© 2016 NTT DOCOMO, INC. All Rights Reserved.

FIDOアライアンス 東京セミナー 2016

～あんしんをもっと便利に～ドコモにおけるFIDO UAF導入事例とFIDOアライアンスでの活動について

2016 年 12 月 8 日

（株） NTT ドコモ プロダクト部 プロダクトイノベーション担当部長

森山 光一

FIDO 東京セミナー 2016 12/8 1

© 2016 NTT DOCOMO, INC. All Rights Reserved.

本日の内容• はじめに：「あんしんをもっと便利に」• FIDO 認証モデル～ NTT ドコモによる FIDO 標準導入の概要

– d アカウント ® ・ FIDO 生体認証対応ドコモスマホ・タブレット（ Android ）全 20 機種

• FIDO 標準の導入検討時に設定した設計指針• FIDO UAF の d アカウント認証基盤への適用（導入前・導入後）

– 生体情報でオンライン認証 ～生体情報と秘密鍵は端末の安全な領域に格納～– 異なる生体認証端末に対応 ～将来の相互運用を考慮したオープンな標準仕様～– FIDO 認証器の実装 ～異なる FIDO® Certified （認定）ソリューションによる

実現～• d アカウントの FIDO 認証を iOS 端末（ Touch ID ）にも対応

– iOS 端末における d アカウント FIDO UAF の実装– iOS 端末も同じサーバーで FIDO 認証

• FIDO アライアンスでの活動～ D@SWG を中心に• まとめ～いつかあたりまえになることを。

FIDO 東京セミナー 2016 12/8 2

はじめに：「あんしんをもっと便利に」• NTT ドコモはネットワーク暗証番号と sp モードパスワード（いず

れも数字 4 桁）に加えて、 OpenID ベースの 　　　　　　　　 を提供

• ドコモとパートナー企業を通じてログインと決済サービスを提供。その使い勝手をより便利にする取組みとして、～あんしんをもっと便利に～

• シンプルで堅牢なオンライン認証の普及をめざす FIDO （ファイド）アライアンスと FIDO 認証モデル・標準に出会う ⇒ すみやかな FIDO 標準の採用を決定

FIDO 東京セミナー 2016 12/8 3© 2016 NTT DOCOMO, INC. All Rights Reserved.

https://www.youtube.com/watch?v=kB1GNBk3yMEhttps://www.youtube.com/watch?v=UP0DyYk5IXc

THE NEW MODELFast IDentity Online

online authentication usingpublic key cryptography

THE FIDO PARADIGM

Poor Easy

Weak

Stro

ng

USABILITY

SECU

RITY

All Rights Reserved. FIDO Alliance. Copyright 2016.

HOW “Shared Secrets” WORK

ONLINE

The user authenticates themselves online by presenting a human-readable “shared secret”

HOW FIDOWORKS

AUTHENTICATOR

LOCAL ONLINE

The user authenticates “locally” to their device

(by various means)

The device authenticates the user online using

public key cryptography

All Rights Reserved. FIDO Alliance. Copyright 2016.

FIDO 認証モデル公開鍵暗号方式を活用した

オンライン認証

セキュリティと使い勝手の両立をめざす

「共有の秘密」は不正アクセスの原因 FIDO 認証モデルでは「秘密」が共有されず、安心

FIDO 認証器生体情報 秘密鍵 公開鍵ID ・パス

ワード

© 2016 NTT DOCOMO, INC. All Rights Reserved.

NTT ドコモによる FIDO 標準導入の概要（ 1/2 ）

• 2015 年 5 月に d アカウント認証を FIDO UAF 1.0 対応。 sp モード ® パスワードにも対応し、ドコモサービスの一部でログインとドコモ ケータイ払いを d アカウント・ FIDO 生体認証に対応させました。その後、ネットワーク暗証番号に対応してドコモサービスでの利用を拡大したことに加え、 d ケータイ払いプラス、パートナーサイトでの認証や d ポイント充当による決済にも対応しました。（ 2015 年 9 月発表）

FIDO 東京セミナー 2016 12/8 5

NTT ドコモによる FIDO 標準導入の概要（ 2/2 ）• FIDO 標準の一つ、 FIDO UAF 1.0 を採用した理由：

1.) 生体情報を活用して便利にオンライン認証を可能にする仕様2.) セキュリティを十分考慮した仕様3.) 将来の相互運用を考慮したオープンな標準仕様

• 2015 年 5 月商用導入に際し、 FIDO UAF 1.0 準拠端末と d アカウントアプリの開発、 d アカウント認証サーバーの FIDO 対応を行い、世界で初めて※虹彩と指紋、異なる生体認証方式をオンライン認証に対応。

