいてもいいとは思います。ただ、重要なのは「選択肢」だと思います。

今回Google WalletやApple Wallet「にも」搭載できるようになったカリフォルニア州の運転免許証はそもそもSpruceIDのウォレットに搭載されてきていました。つまり、選択的開示できるウォレットも選択肢として残されているわけです。

一方でマイナンバーカードは先にApple Walletへの搭載に関する情報が出てきてしまったので、今から別アプリが出てきても使う側のモチベーションを選択的開示一本で向かわせるのはなかなか難しいだろうなぁ、、と思います。

政治的に色々とあったんでしょうけど、戦略的にこの辺りの情報の出し方を考えていけたらよかったですね・・・

2024年8月27日火曜日

GAIN Pocの第2シーズンはOpenID for Verifiable Credential Issuanceにフォーカスされます

こんにちは、富士榮です。

OpenID Foundationや関係団体(Cloud Signature Consortium、GLEIF、IIF、OIX、その他関係する機関や個人)はグローバルで相互運用可能なアイデンティティ保証に関するネットワークに根ざしたエコシステムの達成を目指してGAIN(Global Assured Identity Network)の名のもと活動を行ってきました。

2023年、OpenID FoundationはGAIN POC Community Groupを組成して、主にOpenID Connect for Identity AssuranceとOpenID Federationをテクノロジースタックとしてどのように適用できるかについて検討を進めてきました。

その結果がGAIN in 2023というホワイトペーパーとして発行されています。

https://openid.net/announcing-gain-in-2023-whitepaper/


もちろん先に掲げた大きな目標については一朝一夕で達成されるわけではないため、継続的な議論や技術研究が必要になるわけですが、最近OpenID Foundationから2024年の取り組みについて発表がありました。

GAIN Community Group: An Update

https://openid.net/gain-community-update/

発表によると、2024年はOpenID for Verifiable Credential Issuanceにフォーカスしており、既にMeeco、Talao、Datevのウォレットを使ってIETF SD-JWT VCを発行できることの確認ができています。

今後はOpenID for Verifiable Presentationsへの展開、Open Identity Exchangeとの協業によるOpenID Federationとの組み合わせでのIssuerの信頼性の確立に向けた取り組みが続けられるということですので引き続き要注目ですね。

2024年8月26日月曜日

Shared SignalsのImplementer's Draftが承認されました

こんにちは、富士榮です。


少し前にPublic ReviewとVoteが行われていたShared SignalsのImplementer's Draftが承認されています。


OpenID Foundationからのアナウンス

https://openid.net/three-shared-signals-implementers-drafts-approved/


こちらのポストでレビューについては書きましたね。

https://idmlab.eidentity.jp/2024/06/shared-signalspublic-review.html


今回承認されたImplementer's Draftは以下の通りです。

OpenID Shared Signals Framework Specification 1.0: https://openid.net/specs/openid-sharedsignals-framework-1_0-ID3.html

OpenID Continuous Access Evaluation Profile 1.0: https://openid.net/specs/openid-caep-1_0-ID2.html

CAEP Interoperability Profile 1.0: https://openid.net/specs/openid-caep-interoperability-profile-1_0-ID1.html


なお、Shared Signals Framework(SSF)については5月に開催したOpenID TechnightのTom Satoさんの資料が素晴らしいのでぜひ見ておいてください。

https://openid.connpass.com/event/316748/

2024年8月25日日曜日

犯罪収益移転防止法施行規則の改正に関するパブコメが募集されています

こんにちは、富士榮です。

警察庁から犯収法(施行規則)の改正に関するパブコメ募集が始まっています。
期間は8月23日〜9月24日ですので、KYCとか本人確認に関与している人たちはコメントしましょう。



中を軽く見てみると「マイナンバー法等の改正等に伴う犯収規則等の改正」となっているので、ざっくりいうと、令和6年12月2日施行のマイナンバー法の改正で
  • 1歳に満たない人のマイナンバーカードへの顔写真が表示されなくなること
  • 健康保険証や公務員共済組合の組合員証などが廃止されること
  • 医療機関で電子資格確認を受けられない(ありていに行ってマイナンバーカードを持っていない人)に対して資格証明が発行されること
を受けて、また他にも、
  • 在留カード、特別永住者証明書(16歳未満への交付時)
  • 精神障害者保護福祉手帳
  • 外国人登録証明書(の一部)
など顔写真が表示されない本人確認書類が存在すること、また
  • 令和6年能登半島地震にかかる本人特定事項の確認方法等に関する特例の廃止
を受けて犯収法施行規則の改正を行う、という話です。

