ep.5 セキュリティ戦略室からみた WebAuthn | UIT INSIDE

2019/03/14 に公開1096 views

このエピソードについて

potato4d とセキュリティ戦略室関水さんの二人で、 WebAuthn, FIDO 認証のこれからについて話しました。

オープニング

自己紹介

@kazunori.sekimizu
- セキュリティ戦略室
  - 最新のセキュリティソリューションの導入・支援など
- 金融関連のセキュリティアップデートなど

Webauthn について

2019年3月正式勧告
生体認証などに利用できる
webauthn についての簡単な紹介
そもそも FIDO というものがある

FIDO 及び認証認可についての概要

認証であって認可ではない
そもそも FIDO が何か
どういう形で認証が行われるのか
これまでのパスワード認証などとの違い

WebAuthn の動向について

どんなところで使われそうか
すぐに実現は現実的か
- 国内での事例はまだ
- これから各ベンダーでの実装が進み周知される段階

クロージング

Flutter 💙 Unimodules – Exposition
- https://blog.expo.io/flutter-unimodules-bb66b9bf21de
pikapkg/web: Run npm dependencies directly in the browser. No Browserify, Webpack or import maps required.
- https://github.com/pikapkg/web
Microsoft’s new Edge browser looks a lot like Chrome in leaked screenshots
- https://www.theverge.com/2019/3/5/18251263/microsoft-edge-chromium-screenshots-leak-browser

BGM & SE: 魔王魂

採用について

使用素材・クレジット

BGM&SE

音声書き起こし

1. オープニング 00:00

Guest 00:00
それではえ、UIT INSIDEえ、第5回始めていきたいと思います。

Guest 00:05
まず初めにえ。このコードキャストは、LINEUITsに所属する開発者たちが、毎週最新のフロントの動向について語るためのコードキャストです。

Guest 00:14
最新のウェブ標準の動向から開発、フレームワークの変遷はまたいいに関するアップデートまでえ、最近の動向をキャッチアップしていくことを目的としております。

Guest 00:23
今回はですねえと、関キュリティチームの方から、え、ちょっと出張っていうことで、えと、関水さんにえーをゲストに加えてえ、話していきたいと思います。関水さんよろしくお願いしますはい、

Guest 00:33
よろしくお願いいたします。

2. キャスト自己紹介 00:36

Guest 00:36
私がえ、関水と申しますえ、LINEのですね。セキュリティー室の中で、え、セキュリティ戦略という部署がありまして。

Guest 00:44
主に最新のセキュリティソリューションです。とか、え、そういったもののえ、導入に対する調査

Guest 00:50
サポート、こういったものを行うようにしています。最近はですね、金融関連のえ、セキュリティの事業部の方にも所属しておりまして、ま、そちらの方で、金融関連の事業の

Guest 01:00
セキュリティのアップデート。こういったところを主な業務にしているというところ

Guest 01:07
ということで、今回はセキュリティシのところと、まあ、ちょっと。前回はリアクトの話とかっていうところでま、ちょっとえ変わった話となりますけど、よろしくお願いします

Guest 01:15
はい、よろしくお願いいたします。

Guest 01:18
はいえーということで、え、今回えやっていきたいと思うんですけど、今回ちょっと関水さんをえお呼びさせてもらったのはえ、ちょうど今週ですね。webオーセンティフケーションが、

3. WebAuthn と FIDO Alliance 01:19

Guest 01:28
w3cによって、正式勧告されたっていうところで、ちょっとその辺えお聞きしたいなと思ってますと

Guest 01:34
で、まあ、大体エセンティビゲーションでま。自分がちょっとえ知ってる範囲でえ、話すと、まあ多分

Guest 01:40
いわゆるなんでしょう。パスアドレスの印象、周りのえ使用なのかなと思っていて、まえ、今週のえ、3月4日にえ、勧告されたばかりかなと思うんですけど。ま、クロームでは。去年ぐらいから使えるようになってきたと思ってて、でま