通信事業者として、また複数メーカーにより複数の FIDO® Certified （認定）端末を提供したのも世界初

※ 　 2015 年 5 月 26 日現在　 NTT ドコモ調べ

FIDO 東京セミナー 2016 12/8 © 2016 NTT DOCOMO, INC. All Rights Reserved. 6SC-04G SC-05G SH-03GF-04G

© 2016 NTT DOCOMO, INC. All Rights Reserved.

d アカウント・ FIDO 生体認証対応ドコモスマートフォン・タブレット（ Android ）全

20 機種• 2015 年夏モデル 4 機種、 2015-16 年冬春モデル 6 機種、 2016 年夏モ

デル 4 機種、 2016-17 年冬春モデル 6 機種、 5 メーカー・全 20 機種

FIDO 東京セミナー 2016 12/8 7

SH-01H SO-03H SO-01H SO-02HF-02HSC-05G

SH-04HF-04H SO-04HSC-02H

F-04G SC-04G F-01HSH-03G

SO-02JF-01J SH-02J DM-01JSO-01J L-01J発売予定 発売予定

© 2016 NTT DOCOMO, INC. All Rights Reserved.

ビデオクリップ

簡単 ! 生体認証を設定してみよう 使ってみよう

FIDO 東京セミナー 2016 12/8 8

© 2016 NTT DOCOMO, INC. All Rights Reserved. 9

FIDO 標準の導入検討時に設定した設計指針• FIDO 標準仕様をそのまま活用すること

– 変更などし て 活用す る と今後の 発展に おい て断片化す る恐れ もあ る ため、 FIDOエコシステムとの整合性確保を優先

• FIDO 標準の良さを出来るだけ活用すること– 例えば、虹彩と指紋など異なる生体認証に対応するなど FIDO の良さを活かす

• セキュリティ重視、お客様とパートナー企業様を守ること– FIDO 標準のプライバシーポリシー “ Biometric data and private keys never

leave devices” に基づき、お客様の大切な情報は端末の外に出ないようにする

– FIDO 認証器が真に正当なものであることをサーバーで確認する– 異なるメーカーによる FIDO 認証器のセキュリティレベルを一定以上に保つ– 市場においてセキュリティでご心配をお掛けするようなアプローチはとらない

• FIDO 導入コストは最小・最適化すること（時間・費用）– d アカウントと FIDO UAF 仕様における ASM層で結合インターフェースを一元化

FIDO 東京セミナー 2016 12/8

FIDO UAF の d アカウント認証基盤への適用（導入前）

• 端末（ドコモスマートフォン）は端末メーカー様にご協力頂いて共同開発、ドコモとして要件を満たすことでお客様の「あんしん」を確保。 d アカウント設定アプリもプリイン

FIDO 東京セミナー 2016 12/8 10© 2016 NTT DOCOMO, INC. All Rights Reserved.

…

ドコモスマートフォン

設定アプリ（プリイン）

…ブラウザ

（プリイン）サービスアプリ

認証サーバー

…

ドコモサービス

ケータイ払いパートナーサービス

ケータイ払い決済サーバー

サービスアプリ、またはブラウザによって起動

d アカウントのパスワードまたは 4 桁の暗証番号で認証ID/ パスワード

• かんたんログイン

FIDO UAF の d アカウント認証基盤への適用（導入後）

• 端末（ドコモスマートフォン）は端末メーカー様にご協力頂き、 FIDO UAF 仕様準拠対応。ドコモとして d アカウント設定アプリの FIDO UAFプロトコル対応を行い、プリイン

FIDO 東京セミナー 2016 12/8 11© 2016 NTT DOCOMO, INC. All Rights Reserved.

…

ドコモスマートフォン

設定アプリ（プリイン）

…ブラウザ

（プリイン）サービスアプリ

認証サーバー

…

ドコモサービス

ケータイ払いパートナーサービス

ケータイ払い決済サーバー• かんたんログイン

• 生体認証

FIDO® Certified xxxx クライアントSDK

FIDO® Certified xxxxx サーバー

FIDO UAF 準拠端末d アカウント認証要件を具備

ID ・パスワードに加えてFIDO 認証を追加

FIDO を適用：生体情報でオンライン認証～生体情報と秘密鍵は端末の安全な領域に格納～

FIDO 東京セミナー 2016 12/8 12© 2016 NTT DOCOMO, INC. All Rights Reserved.