主に第七条(本人確認書類の区分)を整理するための改正ですね。

ただ、せっかくなので対面での本人確認(当人認証)を行うために必要な顔写真がない場合への対応まで踏み込んでいけるといいですね。




2024年8月24日土曜日

マイナンバーカードを読み取るアプリがいっぱい

こんにちは、富士榮です。

デジタル庁からマイナンバーカード対面本人確認アプリがリリースされましたね。


そういえばこの手のアプリって大量に出回っている感覚があったのでAppleのAppStoreを探索してみました。

いっぱい出てきた・・・(順番などに他意はありません。適当に探索したのでカバーできているわけもありません。XX Payなどアプリの中の一機能になっているものは拾っていません)
アプリ名Copyright概要
マイナンバーカード対面確認アプリデジタル庁デジタル庁謹製のマイナンバーカード確認アプリ
マイナチェッカーLEGAL PROMPT INC.券面情報の読み取りアプリ
マイナンバーカード読み取り練習アプリHideki Kariyaマイナンバーカードの読み取りを練習するアプリ
OKBマイナンバーカード本人確認アプリTOPPAN Edge Inc.大垣共立銀行の手続きに利用する本人確認アプリ
北陸銀行本人確認アプリTOPPAN Edge Inc.北陸銀行の手続きに利用する本人確認アプリ
Speed Letter Plus本人確認アプリTOPPAN Edge Inc.通知物電子送付サービス「Speed Letter Plus」に利用する本人確認アプリ
南牧村本人確認アプリTOPPAN Edge Inc.みなみまきパスポートの手続きに利用する本人確認アプリ
LIQUID eKYC株式会社LiquidLiquid社が提供する汎用本人確認アプリ
ProTechマイナンバーIC認証Showcase IncProTechマイナンバーIC認証を利用しているWebサイトで利用する認証アプリ
本人確認アプリD-ConfiaDouble Standard InceKYCアプリ。足立区で使われている?
JPKI利用者ソフトJ-LISJ-LIS純正のマイナンバーカードの電子証明書利用機能提供アプリ
JPKI暗証番号リセットJ-LISマイナンバーカードのパスワードを初期化・リセットするアプリ
IDリーダーOSSTech CorporationOSSTech社が提供するIDカード読み取りアプリ
IAM<アイアム>ShiftPlus IncShiftPlus社が提供する汎用本人確認アプリ
電子認証マイナサインCYBERLINKS CO.,LTD.電子署名、券面情報取得を行うアプリ
本人確認アプリeKYCCYBERLINKS CO.,LTD.eKYCアプリ
マイナトラスト電子署名CYBERLINKS CO.,LTD.電子署名アプリ
マイナポータルデジタル庁言わずと知れたマイナポータルアプリ
デジタル認証アプリデジタル庁言わずと知れたデジタル庁認証アプリ
マイナポイント総務省言わずと知れたマイナポイントアプリ
PDFにマイナンバーカードでJPKI電子署名二進合同会社PDFに署名するアプリ
eKYC本人確認アプリsho@99zz.neteKYCアプリ
都市OS共通サービス(マイナンバーカード共通機能)Hitachi, Ltd日立の都市OS用の本人確認アプリ
クロスアイディxID Inc.xID社が提供する汎用本人確認アプリ
TRUSTDOCKTRUSTDOCK INCTrustdock社が提供する汎用本人確認アプリ
e-Probatio本人確認アプリNTTビジネスソリューションズNTTビジネスソリューションズが提供する汎用本人確認アプリ
e-NINSHO本人確認サービスNRINRIが提供するe-NINSHOサービスの本人確認アプリ
e-NINSHO公的個人認証アプリNRINRIが提供するe-NINSHOサービスの公的個人認証アプリ
日司連公的個人認証有効性確認システム日本司法書士連合会マイナンバーカードの券面情報の取得と有効性確認を行うアプリ
当事者型電子署名システム日本司法書士連合会電子署名を行うアプリ
Great eKYCTREASURY INCeKYCアプリ
マイナPocketNTTデータマイナンバーの申告・本人確認に使うアプリ
ジャスミーPDL本人確認サービスJASMY本人確認アプリ
本人確認情報提出アプリBIPROGYスマートシティ(Dot to Dot)の本人確認アプリ
スマートライフパス本人確認アプリTOPPANSmart Life Passのユーザ登録時の本人確認アプリ
NAWABARI eKYCアプリNAWABARIネットショップの住所に使えるサービスの本人確認アプリ
めぶくIDmy FinTech inc汎用デジタルID
YSD公的個人認証アプリヤマトシステム開発ヤマトシステム開発が提供する証明書類Web取得サービス用の公的個人認証アプリ
RSSモバイルLEGAL Corporation電子署名アプリ

どうするんでしょうね。


2024年8月23日金曜日

NIST SP800-63-4のSecond Public Draftが出てきました

こんにちは、富士榮です。

すでにあちこちで書き込まれているので今更私が書くこともありませんが、みんな大好きNISTのデジタルアイデンティティガイドラインであるNIST SP800-63-4 SPD(Second Public Draft)がようやく出てきました。(本当はもっと前に出るって噂でしたが)



とりあえずパブリックコメント募集は10月7日までこちらで。

https://www.nist.gov/news-events/news/2024/08/nist-releases-second-public-draft-digital-identity-guidelines-final-review

そして、早速崎村さんが概略を日本語で書いていらっしゃいます。

https://www.sakimura.org/2024/08/6224/


オフィシャルには8月29日の午前1時から公開Webinarがあります。

https://nist.zoomgov.com/meeting/register/vJItcu6oqj0jH4xWLbz350jf6VeKM9bMjWc#/registration


さて、コメントに向けて準備しましょうかね。

2024年8月22日木曜日

そう言えばAXIESでアイデンティティに関する勉強会をします

こんにちは、富士榮です。

先日、大学ICT推進協議会(AXIES)の年次大会の話をしましたが、そちらに先行して(?)アイデンティティの勉強会が開催されます。


大学の認証基盤といえばSAML、Shibbolethなのですが、そろそろOpenID Connectに対応すると言われて久しいShibbolethが本当に対応するのかどうかは置いておいて、アカデミアでも使うサービスがOpenID ConnectのRelying Partyとなっているケースも増えてきており、そろそろ学術系でもOpenID Connectの勉強会をしないとね、ということでお話しさせていただこうと思います。

※そう言えばHPCIもOAuth対応しましたしね(OAuth認証になっているのはうーん、ですが)


ということでお知らせです。(申し込みサイトからの転載)

現地でお会いしましょう。

AXIES認証基盤部会 勉強会「フェデレーション、エコシステムとID管理」

AXIES認証基盤部会では、以下の要領で2024年度 勉強会を開催いたします。会場は、学術総合センター(国立情報学研究所)とオンラインのハイブリッドで開催します。


テーマは、「フェデレーション、エコシステムとID管理」です。


NII学術情報基盤オープンフォーラムでのディスカッションを受け、学認コミュニティ拡大に向けたフェデーレション技術、エコシステムに関する勉強会を開催します。また後半では、昨年の年次大会を受け、ID管理についてディスカッションを行います。


日時:2024年9月17日(火)13:30~17:00

場所:国立情報学研究所 (オンラインのハイブリッド開催)

   東京都千代田区一ツ橋2丁目1−2 学術総合センター 3階

参加費:無料

定員:現地80名、オンライン200名

参加申込: 参加申込URL


プログラム:(敬称略)

13:30-13:35 はじめに

13:35-14:15 OpenID Connect(調整中)

富士榮 尚寛(伊藤忠テクノソリューションズ株式会社)

14:15-14:55 Gakunin Federation(調整中)

西村 健(国立情報学研究所)

14:55-15:05 休憩

15:05-15:45 アプリカタログ(調整中)

江川 淳一(エクスジェン・ネットワークス株式会社)

15:45-16:25 ID管理(調整中)

中村 誠(東京大学)

16:25-17:00 ディスカッション


2024年8月21日水曜日

パスキーはエンタープライズで使えるのか?

こんにちは、富士榮です。


先日、IDProで紹介されていた記事を見つつ以下のポストをしました。

記事の中では同期ファブリックの安全性や互換性に関する課題が指摘され、デバイス紐付けパスキーという選択肢やUniversal Credential Exchangeによる相互運用性の実現に向けた取り組みの紹介をしました。

結果、エンタープライズでの利用の場合は同期パスキーよりもデバイス紐付けと管理などが現実的なのかな??などのコメントを各所で頂いたりしました。


そんな中、RSAが最近こんなブログを公開しました。

Are FIDO Passkeys Ready for Enterprise Use?

https://www.rsa.com/ja/resources/blog/passwordless/are-fido-passkeys-ready-for-enterprise-use/

RSA社のブログ


ベンダのブログなので若干バイアスがかかる可能性は否定しませんが、まさにエンタープライズでパスキーを使えるのかどうか気になっている人は必見だと思います。

ということで簡単に見ていきましょう。

Device-Bound Passkeys vs. Synced Passkeys

まずはデバイス紐付きのパスキーと同期パスキーについて解説されています。この辺りはご存知の方が殆どだと思いますがおさらいしておきましょう。

Device-bound passkeys are generally hosted on specific ‘security key’ devices. On a device-bound passkey, key pairs are generated and stored on a single device; moreover, the key material itself never leaves that device.

