© 2015 NTT DOCOMO, INC. All Rights Reserved.

FIDO Alliance Seminar in Tokyo

～パスワードのいらない世界へ～ Creating a World without Passwords

ドコモにおけるFIDO UAF導入事例とFIDO Allianceでの活動について

2015年11月20日

ＮＴＴドコモ プロダクトイノベーション担当部長

森山 光一 FIDO Seminar in Tokyo 11/20/2015 1

本日の内容 • はじめに～暗証番号とパスワード

• 2015年5月27日サービス開始 ドコモの生体認証 概要 2015夏モデルとサービスご利用画面イメージ

• FIDO UAF仕様を適用 Design Principles to Integrate the FIDO Standards

Solution Architecture: docomo ID and 4-digits [before and after the FIDO integration]

～生体情報と秘密鍵は端末の安全な領域に格納～

～将来の相互運用を考慮したオープンな標準仕様～

• FIDO Allianceへの加入とFIDO Allianceでの活動～D@S WGを中心に

• ドコモにおけるFIDO対応生体認証の拡大 2015年冬モデルと新たな対応サービス

• まとめ～いつかあたりまえになることを。 FIDO Seminar in Tokyo 11/20/2015 © 2015 NTT DOCOMO, INC. All Rights Reserved. 2

「パスワードで困ったことはありませんか?」 • 「ログイン??」 「パスワードなんだっけ??」 「また、入力するの??」

暗証番号・パスワード

– ネットワーク暗証番号

– iモードパスワード・spモードパスワード

– docomo ID

（12月1日より へ名称変更）

FIDO Seminar in Tokyo 11/20/2015 © 2015 NTT DOCOMO, INC. All Rights Reserved. 3

はじめに

https://www.youtube.com/watch?v=kB1GNBk3yME https://www.youtube.com/watch?v=UP0DyYk5IXc

お客様からのご要望にお応えしたい パスワードのいらない世界へ向けて、その第一歩

2015年5月27日 サービス開始

生体情報を使ったオンライン認証が可能に docomo ID認証とケータイ払い

4 FIDO Seminar in Tokyo 11/20/2015

（spモードパスワード）

© 2015 NTT DOCOMO, INC. All Rights Reserved.

2015年夏 生体認証対応モデル

（4月23日発売） （4月23日発売） 5 FIDO Seminar in Tokyo 11/20/2015

（5月28日発売） （5月28日発売） © 2015 NTT DOCOMO, INC. All Rights Reserved.

ご利用画面イメージ （1/4） 生体情報の登録とdocomo IDとの括り付け

6 FIDO Seminar in Tokyo 11/20/2015 © 2015 NTT DOCOMO, INC. All Rights Reserved.

初期設定における docomo IDの設定画面

各端末で生体情報を登録（画面は機種によって異なります）

ご利用画面イメージ （2/4） docomo ID認証（例：Wi-Fi環境下でdブックへログインする例）

7 FIDO Seminar in Tokyo 11/20/2015 © 2015 NTT DOCOMO, INC. All Rights Reserved.

dメニューで「本・コミック」をタップ docomo IDの認証画面で

「生体認証でログイン」をタップ 各端末の生体認証画面で認証

dブックのサイトへ パスワードレスでログイン

ご利用画面イメージ （3/4） ケータイ払い（dブックで電子書籍を購入する例）

8 FIDO Seminar in Tokyo 11/20/2015 © 2015 NTT DOCOMO, INC. All Rights Reserved.

購入する書籍を選択し、「購入」をタップ

購入画面でケータイ払いの「購入」をタップ

決済画面で生体認証を選択、 「承諾して購入」をタップ

決済完了 各端末の生体認証画面で認証

XXXX-XXXX-XXXX

FIDO UAF仕様を適用

• FIDO UAFは、主に生体認証を想定してパスワードレス、安全かつシンプルにオンライン認証するためのプロトコル仕様 ドコモがFIDO UAFを採用した理由：

– 生体情報でオンライン認証を可能にする仕様

– セキュリティを十分考慮した仕様 （公開鍵暗号方式、他）

– 将来の相互運用を考慮したオープンな標準仕様

9 © 2015 NTT DOCOMO, INC. All Rights Reserved. FIDO Seminar in Tokyo 11/20/2015 5