端末 サーバー

生体認証装置

安全な特別領域 (*)

ユーザー照合アプリ

安全なアプリ

安全なフォルダ

照合 生体情報

FIDO クライアント

照合結果

認証モジュール

FIDO サーバー

チャレンジ（ランダムな文字列）

登録済み生体情報

秘密鍵

署名されたチャレンジを公開鍵で検証出来れば、認証ＯＫ

チャレンジを秘密鍵で署名

✓ ✓

公開鍵暗号方式 セキュアなプロトコル

サービスの対応は順次拡大

dゲーム d トラベル

d デリバリー

d ミュージック

d ブック

(*) TEE (Trusted Execution Environment)

署名されたチャレンジ

d アカウントサーバー

d アカウントアプリ

FIDO UAF 仕様規定範囲

✓✓

FIDO を適用：異なる生体認証端末に対応～将来の相互運用を考慮したオープンな標準仕様～

FIDO 東京セミナー 2016 12/8 13© 2016 NTT DOCOMO, INC. All Rights Reserved.

FIDO 標準

ドコモサービスサーバー

A社サービスサーバー

B社サービスサーバー

C社サービスサーバー

SC-04G SC-05G SH-03GF-04G

SH-01H SO-03H SO-01H SO-02HF-02H F-01H

F-04H SH-04HSO-04H SC-02H

SO-02J F-01J SH-02J DM-01JSO-01J L-01J

2015 年夏モデル

2015-16 年冬春モデル

2016 年夏モデル

2016-17 年冬春モデル

© 2016 NTT DOCOMO, INC. All Rights Reserved.

FIDO を適用： FIDO 認証器の実装～異なる FIDO® Certified （認定）ソリューションによる実現～

• 複数ある FIDO 認証器を構成するソリューション～端末に適した実装が可能

FIDO 東京セミナー 2016 12/8 14

設定アプリ（プリイン）

FIDO® Certified xxxx クライアントSDK

認証サーバーFIDO® Certified xxxxx サーバー

FIDO 標準

© 2016 NTT DOCOMO, INC. All Rights Reserved.

2016 年 3 月 d アカウントの FIDO 認証をiOS 端末（ Touch ID ）にも対応

FIDO 東京セミナー 2016 12/8 15

ドコモからのお知らせ２０１６年３月７日

株式会社ＮＴＴドコモ

ｄアカウントログイン等のオンライン認証にＴｏｕｃｈ　ＩＤが対応 平素は、弊社商品・サービスをご利用いただき、誠にありがとうございます。 弊社は、ｉＯＳ９．０以降のＴｏｕｃｈ　ＩＤ対応端末におけるＴｏｕｃｈ　ＩＤを用いたオンライン認証を、２０１６年３月９日（水曜）から提供開始します※１。 「ｄアカウント ® 設定アプリ※ 2 」を用いることで、「ｄデリバリー ® 」や「ｄショッピング ® 」等のドコモのサービスで、ｄアカウントパスワードの代わりに、Ｔｏｕｃｈ　ＩＤを使ったログインができるようになります。また、２０１６年３月下旬からは、「ドコモ ケータイ払い」や「ｄケータイ払いプラス™」にも対応します。 弊社は今後もお客様への一層のサービス向上に取り組んでまいりますので、何卒ご理解を賜りますよう、よろしくお願い申し上げます。 ※１　他社でＴｏｕｃｈ　ＩＤ対応端末をご利用のお客さまも、お使いいただけます。※２　標準規格ＦＩＤＯ ＵＡＦ １．０に準拠したアプリケーションです。ＦＩＤＯに関する情報は５月２６日のドコモの報道発表資料（ https://www.nttdocomo.co.jp/info/news_release/2015/05/26_00.html ）をご確認ください。

＊　　「ｄアカウント」「ｄデリバリー」「ｄショッピング」「ｄケータイ払いプラス」は、株式会社ＮＴＴドコモの商標または登録商標です。＊　　 IＯＳは、Ｃｉｓｃｏの米国およびその他の国における商標または登録商標であり、ライセンスに基づき使用されています。＊　　「Ａｎｄｒｏｉｄ」は、Ｇｏｏｇｌｅ　Ｉｎｃ．の商標または登録商標です。