With synced passkeys, the key material is saved via a so-called remote sync fabric, and the key material can then be restored on any other devices owned by the same user. The current major sync fabrics are Microsoft, Google and Apple. This means that if you were to register your Android phone as a passkey, then the corresponding key material would be available on all your other Android devices shortly after.

Synced passkeys are—in addition to the support of widely used services such as WhatsApp or Facebook—a main reason for the sharp increase in the general use of passkeys. It’s easy to see why: one user with a lot of accounts and a lot of devices can use the same synced passkey between all of them.

デバイスに紐づけられたパスキーは、通常、特定の「セキュリティキー」デバイスにホストされています。デバイスに紐づけられたパスキーでは、キーペアが生成され、単一のデバイスに保存されます。さらに、キー素材自体はデバイスから決して離れることはありません。

同期パスキーでは、鍵情報はリモート同期ファブリックと呼ばれる仕組みを介して保存され、同じユーザーが所有する他のデバイスにも復元することができます。現在、主な同期ファブリックとしては、Microsoft、Google、Appleが挙げられます。つまり、Androidフォンをパスキーとして登録すると、その後すぐに、他のすべてのAndroidデバイスでも対応する鍵情報を利用できるようになるということです。

同期されたパスキーは、WhatsAppやFacebookなどの広く使用されているサービスのサポートに加えて、パスキーの一般的な使用が急激に増加している主な理由です。その理由は簡単です。多くのアカウントとデバイスを持つユーザーは、それらすべてに同じ同期されたパスキーを使用することができます。

 

ユーザが直接サインアップして使うコンシューマ向けサービスではユーザビリティの向上を目標として同期パスキーが使われることで急激にパスキー自体の普及率が上がっている、ということですね。


The Benefits of Passkeys

パスキーの利点についてもおさらいされています。

Passkeys are an excellent MFA method: safe, fast, convenient, and users are already familiar with them. But the passkey benefit that’s beginning to get a lot of attention is that they’re phishing-resistant.

Passkeys can help organizations stop traditional phishing in its tracks: if there’s no password being used, then there’s no password to steal. And while that’s true for other passwordless MFA methods, passkeys have an added level of security provided by that synched key/service domain match.

In the U.S., phishing resistance is a major driver for government agencies. Executive Order 14028 requires phishing-resistant, passwordless authentication to secure critical infrastructure.

パスキーは優れた多要素認証の方法です。安全で、高速で、便利であり、ユーザーもすでに慣れ親しんでいます。しかし、現在注目を集め始めているパスキーの利点は、フィッシング対策に有効であるという点です

パスキーは、従来のフィッシングを阻止するのに役立ちます。パスワードが使用されていなければ、盗むべきパスワードも存在しないからです。これはパスワード不要の他の多要素認証方法にも当てはまりますが、パスキーには、同期されたキー/サービスドメインの一致による追加のセキュリティレベルが備わっています。

米国では、フィッシング対策は政府機関にとって重要な推進要因となっています。大統領令14028では、重要なインフラストラクチャを保護するために、フィッシング対策のパスワード不要の認証が義務付けられています

パスキーの一番の利点としてフィッシング耐性があることに触れられています。米国では大統領令でもフィッシングについての記載があるんですね。


The Challenges with Passkeys

ここからパスキーの課題について触れられています。

While passkeys provide significant advantages, they also come with a few significant challenges and problems.

For a solution that has grown up in the consumer environment, user guidance and the user experience can sometimes be a challenge.

Dialogs that ask the user to insert the passkey into the USB port or enter the PIN, for example, look different depending on the operating system and browser. Those prompts will likely make it more difficult to train users and minimize support calls.

Why not just change the prompts you ask? Because third-party service providers like RSA can’t: those prompts are set by the browser or OS vendor themselves in their own vendor (for instance, Apple sets their prompt for iOS, Google for Chrome, etc). There’s some good reason for this:  if vendors could change the prompt, then so could attackers, using an updated form to spy on users. Keeping those log-in prompts locked is an important security measure, but it can make for a one-size-fits-all approach.

The high level of phishing resistance is a clear advantage, but it can also be a distraction. Anyone who thinks that the use of passkeys suddenly makes them immune to social engineering attacks is very much mistaken. Passkeys help against one type of social engineering attack: phishing. Unfortunately, there are other variants. The attacks on MGM Resorts or Caesars Palace in Las Vegas had a social engineering component: exploiting the help desk to allow the attacker to register an MFA authenticator himself.

Attackers adapt as a matter of course. The proliferation of MFA has made phishing much less attractive, so it’s only natural that vulnerabilities around the MFA system are exploited. Such as the way users register. Anyone who thinks passkeys solve these problems is very wrong.

パスキーには大きな利点がある一方で、いくつかの重大な課題や問題も伴います。

消費者環境で成長してきたソリューションでは、ユーザーへのガイダンスやユーザーエクスペリエンスが課題となることがあります

たとえば、パスキーをUSBポートに挿入するようユーザーに求めるダイアログやPINの入力などは、オペレーティングシステムやブラウザによって表示が異なります。このようなプロンプトは、ユーザーのトレーニングを難しくし、サポートコールを最小限に抑えることが難しくなるでしょう。

では、求めるプロンプトを変更すればよいのでしょうか?RSAのようなサードパーティのサービスプロバイダーにはできないからです。これらのプロンプトは、ブラウザやOSのベンダー自身が、それぞれのベンダーで設定しています(例えば、AppleはiOS、GoogleはChromeなど)。これにはいくつかの理由があります。もしベンダーがプロンプトを変更できるのであれば、攻撃者も同様に変更でき、最新のフォームを使用してユーザーをスパイすることが可能になります。ログインプロンプトをロックすることは重要なセキュリティ対策ですが、画一的なアプローチになりかねません。

フィッシングに対する高い耐性は明らかな利点ですが、かえって邪魔になることもあります。パスキーの使用によって、ソーシャルエンジニアリング攻撃に対する耐性が突然得られると考える人は、大きな誤解をしていますパスキーは、ソーシャルエンジニアリング攻撃の一種であるフィッシングに対する防御策となります。残念ながら、それ以外にもさまざまな種類があります。ラスベガスのMGMリゾートやシーザーズパレスに対する攻撃にはソーシャルエンジニアリングの要素がありました。ヘルプデスクを悪用して、攻撃者が多要素認証の認証装置を自分で登録できるようにしたのです。

攻撃者は当然のように適応していきます。多要素認証の普及により、フィッシングはあまり魅力的ではなくなりました。そのため、多要素認証システム周辺の脆弱性が悪用されるのは当然です。例えば、ユーザーによる登録方法などです。パスキーがこれらの問題を解決すると考える人は、大きな誤りを犯しています

1つはUI(プロンプト)がプラットフォームによって異なる(かつサードパーティのソフトウェアでは変更ができない)ことが挙げられています。OSベンダがプロンプトを変更させないのはセキュリティの観点から見ると合理的ではありますが、OSごとにプロンプトが異なるのはユーザから見ると混乱を招く一因となっていると思います。

また、フィッシング耐性がある、というキーワードがかえって誤解を与えてしまう懸念についても記載されています。そもそもフィッシングはソーシャルエンジニアリングの一部であることを理解しないと、ソーシャルエンジニアリング全般に対する対策となっている、という誤解を招く、と指摘されています。

同じく、システムへの多要素認証手段の登録機能自体がパスキーでセキュアになる、という誤解もあるようですね。


Sync Fabrics and Cybersecurity Vulnerabilities

これも以前紹介した記事にも記載があった、同期ファブリックのセキュリティの話です。

They say that when you have a hammer, everything can look like a nail. Turing a solution—even a great solution—that was originally intended for consumer use into an enterprise application can introduce significant risk.