使い方が簡単

サーバーに生体情報を置かない

秘密情報（生体情報、秘密鍵）はデバイスの外に出ない

異なる企業のアカウント同士はリンクできない

4

FIDOの仕組み

認証機器（Authenticator）

（FIDO認定（Certified）デバイス）

ユーザ照合 （Verification） FIDO認証 （Authentication）

右：2015年5月26日 記者説明会 FIDO Alliance発表資料より

ユーザ照合 （Verification）

FIDO認証 （Authentication）

認証機器 （Authenticator）

FIDO認定 （Certified） デバイス

Design Principles to Integrate the FIDO Standards

• Integrate the FIDO standards in a straightforward manner

– Create and maintain the FIDO ecosystem, and align with it for sustainability

• Utilize the FIDO standards as much as possible

– Allow different type of authenticators e.g. fingerprint sensors and iris scanner

• Protect users and ecosystem partners in consideration of security

– Follow a FIDO principle “Biometric data and private keys never leave devices,”

– Realize that genuineness of authenticator shall be securely proven to servers,

– Keep the same security level of various devices from multiple OEMs, and

– Avoid to generate wrong perception in the market.

• Minimize the integration efforts, time and cost

– Gather FIDO-enabled service apps to a single point of I/F – docomo ID to ASM

FIDO Seminar in Tokyo 11/20/2015 © 2015 NTT DOCOMO, INC. All Rights Reserved. 10

• The docomo ID app and system had already been introduced and operated for authentication and single-sign-on experience.

Solution Architecture: docomo ID and 4-digits [before the FIDO integration]

FIDO Seminar in Tokyo 11/20/2015 11

…

DOCOMO Branded Devices by OEM Partners

docomo ID Client App Pre-installed

… Web Browser

Pre-installed Service Apps

docomo ID System Server

Carrier Billing Partner Services

Billing System Servers

Launched by Service Apps or Web Browser

Authenticate user by ID/Password or 4-digits

ID/Password

• Single Sign-On

© 2015 NTT DOCOMO, INC. All Rights Reserved.

…

DOCOMO Branded Services

• The docomo ID app and system had already been introduced and operated for authentication and single-sign-on experience.

Solution Architecture: docomo ID and 4-digits [after the FIDO integration]

FIDO Seminar in Tokyo 11/20/2015 12

DOCOMO Branded Devices by OEM Partners

docomo ID Client App Pre-installed

… Web Browser

Pre-installed Service Apps

docomo ID System Server

…

DOCOMO Branded Services

Carrier Billing Partner Services

(FIDO Adaption under planning)

Billing System Servers

FIDO-enabled by xxxx Client SDK

FIDO-enabled by Server

FIDO-enabled through filling areas which are out of scope of the FIDO spec.

…

In addition to ID/Password

• Single Sign-On • Biometric Authentication

without Passwords

© 2015 NTT DOCOMO, INC. All Rights Reserved.

FIDOを適用：生体情報でオンライン認証 ～生体情報と秘密鍵は端末の安全な領域に格納～

docomo ID サーバー

docomo ID アプリ

端末 サーバー

生体認証装置

安全な特別領域

ユーザー照合アプリ

安全なアプリ

安全なフォルダ

照合 生体情報

FIDOクライアント

認証 情報

FIDO認証モジュール （オーセンティケーター）

FIDOサーバー

暗号化された認証情報 （トークン）

登録済み 生体情報

秘密鍵

認証情報を公開鍵で復号（検証）できれば認証ＯＫ

認証情報を秘密鍵 で暗号化（署名）

✓ ✓

✓

✓

公開鍵暗号方式 セキュアなプロトコル

13 FIDO Seminar in Tokyo 11/20/2015

FIDO UAF 仕様規定範囲

© 2015 NTT DOCOMO, INC. All Rights Reserved.

