高度情報通信ネットワーク社会推進戦略本部新戦略推進専門調査会第 7 回マイナンバー等分科会資料 (2014 年 12 月 2 日 ( 火 )) 資料 5 ID 認証連携の動向 ヤフー株式会社 1 Copyright (C) 2014 Yahoo Japan Corporation. All Rights Reserved. 無断引用 転載禁止
あらすじ ネット環境における ID の状況 オンラインでのサービス利用とID IDを取り巻く環境変化とYahoo! JAPANの取り組み ID に関する技術 サービスの動向 Yahoo! JAPANのシングルサイン機能 Yahoo! JAPANとパートナーサービス連携機能 Yahoo! JAPANとAPI 連携機能 Yahoo! JAPAN IDの会員情報連携機能 不正利用を水際で防ぐ取り組み 多要素 生体認証への取り組み まとめ 2 Copyright (C) 2014 Yahoo Japan Corporation. All Rights Reserved. 無断引用 転載禁止
オンラインでのサービス利用と ID 利用者の ID の現状 ネットサイトごとの複数の ID を平均 8.9 個保有 - ( 出展 ) ID ビジネスの現状と課題に関する調査研究 ( 総務省 ) http://www.soumu.go.jp/main_content/000061624.pdf 一人あたり 約 14 のサイトに対してパスワードを設定 約 7 割が 3 種類以下のパスワードを複数サイトで使いまわし - ( 出展 ) トレンドマイクロ社プレスリリース http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20130829075331.html 人が記憶できる最大 ID の数約 8 割は 2~5 個しか記憶できない - ( 出展 ) IPA オンライン本人認証方式の実態調査 http://www.ipa.go.jp/security/fy26/reports/ninsho/ 新たな攻撃 脅威 パスワードリスト型攻撃 - 同一のパスワードを使い回す利用者の ID パスワードのリストが漏れた場合に 第三者が前記利用者になりすまして他のサービスに不正にログインする クレジットカード不正使用 - カード情報を登録している通販サイトの ID の乗っ取り - コンピュータウィルスや偽のメールでのカード情報盗用 ID 詐取マルウェアの増加 - マルウェアに感染した PC モバイル端末から ID 情報を搾取 3 Copyright (C) 2014 Yahoo Japan Corporation. All Rights Reserved. 無断引用 転載禁止
ID を取り巻く環境変化と Yahoo! JAPAN の取り組み ID を取り巻く環境変化 Web サイトの増加スマホアプリの増加 パスワードの使い回し リスト型攻撃の多発決済不正利用の増加 ID 詐取マルウェアの増加 本人確認法制の整備 犯罪収益移転防止法 出会い系サイト規制法 携帯電話不正利用防止法 個人属性共有 API 連携シングルサインオン ID 連携認証登録 Yahoo! JAPAN の取り組み 事前記入型フォーム API を使ったサイト間連携アプリ間 SSO Yahoo! ID 連携 ワンタイムパスワード生体認証 (Touch ID, FIDO) リスクベース認証 本人限定郵便による本人確認 SMS による携帯電話番号確認 4 Copyright (C) 2014 Yahoo Japan Corporation. All Rights Reserved. 無断引用 転載禁止
Yahoo! JAPAN ID のシングルサインオン機能 認証連携 Yahoo! JAPAN ID に紐付けているパートナーにヤフーの認証だけでログイン 効果 利用者 : 利便性の向上 ログインの手間軽減 パートナー : 集客 アクセス回数増 パスワード流出リスクの回避 パートナー パートナーサイト ( ログインページ ) ヤフー ID パスワード ログイン画面 Yahoo! JAPAN ID でログイン をクリック 1 パートナーサイト ( サービスページ ) サービスを開始 2 認証結果情報 Yahoo! JAPAN ID とパスワードを入力 認証に成功したら 認証結果情報を作成し パートナーに送付 5
Yahoo! JAPAN とパートナーサービス連携機能 認証連携 ヤフーにログインすることで パートナーの提供するサービスが利用可能 効果 利用者 : 利便性の向上 ログインの手間軽減 パートナー : サービス利用率の向上 Starbucks との連携 ANA との連携 T-POINT との連携 WiFi 環境が即時に利用可能 個人アカウントにアクセス可能 ポイント情報を容易に閲覧可能 Mobage との連携 オープンデータ IDEABOX との連携 Money Forward との連携 個人アカウントにアクセス可能 利用者の環境 状態で ゲームを即時に開始可能 残高照会を容易に閲覧可能 6 Copyright (C) 2014 Yahoo Japan Corporation. All Rights Reserved. 無断引用 転載禁止
Yahoo! JAPAN と API 連携機能 個人属性共有 外部サイトを API を使って呼び出すことにより連携サービスを提供 効果 利用者 : 利便性の向上 連携サービスの利用 パートナー : 連携サービスの提供 サービス構築コスト減 Facebook との連携 埼玉県との連携 Yahoo! JAPAN のトップページから Facebook のニュースフィードが閲覧可能 埼玉県広報ポータルページに埼玉県に特化した Yahoo! 天気情報を掲載 ちばレポとの連携 千葉市民協働レポートを Yahoo! 地図上で表示 7 Copyright (C) 2014 Yahoo Japan Corporation. All Rights Reserved. 無断引用 転載禁止