While reading this article, you may have had a queasy feeling at the mention of ‘sync fabric’. Your gut was right.

The fact that passkeys appear as if by magic on all devices on which the user is logged in via Apple or Google is a major red flag in the corporate environment and should raise some significant questions:

Should users be allowed to use several (possibly also privately used) devices for authentication at all? If so… How many?

Synced passkeys make restoring a “lost” passkey possible with the account recovery processes of e.g. Google or Apple. That’s great… but are these processes secure enough for you?

The Apple feature that allows users to share Passkey with friends or family is quite nice… but does this also apply to Passkeys that are used to log in to enterprise applications?

When using synced passkeys, the security of your company suddenly depends largely on the technical and organizational security of Apple and Google. Sure, there is a certain dependency anyway due to the use of iOS and Android—but synced passkeys increase this dependency considerably.

This isn’t a theoretical vulnerability, either. Last year Retool discussed how threat actors had used it to gain access to its systems: Retool wrote that the functionality means that “if your Google account is compromised, so now are your MFA codes.”

ハンマーを持っていれば、すべてが釘に見えるという。もともとコンシューマー向けに意図されたソリューション、たとえそれが優れたソリューションであったとしても、それをエンタープライズアプリケーションに転用することは、重大なリスクを伴う可能性がある。

この記事をお読みになっている方の中には、「同期ファブリック」という言葉に不安を覚えた方もいらっしゃるかもしれません。その直感は正しいです。

パスキーが、Apple や Google 経由でログインしたすべてのデバイス上に魔法のように現れるという事実は、企業環境においては重大な問題であり、次のような重要な疑問が生じます。

ユーザーは、認証のために複数の(場合によっては個人用も含む)デバイスを使用することが許されるべきでしょうか? もし許されるのであれば、何台まででしょうか?

同期されたパスキーは、Google や Apple のアカウント復旧プロセスによって「紛失した」パスキーの復元を可能にします。素晴らしいことですが、これらのプロセスは十分に安全でしょうか?

友人や家族とパスキーを共有できるAppleの機能は素晴らしいですが、これは企業アプリケーションへのログインに使用するパスキーにも適用されるのでしょうか?

同期されたパスキーを使用する場合、企業のセキュリティは突如としてAppleとGoogleの技術的および組織的なセキュリティに大きく依存することになります。もちろん、iOSやAndroidを使用しているため、ある程度の依存関係は存在しますが、同期されたパスキーは、この依存関係を大幅に高めます。

これは理論上の脆弱性でもありません。昨年、Retoolは、脅威の主体がこの機能を利用してシステムにアクセスした方法について論じています。Retoolは、この機能により「Googleアカウントが侵害された場合、MFAコードも侵害される」と書いています。

想像通り、ですがAppleやGoogleがホストする同期ファブリックを介して個人の所有物を含むデバイス間でクレデンシャルが同期されていたり、家族とクレデンシャルが共有されている環境下で企業アプリケーションを利用するのは管理者から見ると悪夢となりそうです。簡単に言うとコントロールをAppleやGoogleに握られている状態(依存している状態)は企業にとって必ずしも良い状態ではない、ということですね。


Are Passkeys Ready for Enterprise Use or Not?

結局パスキーはエンタープライズで使える状態なのか?という話です。

Whether Passkeys should be used in the company cannot be answered in a general way. Every organization is different and must balance its unique security and operational priorities.

Moreover, whether to use passkeys shouldn’t be a yes/no question. The introduction of passkeys or passwordless login in general should be used to fundamentally review an organization’s entire MFA processes. What has been good for hardware OTP tokens for 15 years is probably no longer entirely true for passkeys or other MFA methods today.

RSA believes that passkeys can be deployed for enterprise use if they align with organizational strategy and if organizations think through their answers to the following questions. We’ve seen organizations use passkeys successfully using RSA® ID Plus, our comprehensive identity and access management (IAM) platform that provides a range of passwordless options.

Because we’re a security-first organization and use Secure by Design / Secure by Default principles, we prevent using synced passkeys by default. Only device-bound passkeys are available by default in RSA environments to provide the maximum level of security out-out-the-box, and without any extra work required by admins.

パスキーを企業で使用すべきかどうかは、一概に答えられるものではありません。 組織はそれぞれ異なり、独自のセキュリティと運用上の優先事項のバランスを取る必要があります。

さらに、パスキーを使用すべきかどうかは、イエス・ノーで答えられる質問ではありません。 パスキーやパスワード不要のログインを導入することは、組織のMFAプロセス全体を根本的に見直すために使用すべきです。15年間ハードウェアOTPトークンにとって有効であったことが、パスキーやその他の多要素認証方法ではもはや完全に当てはまらない可能性が高いのです。

RSAは、パスキーを企業で使用するには、組織の戦略と一致し、組織が以下の質問に対する答えを十分に検討することが必要だと考えています。RSAは、パスワード不要のさまざまなオプションを提供する包括的なアイデンティティおよびアクセス管理(IAM)プラットフォームであるRSA® ID Plusを使用して、パスキーを成功裏に使用している組織をいくつも見てきました。

当社はセキュリティを最優先する企業であり、「Secure by Design / Secure by Default」の原則を採用しているため、同期型パスキーのデフォルトでの使用は防止しています。RSA環境では、デフォルトではデバイスに紐づいたパスキーのみが利用可能であり、管理者による追加作業を必要とせずに、最大限のセキュリティをすぐに利用できます。

 まぁ、この辺りはポジショントークが入ってきていますが、Yes/No問題ではない、という点は真理だと思います。結局のところパスキーの登場をきっかけに企業における認証戦略を見直すことが重要ってことです。


Questions Organizations Must Ask Before Using Passkeys

まぁ、最後は当然のことながら自社サービスへの誘導ですね。とは言え、企業が自問すべきことについて触れられているのでここはみなさんちゃんと考えてみましょう。

When assessing whether to introduce passkeys, organizations should ask: How are our authenticators registered? Are there processes that safely handle the ‘I lost my authenticator’ scenario? What about the classification of users, applications and data?

Passkeys are one MFA method among many.  Yes, their phishing resistance is fantastic, but can users log in with it on their remote desktops?

For these reasons and many others, it’s important that your MFA system isn’t just technically up to date, but that it also supports a wide variety of MFA methods, such as QR codes, biometrics, OTP, push messages and FIDO passkeys.