FIDOを適用：異なる生体認証端末に対応 ～将来の相互運用を考慮したオープンな標準仕様～

標準仕様

ドコモサービスサーバー

A社サーバー

B社サーバー

指紋認証 （タッチ型）

指紋認証 （スライド型）

虹彩認証 C社サーバー

14 FIDO Seminar in Tokyo 11/20/2015 © 2015 NTT DOCOMO, INC. All Rights Reserved.

FIDO Allianceへボードメンバーとして加入

• 5月のFIDO UAFを適用した商用ローンチは多くの「初」があったとのこと

• FIDO Allianceに加入し、本開発経験を活かし、FIDO仕様とエコシステムの発展で貢献する

15 FIDO Seminar in Tokyo 11/20/2015 © 2015 NTT DOCOMO, INC. All Rights Reserved.

通信事業者として初めてFIDO ALLIANCE にボードメンバーとして加入

10

初めてFIDO UAF 1.0 対応する

複数のサービスを提供11

初めて虹彩と指紋認証でFIDOに対応したユーザ体験を提供

12

初めてFIDO Certified™ 認定取得済端末を複数メーカーから提供

13

2015年5月26日 記者説明会 FIDO Alliance発表資料より

FIDO Allianceでの活動～D@S WGを中心に

• FIDO Allianceにとって2015-16年はその広がりを加速・実現する年

• ドコモは “Deployment-at-Scale” WG設立を提案し、その設立が7月に承認され、活動を推進しています。（隔週定例、寄書の提出、議論とその推進）

16 FIDO Seminar in Tokyo 11/20/2015 © 2015 NTT DOCOMO, INC. All Rights Reserved.

Certification Working Group Deployment-at-Scale Working Group The mission of the Deployment-at-Scale Working Group is to accelerate overall deployments of FIDO solutions in 2015 and 2016 by acting as subject matter experts and internal advisors within the FIDO Alliance on issues affecting the deployment of FIDO solutions. Chair: Dr. Ryouichi Sugimura, NTT DOCOMO, Co-Chair: Liz Votaw, Bank of America

Marketing Working Group Privacy and Public Policy Working Group

Universal Authentication Framework (UAF) Technology Working Group Universal 2nd Factor (U2F) Technology Working Group

実際の商用導入の経験を集約し、さらなる広がりに向けて、 ドコモからも寄書を提出し、具体的な議論で貢献しています。

FIDO 2.0 Technology Working Group

Tech

nic

al

No

n-t

ech

nic

al W

Gs

11月17日 Bank of AmericaのLiz Votaw氏がCo-Chairとして参加することが決まりました。

ご参考： ドコモから提出した寄書の例

17 FIDO Seminar in Tokyo 11/20/2015 © 2015 NTT DOCOMO, INC. All Rights Reserved.

Basic Deal Structure

OEM RP

Device Information

Liability Indemnification

MDS-X requirements:• Provides a framework for RPs and OEMs where RPs can provide OEMs with

required confidentiality and indemnification in return for information and keys• The MDS-X provider will not be liable or involved in case of disputes between RPs

and OEMs

Structure:• An OEM provides information and public keys to an RP, and, in

return, the RP provides the OEM with (1) confidentiality and (2) indemnification from liabilities

Confidentiality Obligation

＋

＋

18

MDS-X

Attestation Key Distribution Creates Business Relations

RPOEM

MDS-X

Attestation Key

Public Key

Private Key

2. Bilateral Distribution

1. Distribution via MDS-X

End User Device

Agreement-2Agreement-1

Service

Agreement-3

Device Information

Device Information

13

Business Relations

左：D@S WG設立趣意、当初取り組むべき課題等 右：OEMsとRPsの責任分界点・鍵の取り扱いなどについて、FIDO UAFにおけるMDSを拡張する考え方の提案例