Guest 01:54
いわゆるまなんでしょう。パスアドレスなえ、生体認証みたいなのができるようなえ、仕組みなのかなっていうところで覚えてえま。自分が把握してるんですけど、まだ体そんな感じっていうとこですかね。はい、

Guest 02:05
あっていますwebosnというもの自体がご紹介いただいた通り、wacというところで、随分前から何年か前からですね。ドラフトのバージョンからずっと検討されてきた仕様なんですけれども、また、今月の3月にですね。

Guest 02:18
正式勧告ということで、まそれぞれ。どのプラットフォームペンダーも、それを正式な勧告を実装することになったという状況になっております。

Guest 02:27
実際にですね、プロダクションの環境で使えるようになったのが、いつからかというのもおっしゃっていただいた通りでありましてはいえ、まあ、このwebオスの使用策定にgoogleが参加しているというのが

Guest 02:37
非常に多いんです。けれども、比較的早くクロムのようなプラザではえも利用できるようになった、こういったえものになっております。

Guest 02:43
ちなみに、ファイアfoxとかは、今もうもう既に実装されてるみたいな。生徒さん

Guest 02:48
はい。ファイアーfoxに関し、1ても主要ブラウザーのつにあるものは。随分前から、エクステンションを加えることでですね。もう実装できるようになっていたりですとか、まあ、正式にブラウザバンでサポートできていたりです。とか、そういった状況になっています。

Guest 03:01
あ、じゃあ、もう割と使っていくことは、あの無駄なブラザだったらできるみたいな状態なんですね。なるほど、なるほど、ありがとうございます。

Guest 03:08
ちょっと、ウェブ汚染をオースって呼ぶのが正しいですかね。

Guest 03:12
ウェブオースという風に、外国では発音しないと思います。なるほど、まnをあんまり強く発音しないのがポイントかない。

Guest 03:19
ありがとうございますじゃあ、ちょっと今日はウェブオスンでいきたいと思います。え、じゃ、そうですね、ちょっとまだウェブオースについて、自分も知らないところがあるんで、まあ、簡単なえ基礎的な知識とかって教えてもらっても大丈夫ですかね。はい、

Guest 03:31
ウェブオーソンというものについて、まず理解するために、え、その前にですね。ファイドと言われる認証を標準化をしている団体について、まず理解する必要があります。

Guest 03:43
簡単に言うと、ファイドというのが目指しているのが、パスワードレスでウェブの認証を行うには、え、どういうことを使用策定しなければいけないか、

Guest 03:51
あるいはそういった使用を実際の所用のマーケットにて、クしていくためには、どういった工夫が必要になってくるのか、

Guest 03:58
こういったことを検討している団体で、実は我々LINEコーポレーションも、このファイドを検討しているファイドアライヤーズにえ、ボードメンバーという1番高いランクでえ、参加をさせていただいている状況です。

Guest 04:10
非常に簡単に言うと、このファイルの理念について、w3c側でも、今のwebのえ。

Guest 04:17
現状を考えると、パスワードレスを使用として取り込んでおく必要があると

Guest 04:21
いう風に考え方が一致してで、えァイドのえ、基本的なスペックというものを、w3c側でデビューしてで、足りない部分をえ、補足するような形で完成したプロトコルというのがえ、ブスだという風に思っていただければいいかと思います。