It is also important that the processes around MFA are adapted to new threats. This goes far beyond the actual MFA system: Is your help desk also safe from social engineering attacks?

If passkeys make sense to you, then we want to help. Contact us to learn more or start a free, 45-day trial of ID Plus.

 パスキーを導入すべきかどうかを評価する際、組織は次のような質問を自問すべきです。「当社の認証情報はどのように登録されているか?」「認証情報を紛失した」というシナリオを安全に処理するプロセスはあるか?」「ユーザー、アプリケーション、データの分類についてはどうなっているか?」

パスキーは、数ある多要素認証(MFA)の方法のひとつです。 確かにフィッシング対策としては素晴らしいですが、ユーザーはリモートデスクトップ上でこれを使ってログインできるのでしょうか?

こうした理由やその他の理由から、MFAシステムは単に技術的に最新であるだけでなく、QRコード、生体認証、OTP、プッシュ通知、FIDOパスキーなど、多様なMFA方式をサポートしていることが重要です。

また、MFAに関連するプロセスが新たな脅威に対応していることも重要です。これは実際のMFAシステムをはるかに超えるものです。ヘルプデスクもソーシャルエンジニアリング攻撃から安全であるか?

パスキーが適切だとお考えであれば、ぜひご相談ください。詳細についてはお問い合わせいただくか、ID Plusの45日間無料トライアルをお試しください。

確かにパスキーは多要素認証の方法の一つ、として捉えて認証戦略について考えることは大切ですね。


ということでベンダのブログではありますが、結構書いてあることは重要だと思います。

日本企業・組織においてもパスキーを前向きに捉えて導入するためにもしっかりとシナリオを設計して導入を進めてほしいところです。

 

 

2024年8月20日火曜日

大学ICT推進協議会(AXIES)の参加申し込みが始まっています

こんにちは、富士榮です。


大学ICT推進協議会(AXIES・アクシーズ)の参加申し込みなどが始まっていますね。

https://axies.secretari.jp/conf2024/


いやぁ、奈良すぎる。ということで今年は奈良ですね。(去年は名古屋だった)

アイデンティティとの絡みで言うと、AXIESの中の認証基盤部会が毎年学術機関におけるデジタルアイデンティティについてのトレンドやあり方について発表しています。


私も毎年現地に行っていますので今年も行こうと思います。みなさんぜひお会いしましょう。
(12月ですが)

2024年8月19日月曜日

端末がパスキーにどこまで対応しているか確認する方法

こんにちは、富士榮です。

パスキーのテストをする際によく使うpasskeys.devに、端末(プラットフォーム・ブラウザ)がどんな機能をサポートしているのかを確認するためのページができています。

WebAuthn Features and Capability Detection

これを使うとブラウザが何をサポートしているのかが一目でわかります。
確認できるのは、以下の通りです。
  • Features
    • Get Client Capabilities
    • Conditional Get (Autofill UI)
    • Conditional Create (Opportunistic Upgrades)
    • Related Origin Requests
    • toJSON().Method
    • Parse JSON Request Options
    • Parse JSON Creation Options
  • Client Capabilities
    • Passkey Platform Authenticator
    • User Verifying Platform Authenticator
    • Hybrid Transports
    • Extension: PRF

試しに手元のデバイス・ブラウザで確認してみました。

MacOS 14.6.1 / Safari
MacOS 14.6.1 / Firefox 129.0.1



Android 14 / Chromeブラウザ

iOS 17.5.1 / Safari



うーむ。まぁわかってはいましたが先日の「パスキーはパスすべきなのか?」に書いた通りまだまだサポートレベルにばらつきはありますよねぇ。





2024年8月18日日曜日

選択的開示に関するReview論文を読む(8)

こんにちは、富士榮です。


引き続き選択的開示に関する調査論文を読んでいきます。

Selective disclosure in digital credentials: A review


今回は結論部分なので、これでこのシリーズは終わりです。

まとめとして以下の事項が書かれています。

  • Comprehensive literature review: We gave a comprehensive literature review on the broad topic of selective disclosure, identifying seminal works and future trends;
  • 包括的な文献レビュー:選択的開示という幅広いテーマについて、包括的な文献レビューを提示し、画期的な研究や今後の動向を特定しました。
  • Differentiation and categorization: We presented a differentiation and categorization of different types and formats for selective disclosure through RQ1. We introduced a new category, ZKP, and showed how combining different methods can improve selective disclosure. We showed the comparative strengths and weaknesses of each selective disclosure method and gave tables to explain the performance of each selective disclosure approach;
  • 差別化とカテゴリー化:RQ1を通じて、選択的開示のさまざまな種類と形式の差別化とカテゴリー化を提示しました。ZKPという新しいカテゴリーを導入し、異なる方法を組み合わせることで選択的開示がどのように改善されるかを示しました。各選択的開示方法の比較上の長所と短所を示し、各選択的開示アプローチのパフォーマンスを説明する表を提示しました。
選択的開示の手法として属性単位でクレデンシャルを作るアトミッククレデンシャル、署名ベースの方式、ハッシュ値ベースの方式が紹介された上で、ゼロ知識証明との組み合わせについても紹介されていましたね。
  • Application across formats: We illustrated through RQ2 how different methods of selective disclosure are applied across various formats. VCs and ACs are currently the most used formats. Hash-based and signature-based methods are the most commonly used approaches for selective disclosure;
  • フォーマットをまたいだ適用:RQ2では、さまざまなフォーマットにまたがって、選択的開示の異なる方法がどのように適用されているかを説明しました。現在、最もよく使用されているフォーマットはVCとACです。選択的開示の最も一般的なアプローチは、ハッシュ値ベースと署名ベースの方法です。
クレデンシャルフォーマットによってどんな手法が取られているか、について解説がありました。ハッシュ値ベース、署名ベースでの選択的開示が多かったですね。
  • Necessity and benefits of ZKP: We showed how ZKP is necessary for implementing specific signatures, but that is not necessary to achieve selective disclosure through RQ3. Trends suggest that ZKP gives an added benefit to selective disclosure and can be implemented as part of the solution for selective disclosure;
  • ZKPの必要性と利点:ZKPが特定の署名を実装するために必要であることを示しましたが、RQ3による選択的開示を実現するには必ずしも必要ではありません。傾向から、ZKPは選択的開示に追加の利点をもたらし、選択的開示のソリューションの一部として実装できることが示唆されます。
選択的開示にゼロ知識証明を利用するかどうか、について方式と合わせて分析していましたね。
  • Future trends in digital identity: We showed that future trends for implementing identity and credentials tend to be focused on using blockchain through RQ4, but that there are benefits and drawbacks in using it;
  • デジタルアイデンティティの今後の動向:RQ4を通じて、アイデンティティとクレデンシャルの実装に関する今後の動向はブロックチェーンの利用に重点が置かれる傾向にあることを示したが、それを利用することには利点と欠点がある。
ブロックチェーンの利用動向について分析がされていました。2018年以降、選択的開示に関してブロックチェーンの利用が増えてきている、という分析でした。
  • Identification of research gaps: We identified critical gaps in current research, from technical to regulative gaps.
  • 研究のギャップの特定:技術的なギャップから規制上のギャップまで、現在の研究における重大なギャップを特定しました。
研究と実装や規制の間にはまだまだギャップがある、という話でした。まだまだ技術の進歩が必要ですね。


そして、以下の文章で締め括られています。
Currently, this research area is expanding, and there is still room for improvement for all the defined categories of methods for selective disclosure. There is no clear winner and the “best” universal solution. We encourage researchers to improve on the existing methods, consider new methods or revisit older ones, and even consider methods that are quantum-resistant for the future. The focus should be on finding methods that satisfy all requirements for selective disclosure schemes and specific regulations.