ドコモにおけるFIDO対応生体認証の拡大

• 5月「記者説明会」にて、今後の方向性をご紹介

Step-2

– 対応機種を順次拡大

– ドコモサービスの対応拡大 • ネットワーク暗証番号への対応 例：ポイント利用時など利用シーンも拡大

18 FIDO Seminar in Tokyo 11/20/2015 © 2015 NTT DOCOMO, INC. All Rights Reserved.

今後のドコモにおける生体認証の方向性について

142015年5月26日 ドコモの生体認証について

Step-2

• 対応機種を順次拡大

• ドコモサービスの対応拡大

– ネットワーク暗証番号への対応例：ポイント利用時など利用シーンも拡大

152015年5月26日 ドコモの生体認証について

Step-3

• 認証方式～FIDOなら、指紋・虹彩以外にも対応可能

• よりさまざまなデバイスと連携したオンライン認証

• パートナー、サードパーティサービスへの拡大

162015年5月26日 ドコモの生体認証について

パスワードのいらない世界へ

いつか、あたりまえになることを。

• FIDO Allianceと連携して、「あんしんをもっと便利に」をさらに具現化していく

172015年5月26日 ドコモの生体認証について

2015年5月26日 記者説明会 NTTドコモ 発表資料より

2015年冬 生体認証対応モデル

© 2015 NTT DOCOMO, INC. All Rights Reserved. 19

SH-01H SO-03H SO-01H SO-02H F-02H F-01H

FIDO Seminar in Tokyo 11/20/2015

（10月29日発売） （11月13日発売） （10月29日発売） （10月7日発売） （11月20日発売） （発売予定）

夏モデルと合わせて、全10機種の 生体認証対応モデルのラインアップ

2015年冬 サービス対応の拡大 （1/2）

© 2015 NTT DOCOMO, INC. All Rights Reserved. 20

対応ドコモサービスアプリの拡充 （順次） 主なドコモケータイ払い加盟店 （12月15日～）

FIDO Seminar in Tokyo 11/20/2015

ドコモサービス決済時の dポイント充当 （12月1日～）

2015年9月30日 新商品・新サービス発表会より

2015年冬 サービス対応の拡大 （2/2） ご利用画面イメージ （4/4）

ネットワーク暗証番号対応でオンライン手続き等も可能に

21 FIDO Seminar in Tokyo 11/20/2015 © 2015 NTT DOCOMO, INC. All Rights Reserved.

オンライン手続き画面 オンライン手続きログイン 各端末の生体認証画面で認証 ドコモオンライン手続きにパスワードレスでログイン

パスワードのいらない世界へ Creating a World without Passwords

いつか、あたりまえになることを。 “The new of today, the norm of tomorrow.”

• FIDO Allianceと連携して、 「あんしんをもっと便利に」をさらに具現化していく

Through collaboration with the FIDO Alliance, NTT DOCOMO will further deliver

“Your Security. More Simple.”

22 © 2015 NTT DOCOMO, INC. All Rights Reserved. FIDO Seminar in Tokyo 11/20/2015

https://www.youtube.com/watch?v=NOHkCXH9tj4 https://www.youtube.com/watch?v=QzM4PpXEqP8

References • 2015 May Announcements (5/26/2015)

- https://www.nttdocomo.co.jp/english/info/media_center/pr/2015/0526_00.html

Attachment: Biometric Authentication from DOCOMO (PDF format: 957KB)

Movie: Biometric Authentication

- https://fidoalliance.org/fido-alliance-welcomes-ntt-docomo-to-board/

- https://www.qualcomm.com/#/news/releases/2015/05/25

- https://www.noknok.com/what-they-say/press-releases/ntt-docomo-selects-nok-nok-labs-power-first-fido-enabled-ecosystem

• 2015 September Announcements (9/30/2015) - https://www.nttdocomo.co.jp/english/info/media_center/pr/2015/0930_01.html

- https://fidoalliance.org/worlds-first-mobile-network-operator-to-deploy-fido-authentication-ntt-docomo-extends-its-mobile-innovation-lead-with-new-fido-certified-devices-and-services/

Movie: Biometric Authentication Chapter II

• FIDO Seminar in D.C. 2015 (10/5/2015) - https://fidoalliance.org/wp-content/uploads/NTT_DOCOMO_case_study_FIDO-Seminar-DC_10_05_15.pdf

FIDO Seminar in Tokyo 11/20/2015 © 2015 NTT DOCOMO, INC. All Rights Reserved. 23