Yahoo! JAPAN ID の会員情報連携機能 (1) 個人属性共有 登録している情報を用いて 繰り返し入力が不要 効果 利用者 : 利便性の向上 入力手間の削減 サービス利用機会の増大 パートナー : 会員登録者数増 サイト来訪率増 パートナー パートナーサイト ( 新規会員登録ページ ) メールアドレス氏名氏名 ( フリガナ ) 生年性別住所 ヤフー ログイン済であれば登録情報の連携の確認画面を表示 同意画面 Yahoo! JAPAN ID に登録している情報を入力フォームへ反映し 入力処理を簡略化 1 パートナーサイト ( 新規会員登録ページ ) フィードした内容を確認して簡単に登録完了 メールアドレス氏名氏名 ( フリガナ ) 生年性別住所 tnaka@yahoo.co.jp 田中太郎タナカタロウ 1950 年男東京都港区 Yahoo! JAPAN ID の情報 2 情報を連携 ヤフーデータベース この情報で登録を完了する 8 Copyright (C) 2014 Yahoo Japan Corporation. All Rights Reserved. 無断引用 転載禁止
Yahoo! JAPAN ID の会員情報連携機能 (2) 個人属性共有 ゲーム系パートナー / スマホサイトで Yahoo! ID 連携導入前後の新規会員登録数を比較 Yahoo! ID 連携導入前. Yahoo! ID 連携導入後. Yahoo! ID 連携導入後 約 2 倍新規会員登録数が増加! 無料登録 ログイン 無料登録 ログイン Yaoo! ID 連携を利用して取得している属性情報メールアドレス 生年 性別 Y! ログインボタン経由の新規会員登録数 既存フォームを経由した新規会員登録数 Yahoo! ID 連携導入日を除く 前後 19 日間で検証 Yahoo! ID 連携導入前 Yahoo! ID 連携導入後 9 Copyright (C) 2014 Yahoo Japan Corporation. All Rights Reserved. 無断引用 転載禁止
不正利用を水際で防ぐ取り組み 認証 リスクベース認証 利用者の環境や行動パターンを分析し 判定したリスクをもとに追加操作を促す方式 ( 例 ) 普段と異なる機器や IP アドレスからのアクセス CHAPCHA など追加の操作を要求 ログインアラート新たな環境からのログイン時に事前登録されたメールに通知 ログイン履歴ログイン元の地域や IP アドレスの履歴を表示 シークレット ID ログインのみに利用する秘密のログイン専用 ID 10 Copyright (C) 2014 Yahoo Japan Corporation. All Rights Reserved. 無断引用 転載禁止
多要素 生体認証の取り組み 認証 多要素認証の取り組み : ワンタイムパスワード 二要素目の認証に 一度だけかつ短時間有効なパスワードを表示し入力 生体 所有物認証の取り組み : FIDO (Fast Identity Online) Alliance 脱パスワード 記憶に頼る認証から 所有物 生体認証を導入し 相互運用可能な方式を標準仕様化 Google/PayPal/Microsoft らが推進 多様な認証手段を取り込むことができ 多要素認証による認証を強化 FIDO による認証の仕組み スマートフォン /PC 認証サーバ (IdP) 認証器群 認証結果情報 1 認証器や公開鍵を登録 指紋 3 認証結果情報を送付 公開鍵 音声 USB キー 2 端末上で生体 所有物認証 4 認証結果情報を検証 11 Copyright (C) 2014 Yahoo Japan Corporation. All Rights Reserved. 無断引用 転載禁止
まとめ 表向きは ID パスワードを照合しているだけにみえている ID サービスも 実際には攻撃パターンに応じた防御技術の導入や リスト型攻撃を受けている ID を水際で止めるなど継続的な運用と改善によって利用者の安全性を担保している ID の運営に要する技術力やコストが上がっていること 複数サイトでの ID の使い回しがリスト型攻撃の温床となっていることから 複数のサイトで同じ ID を利用できるようにする ID 連携 が活用されている 不正の防止 検出のために リスクベース認証や 多要素認証も導入している これらは端末での特別な対応なしにID パスワードによる認証を強化することが可能である ID パスワード認証の危殆化を受けて ハードウェアトークンや生体認証などパスワードに依存しない認証方式の開発が活発化している これらの技術は一定の効果が見込まれるものの現時点では技術進歩が激しく 対応している機種や環境が限られるため 動向を注視しつつ柔軟に対応していく方針である ID 連携を行えば 利用者は同じID パスワードでログイン ( シングルサインオン ) でき いくつものパスワードを覚える必要がなくなる他 API 連携を通じてサイト間でデータを交換したり Webサイトや多様な機器で動くアプリケーションから地図や決済といった外部サイトの機能を簡単に呼び出すことができる APIを通じたデータ連携によって 例えば予め登録されている情報については フォームに事前記入しておくことで繰り返し入力を省き 登録作業を簡便化できる その結果 ID 連携先は利用者数の増加を期待できる ヤフーとしては利用者の安全性と利便性の向上のため ID 連携を積極的に推進していく 12 Copyright (C) 2014 Yahoo Japan Corporation. All Rights Reserved. 無断引用 転載禁止