In the future, standardizing credentials will result in interoperable solutions and improve the development of methods for achieving selective disclosure. With this paper, our goal was to create a starting point for researchers interested in achieving selective disclosure in the digital credential world.

現在、この研究分野は拡大しており、選択的開示のための定義された方法のすべてのカテゴリーにおいて、まだ改善の余地がある明確な勝者や「最善」の普遍的なソリューションは存在しない。研究者には、既存の方法を改善し、新しい方法を検討したり、古い方法を再検討したり、さらには将来的な量子耐性のある方法も検討することを推奨する。選択的開示スキームのすべての要件および特定の規制を満たす方法を見つけることに焦点を当てるべきである

将来的には、クレデンシャルの標準化により相互運用可能なソリューションが実現し、選択的開示を実現するための方法の開発が改善されるでしょう。本論文の目的は、デジタルクレデンシャル世界における選択的開示の実現に関心を持つ研究者の出発点となることでした。


将来に向け、継続的な技術開発が望まれますね。

2024年8月17日土曜日

Entra Verified IDの顔マッチング機能が正式リリース(こんどこそ)

こんにちは、富士榮です。

Entra Verified IDのFace check機能の正式リリースについて先月書きましたが、アナウンス的にはEntra Suiteが正式リリースでFace check自体はPublic Previewの状態だったみたいです。

https://idmlab.eidentity.jp/2024/07/entra-verified-id.html


ということで、(こんどこそ)正式リリースになったようです。

https://techcommunity.microsoft.com/t5/microsoft-entra-blog/face-check-is-now-generally-available/ba-p/4175880

MicrosoftのBlogより


ということでHappy face check lifeを!

2024年8月16日金曜日

選択的開示に関するReview論文を読む(7)

こんにちは、富士榮です。


引き続き選択的開示に関する調査論文を読んでいきます。

Selective disclosure in digital credentials: A review

https://www.sciencedirect.com/science/article/pii/S2405959524000614


今回は研究と実装の間に、、、という話です。


論文中には研究の対象となっている選択的開示技術と社会実装における各種規制などとのギャップについて記載があります。

例えばGDPRとCRPA(記載時点ではCCPA)などを鑑みると選択的情報開示の実装には以下の要件が求められると書かれています。

  • Disclosing attributes from at least two separate credentials issued by the same or different issuers;
  • Proving disclosed attributes belong to the subject presenting them;
  • Ensuring disclosed attributes are unlinkable from multiple presentation sessions;
  • Proving that disclosed attributes belong to the appropriate credential.
  • 同一または異なる発行者によって発行された少なくとも2つの別個のクレデンシャルから属性を開示すること。
  • 開示された属性が提示した対象に属することを証明すること。
  • 開示された属性が複数の提示セッションからリンクできないことを保証すること。
  • 開示された属性が適切なクレデンシャルに属することを証明すること。
本論文で分析した対象の中には要件を達成しているものもあるが全く考慮されていないものも存在している、ということです。
要するに要件が整理されてくるより前に要素技術の研究が始まって自由に仕様を作っていっていた、ということなんでしょう。。

同じく実装を見ると以下のようなギャップに関しても指摘されています。
  • Balancing privacy with transparency — one of the biggest challenges is balancing the need for privacy with the requirements for transparency;
  • Regulatory compliance — as laws evolve, ensuring that technology complies with international, federal, and national regulations is becoming increasingly complex;
  • Security risks — implementing selective disclosure increases the complexity of the encryption system, potentially introducing new vulnerabilities;
  • Scalability and efficiency — certain solutions may need to be more scalable and efficient for widespread use. There is a need for a more robust system that can handle large volumes of data.
  • プライバシーと透明性のバランス — 最大の課題のひとつは、プライバシーの必要性と透明性の要件のバランスを取ることです。
  • 規制への準拠 — 法規制の進化に伴い、テクノロジーが国際的、連邦、および国家レベルの規制に準拠することはますます複雑化しています。
  • セキュリティリスク — 選択的開示を実施すると、暗号化システムの複雑性が増し、新たな脆弱性が潜在的に生じる可能性があります。
  • 拡張性と効率性 — 特定のソリューションは、より広範な用途に利用できるよう、より拡張性と効率性を高める必要があるかもしれません。 大量のデータを処理できる、より強固なシステムが必要です。

確かに3つ目の実装の複雑性がますことでセキュリティ・リスクが高まる、という視点はあるなぁ、、と思ってみていました。
SAMLの脆弱性の話など、どうしても頑張って実装する必要がある仕様って、仕様は正しいんだけど実装で間違える、ってことが起きがちですね。

また、PQCの話も重要な点として指摘されています。
署名ベースの場合は、アルゴリズムの強度を考えないとポスト量子セキュアとは言えませんね。


いよいよ次は結論というかまとめの部分です。



2024年8月15日木曜日

次回のIIWの前日のOpenID Foundation Hybrid Workshopの登録が始まりました

こんにちは、富士榮です。


毎回、IIW(Internet Identity Workshop)などのイベントと併せて開催されるOpenID Foundation Hybrid Workshopですが、次回のIIW(2024/10/29〜10/31)でも開催されます。



今回はCISCOのメンローパークのオフィスが会場です。

(前回はGoogleで開催でした。レビューはこちら


ということでアナウンスです。

https://openid.net/registration-oidf-workshop-cisco-october-28-2024/


Thank you kindly to Cisco for hosting this hybrid workshop on Monday, October 28, 2024 12:30-3:45pm PT prior to IIW Fall 2024.