16

NTT DOCOMO Rolls Out FIDO Biometric Authentication to iOS Customers 

Underscores rapid market adoption of FIDO as the new standard for strong authentication

Mountain View, Calif., March 7, 2016 – The FIDO® Alliance, the cross-industry creators of open standards for simpler, stronger authentication, announced today that Japan’s largest mobile network operator NTT DOCOMO, INC. (“DOCOMO”) has extended its market-leading deployment of FIDO® Certified strong authentication to its millions of customers with Touch ID®-equipped Apple iPhones and other iOS(1) devices. DOCOMO adds this new FIDO-for-iOS capability to an already impressive suite of 10 FIDO Certified Android devices from Samsung, Fujitsu, Sharp, and Sony Mobile, ensuring that their customers enjoy unprecedented choice between platforms, devices and biometric authentication modalities including fingerprint touch, fingerprint swipe, and iris recognition. (1) iOS 9 or later 

DOCOMO’s decision to add support for FIDO strong authentication to the base capabilities of Touch ID underscores both the security benefits and the rapid market adoption of FIDO standards in just over a year since the specifications were published. Today more than 100 solutions have been FIDO Certified and, in addition to DOCOMO, hundreds of millions of end-users’ web and mobile apps have been FIDO-enabled for strong authentication protection by leading service providers, including Google, PayPal, Samsung, Bank of America, Dropbox, and GitHub.  

“The expansion of cross-platform support from NTT DOCOMO highlights the growing global consensus that using open standards from FIDO Alliance is the right strategy for moving the connected economy off its dependency on passwords,” said Brett McDowell, executive director of the FIDO Alliance. “As more service providers look to reduce fraud risk and give customers a better, faster user experience, I believe they will be following DOCOMO’s example and deploying cross-platform FIDO-enabled, privacy-respecting biometric authentication that is simultaneously more secure and convenient.” 

More details on DOCOMO’s FIDO-for-iOS deploymentUsing FIDO specifications, DOCOMO is enabling its customers to securely authenticate themselves with Touch ID instead of a password to the DOCOMO d ACCOUNT™ app, which will be available in the App Store on March 9. From there, they will have secure access to DOCOMO account details, billing and services, including mobile gaming and music platforms d game™ and d music™, and shopping sites such as d delivery™ and d shopping™. DOCOMO is also removing the password from carrier billing, allowing customers to approve their payments via Touch ID. 

In a media update about this news, DOCOMO said, “The app will encourage more DOCOMO partner companies to incorporate the FIDO standard as users demand biometric authentication for an increasingly diverse range of mobile handsets.” 

“d ACCOUNT,” “d game,” “d music,” “d delivery,” and “d shopping” are trademarks or registered trademarks of NTT DOCOMO, INC. NTT DOCOMO’s “d ACCOUNT,” “d delivery” and “d shopping” services are only available to subscribers in Japan.Touch ID is a registered trademark of Apple, Inc.iOS is a trademark or registered trademark of Cisco in the U.S. and other countries and is used under license.Android is a trademark or registered trademark of Google, Inc.

Media ContactMegan ShamasMontner Tech PR 203-226-9290mshamas@montner.com

iOS 端末 Touch ID でログイン認証

FIDO 東京セミナー 2016 12/8 © 2016 NTT DOCOMO, INC. All Rights Reserved. 17

• iOS 端末もドコモスマートフォン（ Android ）同様に「生体認証でログイン」を選択すると生体認証、すなわち Touch ID で認証

ドコモおよびパートナーサイトからd アカウントにログイン

Touch ID で認証 d アカウント設定アプリをインストールしていない

お客様には App Store からダウンロードして頂く

iOS 端末 Touch ID でお買いもの（決済）

© 2016 NTT DOCOMO, INC. All Rights Reserved. 18

• iOS 端末もドコモスマートフォン（ Android ）同様にケータイ払い等決済でも生体認証、すなわち Touch ID を利用可能

Touch ID で認証（ iOS の場合）

ご注文の確認（決済完了）

「レジに進む」 「 Touch ID で確認」

FIDO 東京セミナー 2016 12/8d ショッピングのサイトで「カートに入れる」

iOS 端末における d アカウント FIDO UAF の実装

© 2016 NTT DOCOMO, INC. All Rights Reserved. 19

• iOS 端末用 d アカウントアプリを開発。 Nok Nok Labs社 FIDO®

Certified SDK で FIDO プロトコルを実装し、さらに Touch ID のセキュリティを活用

FIDO 東京セミナー 2016 12/8 https://support.apple.com/en-us/HT204587

– 「 iPhone および iPad の Touch ID のセキュリティに つ い て 」 に よ り 、 Touch ID で は Secure Enclave によって指紋データ（数学的表現）を iOS端末内に保持し、また端末の外に出ることがないなど、 FIDO プライバシーポリシーと同等と判断

