OpenID Foundation、新しいFIDOとShared Signalsのホワイトペーパーを称賛
OpenID Foundationは、FIDO認証とShared Signals Framework(SSF)が企業のセキュリティ課題に対処するためにどのように連携するかを検証した、FIDOアライアンスによる新しいホワイトペーパーの発表を歓迎します。
私たちは、FIDO Enterprise Deployment Working Groupが、OpenID関連仕様と整合性を持たせるために払った多大な努力を認識しており、このホワイトペーパーの更新版や実装者向けガイドについて協力する機会を歓迎します。この取り組みは、それぞれの仕様が進化するにつれて発展していくものであり、このFIDOレポートからの具体的な専門家のガイダンスは、業界での採用を加速し、これらの補完的なセキュリティ標準のメリットを実現する助けとなるでしょう。
単なる認証を超えて:継続的セキュリティ評価
多くの企業のアイデンティティおよびアクセス管理システムは独立して運用されており、プラットフォーム間での可視性が制限されています。FIDOプロトコルは、この課題の一部を解決するために、公的鍵暗号を使用した強力なフィッシング耐性認証を提供し、パスワード認証の脆弱性を排除します。しかし、認証は最初のステップに過ぎません。組織は、ユーザーがログインした後のセッション状況や新たに発生するセキュリティリスクについて、継続的な可視性を確保する必要があります。
ここでSSF(Shared Signals Framework)が役立ちます。SSFは、異なるシステムやベンダー間でアイデンティティとセキュリティイベントを安全かつリアルタイムで共有することを可能にします。これらのイベントには、リスクシグナル、認証情報の漏洩通知、セッションの取り消しが含まれます。FIDO認証をSSFのプロトコル(Continuous Access Evaluation Protocol(CAEP)およびRisk Incident Sharing and Coordination(RISC))と統合することで、組織はユーザーセッションライフサイクル全体を通じて、タイムリーで情報に裏付けられた意思決定を行うことができます。
実用的な活用例
本ホワイトペーパーでは、オンボーディングや役割変更から、オフボーディング、アカウント復旧に至るまで、ユーザーライフサイクル全体にわたる実用的な活用例を説明しています。組織は、共有シグナルを使用して、侵害されたアカウントを自動的に無効化したり、より高いセキュリティが必要な場合にステップアップ認証を強化したり、セッション監視の改善によってフェデレーションログインを向上させることができます。SSFは、セキュリティイベントのための共通言語を作り出し、異なるシステムが情報を共有し、組織の壁を越えた対応を可能にします。
業界での採用とテストリソース
「セキュリティは最初のログインだけで終わりません。このホワイトペーパーは、FIDOとShared Signalsが包括的なセキュリティ戦略において補完関係を持つ存在としてどのように機能するかを示しています。FIDOは安全に入口の"ドア"を開ける役割を果たし、SSFはセッション全体を通して適切なアクセスレベルを維持できるようにします。この組み合わせにより、企業が今日の巧妙なアイデンティティベース攻撃に対抗するために必要な"ゼロスタンディング特権[i]"アーキテクチャが実現します。」(OpenID Foundation Shared Signals Working Group 共同議長 Atul Tulshibagwale氏)
FIDOのホワイトペーパー編集者であり、OpenID Foundation Shared Signals Working GroupのコントリビューターでもあるApoorva Deshpande氏は次のように述べています。「FIDOは入口における強力でフィッシング耐性のある認証のための"ゴールドスタンダード"を提供してきました。OpenID Shared Signals Frameworkは、継続的かつリアルタイムなシグナルによってセッション全体を保護します。この強力な組み合わせにより、多様なシステムが連携して動作し、対応を自動化し、リスクが検知された際には即座にアクセスを取り消すことができます。これにより、将来に向けた真に協調的でシグナル駆動型のセキュリティアーキテクチャが構築されます。」
OpenID Foundationは、組織がFIDOおよびShared Signalsの各仕様を実装することを推奨します。この取り組みを支援するため、Shared Signals向けのオープンソースのドラフトテストスイートが無償で公開されており、実装の妥当性検証に役立てることができます。ユーザーはテスト計画を作成する際、SSFのテストプランにアクセスするために「show early version tests(初期版テストを表示)」を有効化する必要がある点に留意してください。
OpenID Foundationの認証チームのThomas Darimont氏は次のように付け加えています。「OpenID Conformance テストスイートの一部であるShared Signals Frameworkのテストは、実装者がSSFの送信側・受信側の相互運用性を検証し、革新を持って統合を強化できるよう設計されています。SSFの上に構築している皆さまには、これらのテストを早期かつ頻繁に活用いただき、フィードバックを共有していただくことを奨励します。そうすることで、エコシステムを共に継続的に改善していけます。」
仕様に関するフィードバックは、実装者の方々からOpenID Foundationの認証チーム宛てにお寄せください:certification@oidf.org
年内には、OpenID FoundationはShared Signalsの仕様に対する自己認定を、実装者が利用できるように提供開始する予定です。手数料は手頃で、会員には割引が適用されます。開発者はテストに準拠する形で実装を構築し、その適合性を実証し、他者にコンフォーマンスを示すことができるようになります。
FIDO AuthenticateにおけるShared Signalsのデモンストレーション
今週のFIDO Authenticateにおいて、参加者はShared Signalsの実際の動作を確認しました。このデモンストレーションに関する詳細は、別途共有される予定です。本デモは、過去2年間で4回目となるShared Signalsの相互運用性実証の一環です。
[i] ユーザーやシステムに、永続的な特権(Standing Privilege)を与えないという考え方・これを実現したもの