Cisco Campus

Bldg. 10 - Menlo Park

300 E Tasman Dr

San Jose, CA 95134

まだアジェンダなどは出てきていませんが、OpenID Foundationの各ワーキンググループの最新のアクティビティの確認ができるのでぜひ登録してみてください。

 

2024年8月14日水曜日

デジタルクレデンシャルによる「本人確認」と「身元確認」

こんにちは、富士榮です。

「クレデンシャル」という言葉も色々と定義がブレブレだという大きな課題はあるものの、さまざまな証明書をデジタル化(クレデンシャル化)するムーブメントの中では更にわけがわからないことになってきていますので、そろそろ定義をちゃんとしていかないといけない時期にきているわけです。

OpenArtに「Digital Credential, National ID」と入れたら生成された画像


例えば、マイナンバーカードをスマホ搭載した場合のmDocは本人確認書類として利用できるデジタルクレデンシャル、という位置付けとされていますが、マイナンバーカードを使って本人確認された情報をVerifiable Credentialとして発行したものも同じように本人確認書類として利用できるかのように表現されてしまっているのは本当に大丈夫なのか?という話はその典型だと思います。また、学修歴や資格試験の合格証のデジタル化のように本来は「資格を有していることを証明するもの」を使って「認証」をしてしまうようなケースまで出てきてしまっているのも気になるところです。まるでアクセストークンを使って認証を行う「OAuth認証」の悪夢が再び繰り返されているかのようです。

ということで、今日は
  • いわゆる”本人確認VC”などを本人確認に利用することはできるのか?
  • デジタルクレデンシャルを本人確認に用いるための要件は何か?
を見ていきましょう。


そもそも「本人確認」とは?

経済産業省「オンラインサービスにおける身元確認に関する研究会」並びに、その後OpenIDファウンデーションジャパンが公開した「民間事業者向けの業界横断的なデジタル本人確認のガイドライン」において、本人確認は「身元確認」と「当人認証」の2つの要素で構成されるという整理をしています。つまり当該のエンティティについて「実在していること」と「当人性」が確認できることを指しているわけです。

身元確認

先のガイドラインでは身元確認の目的を「実在性を確認すること」である、と定義しています。
  • 本⼈確認書類を確認する等により、「実在性」を確認することであり、⼀般的にはユーザー登録等が該当します。
  • ここでの実在性は、1) 集められた属性によって当該⺟集団の中でそれぞれの要素を区別することができ、2) 申請者が実在し、3) 申請された属性の値が正しく、4) その属性が申請者に関するものであること、によって確認される。

当人認証

同じくガイドラインでは当人認証の目的を「当人性を確認すること」である、と定義しています。要するにログイン時の認証ですね。
  • あらかじめ登録されているパスワードや⽣体情報等と⼿続を⾏う際に⼊⼒されたパスワードや⽣体情報等を照合する等により、「当⼈性」を確認することであり、⼀般的にはログインが該当します。

デジタル化されたクレデンシャルによる「身元確認」

さてさて、ここまで見てきたところによると、「本人確認書類」を使って本人確認を構成する要素の一つである「身元確認」を行って「実在性」を確認するということでした。
ということはデジタル化されたクレデンシャル(mDocやVC)を本人確認書類として使って「実在性」の確認ができれば良い、というのがミニマムな要件になりそうです。
ここで言う「実在性」とは住民基本台帳など権威あるデータベースに当人に関する情報が確かに記録されていることを指しています。こうなるとクレデンシャルに記載されている情報と住民基本台帳に記載されている情報を一意にマッチングできることが必要となります。
最低限、このくらいの要件がありそうです。
  • 偽造されていないこと
  • 同姓同名を含め一意に識別できること
  • 住民基本台帳側の情報更新に追従できていること
こうなると、マイナンバーカードを使って身元確認した結果を使った”本人確認VC”では身元確認はできなくなってきそうです。少なくとも民間事業者が管理するIDでしかない場合においては住民基本台帳上の情報とのマッチングを確実に実施することは不可能ですし、有効性確認APIを使ったとしても住民基本台帳側の更新と完全に同期を取るのは難しいはずです。
(結局、マイナンバーカードのコピーを使って身元確認はできないですよね、という話だと思います)
つまり、結局はマイナンバーカードと同列で政府がデジタルクレデンシャルを発行し、管理している状態でないと日本国民という「身元」を確認するための「身元確認」に使う「本人確認書類」としての要件を満たすことはできない、ということになりそうです。

同様に、実在性確認のスコープが企業内や学校内に「実在」することを確認する、という話であったとしても、当該の企業や学校などの組織が発行した(委託先が発行するケースはもちろんあり得る)デジタルクレデンシャルでないと「本人確認書類」としては使えない、という話になります。

デジタル化されたクレデンシャルによる「本人確認」

一方で、デジタル化されたクレデンシャル(mDocやVC)を使って「本人確認」つまり「実在性」+「当人性」の確認を行う、ということを考えるとどうでしょうか?実は世の中で言われている”本人確認VC”などのワードを見る限りで言うと、先に述べたような身元確認以上のことをデジタルクレデンシャルを使ってやってしまえる、というイメージを植え付けてしまっている(言っている側が正しく理解できていない、もしくは敢えて混ぜで話している)ケースが多いのではないか?と感じています。

さきに見てきたように、本人確認書類として利用できる状態のクレデンシャルであれば「実在性確認」ができる、つまり「身元確認」はできることはわかりました。追加で考えなければいけないのは「当人性の確認」が当該のクレデンシャルで実施できるかどうか?という点です。

つまり、当該のクレデンシャルを行使しているのが、当該クレデンシャルのサブジェクトと一致している「当人」であることを確認する必要となります。
そのためには、
  • クレデンシャルを当人以外行使できない仕掛けが存在している
  • 検証者が客観的に見てクレデンシャルのサブジェクトと行使者が一致していることを検証できるだけの情報がクレデンシャルに含まれている
などの要件が出てきます。

一般にクレデンシャルを当人以外が行使できないようにするためにはウォレットに認証の仕組みを入れたりすることが多いと思いますが、検証者はクレデンシャルの発行先がサブジェクトと一致していることを暗黙的に「信頼」する必要がある点が大きな課題です。何を言っているかと言うと、クレデンシャル発行者がクレデンシャルのサブジェクトが指し示す主体とHolderが一致していることを検証した上でクレデンシャルを発行していることを「期待」するわけです。(簡単に言うと、Aさんの運転免許証をBさんのウォレットに発行していないですよね?ってことです)

これはなかなかハードな話だと思います。そうなると検証者が自身でクレデンシャルのサブジェクトと提示者となるHolderが一致していることを確認する(もしくはできる)ことが大切になります。
具体的には現実世界で行われている、
  • クレデンシャルに埋め込まれた顔写真と提示者の顔が一致していることを確認する(免許証の目視確認)
  • クレデンシャルを使うためのPINを使って認証しないと提示ができないという状態を作る(マイナンバーカードの公的個人認証など)
といった必要が出てきます。

こうなると券面入力補助APを使っている限りは4情報のみしか取得できない(顔情報は取得できない)ので券面APを使うか、公的個人認証APを使わないとダメって話になります。
ますます民間の”本人確認VC”では無理ゲーな話になってきました。

とはいえ

なんだかイノベーションのかけらもない話になってきましたが、結局のところ検証者がどのレベルで本人確認や身元確認をしたいのか次第という話ではあります。
つまり、現実世界のユースケースでも住民票のコピーを使って身元確認をしたり、顔写真のない身分証明書を2つ用意すればコンサート会場に入れたりするわけで、検証者たる事業者はリスクとベネフィットの天秤の世界の中で生きているわけです。
ですので、これを言うと元も子もないのですが「全ては検証する側のビジネス事情次第」ということになってしまうのかと思います。(もちろん法規制がある場合は事業者が勝手に決めるわけにはいきませんが)

結論はなんだ?