– iOS 9 からの仕様なども活用し、 d アカウント認証に必要な要件を達成d アカウント アプリ

FIDO クライアント

Touch IDSecure Enclave

iOS 端末も同じサーバーで FIDO 認証

© 2016 NTT DOCOMO, INC. All Rights Reserved. 20FIDO 東京セミナー 2016 12/8

…

ドコモサービス

ケータイ払いパートナーサービス

iOS

Android

iPad Air 2

iPad mini 4iPad Pro

iPhone 7 PlusiPhone 7

iPhone 6 Plus

iPhone 6S

iPhone SE

iPhone 6iPhone 6S Plus

iPhone 5S

認証サーバー ケータイ払い 決済サーバー

SC-04G SC-05G SH-03GF-04G SH-01H SO-03H SO-01H SO-02HF-02H F-01H

F-04H SH-04HSO-04H SC-02H SO-02J F-01J SH-02J DM-01JSO-01J L-01J

© 2016 NTT DOCOMO, INC. All Rights Reserved.

FIDO アライアンスでの活動～ D@SWG を中心に

• FIDO アライアンスにとって 2015-16 年はその広がりを加速・実現する年– NTT ドコモはボードメンバーとしての加盟後、“ Deployment-at-

Scale” WG （作業部会）の設立を提案し、その設立が 2015 年 7 月に承認され、引き続き活動を推進しています。（隔週定例、寄書の提出、議論とその推進）

21FIDO 東京セミナー 2016 12/8

Certification Working GroupDeployment-at-Scale Working GroupThe mission of the Deployment-at-Scale Working Group is to accelerate overall deployments of FIDO solutions in 2015 and 2016 by acting as subject matter experts and internal advisors within the FIDO Alliance on issues affecting the deployment of FIDO solutions.Co-Chair: Max Hata, NTT DOCOMO, Co-Chair: Liz Votaw, Bank of America, Co-Chair: Darren Platt, RSAMarketing Working GroupPrivacy and Public Policy Working Group

Universal Authentication Framework (UAF) Technology Working GroupUniversal 2nd Factor (U2F) Technology Working Group

商用導入の経験をフィードバックし、さらなる広がりに向けて、具体的な提案と議論で貢献しています。

FIDO 2.0 Technology Working Group

Tech

nica

lN

on-te

chni

cal W

Gs

© 2016 NTT DOCOMO, INC. All Rights Reserved.

パスワードのいらない世界へCreating a World without Passwords

いつか、あたりまえになることを。“The new of today, the norm of tomorrow.”• FIDO アライアンスと連携して、

「あんしんをもっと便利に」をさらに具現化していくThrough collaboration with the FIDO Alliance, NTT DOCOMO will further deliver “Your Security, More Simple.”

22FIDO 東京セミナー 2016 12/8

https://www.youtube.com/watch?v=NOHkCXH9tj4https://www.youtube.com/watch?v=QzM4PpXEqP8

References• 2015 May Announcements

- https://www.nttdocomo.co.jp/english/info/media_center/pr/2015/0526_00.htmlAttachment: Biometric Authentication from DOCOMO (PDF format: 957KB)Movie: Biometric Authentication

- https://fidoalliance.org/fido-alliance-welcomes-ntt-docomo-to-board/- https://www.qualcomm.com/#/news/releases/2015/05/25- https://

www.noknok.com/what-they-say/press-releases/ntt-docomo-selects-nok-nok-labs-power-first-fido-enabled-ecosystem

• 2015 September Announcements- https://www.nttdocomo.co.jp/english/info/media_center/pr/2015/0930_01.html- https://

fidoalliance.org/worlds-first-mobile-network-operator-to-deploy-fido-authentication-ntt-docomo-extends-its-mobile-innovation-lead-with-new-fido-certified-devices-and-services/

Movie: Biometric Authentication Chapter II

• 2016 March Announcement (There are some more accouchements but in Japanese)- https://fidoalliance.org/ntt-docomo-rolls-out-fido-biometric-authentication-to-ios-customers/FIDO 東京セミナー 2016 12/8 23© 2016 NTT DOCOMO, INC. All Rights Reserved.