ここまでの話で、民間の”本人確認VC”などマイナンバーカードを使って生成・発行したクレデンシャルを本人確認書類として実在性確認をしたり、当人認証をするのは難しい、というテイストになってしまいましたが、結局最後に書いた通り「事業者の事情による」ところが大きいので、デジタルクレデンシャルを使おうとする事業者の皆さんは「どこまでのレベルで」、「何(身元確認、本人確認)」を求めるのか、をしっかりと定義することが重要ってことです。

2024年8月13日火曜日

最新のガートナーのプライバシーに関するハイプサイクルではゼロ知識署名が廃れそうになっている?

こんにちは、富士榮です。

なかなか挑戦的な調査レポート(というかハイプサイクル)がガートナーから出てきてザワザワしていますね。



念の為、スクショも(あくまでバックアップ用途)

これはみなさんお馴染みにガートナーのハイプサイクルのプライバシーに関するものです。
ゼロ知識証明が幻滅期に入ってきており、「obsolete before plateau(廃れる前の踊り場将来、安定期に達する前に陳腐化するだろう)」とされていますね。
※Nさん!適訳をありがとうございます!

コメントを見ていると、
  • ガートナーは2023年にマルチパーティ計算を同じようにobsoleteにしていたよね
  • ゼロ知識に関するハイプはプライバシーではなくスケラービリティに関する話ばっかりだったしなぁ
  • ガートナーもweb3の文脈ではゼロ知識証明に積極的だったはず
  • 現時点でゼロ知識証明は過小評価されているが、いずれもっとユビキタスになっていくはずだ
  • AIについても同じように言われていたから気にするな
  • ゼロ知識証明がブロックチェーンに関連して語られすぎているからじゃない?
などと、ざわついている感じではありますがあんまりみんな気にしてない感じではありますね。

さてさてどうなることやら。
(ちなみに分散型アイデンティティも同じく幻滅期にきていますね)


なお、幻滅期という言い方が悪いんでしょうが、本来のガートナーのハイプサイクルの見方では
幻滅期: 実験や実装で成果が出ないため、関心は薄れます。テクノロジの創造者らは再編されるか失敗します。生き残ったプロバイダーが早期採用者の満足のいくように自社製品を改善した場合に限り、投資は継続します

と定義されています。

(出典:ガートナー・ハイプ・サイクル


つまり、キーワードだけで過剰に投資が集まる時期(過度な期待の時期)が過ぎて、より現実を見つめる時期に入ってきている、ということですね。

 この時期に入った今こそ、ちゃんとPSF(Problem Solution Fit)を達成できる状態を作り、PMF(Product Market Fit)まで持っていけるように助走をつけないと本当に廃れちゃいますね・・・


2024年8月12日月曜日

複数のウォレットをiPhoneにインストールすると困る話

こんにちは、富士榮です。


先日のMyData JapanカンファレンスではDataSignさんが提供されているOWND Walletへの入場証の発行が可能なことが現地では話題になっていました。

当日のセッションでも代表の太田さんからはオープンソースであるOWND Walletのコードを使ったVESSさんのVESS Walletも紹介され、両方のアプリをインストールした方も多いのではないでしょうか?

しかし、当日実際に両方のウォレットアプリがインストールされている状態だとうまく意図したウォレットに入場証明書が入らない、という課題が発生していました。

これはiOSを少しだけ知っている人なら推測がつくと思いますが、OWND WalletとVESS Walletが同じカスタムURLスキーム(openid-credential-offer://など)を使っていることから「後から」インストールしたアプリが優先されてしまう、というiOSの仕様によって発生します。


OWND WalletかVESS Walletか、くらいの話なら気をつければ特に問題はありませんが、今後ウォレットが乱立してきて「悪意のある」ウォレットが出てきたり、「一見ウォレットに見えない」アプリが出てきた場合に思わぬ事態を招きかねない、という問題を内包しています。

この話は以前紹介したOpenID for Verifiable Credentials関連仕様のフォーマルセキュリティ分析のレポートでも指摘された課題です。

https://idmlab.eidentity.jp/2024/01/openid-for-verifiable-credentials.html



ということで、ちょっと嫌な方法ではあるのですが、各アプリケーションがどんなカスタムURLスキームを使っているのかを調べてみます。

少し古いのとMacにアプリをインストールする必要があるので個人的にはすごく嫌だったんですが、人柱になりました。

このURLを参考にしています。

https://blog.thetheorier.com/entry/extract-url-scheme

https://www.imobie.jp/iphone-tips/extract-ipa-files-from-iphone.htm


ざっくりいうと、

  • ipaファイルからURLスキームを抜き出すデスクトップアプリ(実態はPythonスクリプトらしい)
  • AnyTrans(商用アプリ。トライアルで試しました)

をMacに入れてあげる必要があります。(さらにいうと自分のAppleアカウントでAnyTransにサインインする必要もあるのでもっと嫌です・・・)


まずはAnyTransで対象としたいアプリをダウンロードしてMacに転送します。個人的にカスタムURLスキームが被っているのを知っているのは先に触れたOWND Wallet / VESS Wallet、あとはxIDアプリとMicrosoft Authenticatorです。


こんな感じでipaファイルが抽出されてきますので、extract_url_schemeを実行していきます。

こんな感じで各アプリがどんなURLスキームを登録しているか見えます。
この例だとMicrosoft AuthenticatorとxIDアプリがopenid-vcというURLスキームを重複登録していることがわかりますね。


これはウォレットエコシステムを作る上で大きな課題となりますので、Chrome 128ベータでも実装されてきているDigital Credential APIが本命になってくるのかと思います。


引き続き要ウォッチですね!

2024年8月11日日曜日

選択的開示に関するReview論文を読む(6)

こんにちは、富士榮です。


引き続き選択的開示に関する調査論文を読んでいきます。

Selective disclosure in digital credentials: A review

https://www.sciencedirect.com/science/article/pii/S2405959524000614


で、結局はどうなのよ、という話です。

ここまで、

  • ハッシュベース
  • 署名ベース
  • ゼロ知識証明
を使った選択的開示手法について見てきましたが、それぞれ利点と欠点があるはずです。

論文ではそれぞれ以下のように論じています。

ハッシュベース

  • 利点
    • 計算量が少なく済む
  • 欠点
    • ハッシュ方式によっては破られてしまう(主にソルトを使わない場合)

署名ベース

  • 欠点
    • 計算量が多くなる

ゼロ知識証明

  • 利点
    • 属性値を明らかにすることなく証明できる唯一の方法である
  • 欠点
    • 計算量が最も多い

なんだかZKP推しにも見えますが、標準化された完璧な方法は存在しないのでユースケースごとに適した手法を使うことが良い、という結論です。
まぁ、まだまだ継続的に議論・研究が進んでいる領域ですね。

著者も選択的開示に関する論文の出版が近年急激に増えているということを示しています。


引き続き勉強していきたいですね。