Guest 04:36
なるほど、ありがとうございますじゃあ、そもそもファイトっていうえ、ファイトっていうのは、じゃ組織なんですかね。

Guest 04:42
はい、ファイドというのは、それ自体がファイドアライアンスという使用策定するための団体面になっていまして。はいはい

Guest 04:49
はいで、そのファイドの中ではえ、最適に使用策定しているプロトコルでえ。まあ、後でお話できればなと思っていますが、ファイドのuaf

Guest 04:58
ファイドのユニバーサルオセティケーションファクターの略で、uffファファイドのユニバーサル、セカンドファクターの略でファイドu2f。

Guest 05:06
そして、このウェブオスと同時のものとして、使用策定されたファイド2.0という3つのプロトコルがございます。

Guest 05:12
はいはいはい、なるほど、ありがとうございますちょっとその辺、詳しく聞いていければと思います。

4. FIDO とはどのようなものか 05:20

Guest 05:20
まず、ちょっとそのファイドみたいなところについて、基本的なところと、まあ、そもそも認証ってどんなんだっけ

Guest 05:26
ていうとこから聞いていきたいと思うんですけど、まあ、ちょっとえ、自分もえま。バックエンドの実装することとかがあったりするんで、まざっくりとは知ってるんですけど、今回ウェブオースンってことで、

Guest 05:35
まオスの後にnが入るって形でま。結構認証とか認可とかっていうとこがあると思うんですけど、ま、これって、認証的な部分を持つって、管理性の今回については、はい、

Guest 05:44
ファイドとこのウェブオスというものに関しては、はいっとウェブのこの認証、もしくは認可のプロトコルの中で明確にえ、このプロトコルは認証のためのものである、

Guest 05:54
つまり、オスnのためのものであって、オスzに関しては、このファイルを使う事業や、あるいはサービスが自分たちで考えていくものだっていう風に区分しています。

Guest 06:02
はい、なるほど、ありがとうございます。てことは、まあ、今回はユーザーの一位性というか、まあ、その人の一性を判別するために、まあ使われていくって感じですよね。はい、その通り

Guest 06:11
利用者本人の確からしさをえ、高いレベルで担保するため、そして、それを簡単にやるために、ファイドという技術、あるいはウェブソンという技術が使っていけると

Guest 06:20
なるほど。なるほど、ありがとうございます。ちなみに、そのファイドとえでさ

Guest 06:24
てしているま、サイドu2fだとか、ファイド2.0っていうのがあると思うんですけど、まそれぞれがどんな形でまあ認証しているのかっていう。まあ、パスワード認証とかだったら、あまり割とあのイメージつくかなと思うんですけど、ま、結構そうじゃない印象って、

Guest 06:37
じゃあそのスマホま。例えば、スマホで親指を乗せて、どういった形で認証されてるのか、みたいなとこってか、軽く聞けたりしますかね。はい、

Guest 06:45
ご説明します。このご説明をする前に、元々のパスワードって、セキュリティの側面でもそうですし、利便性の側面でも、どんな問題があったかということについて、簡単にお話ししてから、ファイドの特徴について

Guest 06:58
えしたいという風に思います。はい、お願いします。え、これまでのパスワードなんですけれど、もえ、まず皆さんご存知の通りid。これはまあ、メールアドレスみたいなものがほとんどだと

Guest 07:07
ますけども、それを入れた後に、自分が覚えているパスワードを入力してまウェブにログインする。まいろんなところで、こういうスケースがあるという風に思ってます。はい

Guest 07:17
で、ここでユーザーから見たま。色々な問題というのが大きく分けて2つあると思うんですけども、1つは覚えることが非常にめんどくさいという問題です。ま、簡単なものにすると、後でハッキングに使われてしまいますし、自分しか知らないものにするためには、それなりに長くする。

Guest 07:32
あるいは、ウェブのサービスによっては、大文字と小文字と記号と数字全部混ぜて入力してください。こんなことも求められたりすると思うんですけど、それって、ユーザーにとっては覚えるということ自体が非常にストレスだという

Guest 07:45
思います。

Guest 07:46
もう1点はこれはuxの問題です。けれども、昔のpcのように、キーボードが大きい時代であれば、パスワードタイプしていくというのは、そんなに苦痛ではなかったんですけれども、今のスマートフォンなどのように、

Guest 07:57
ソフトウェアキーボード、非常にじは小さい状態でま、色んな複雑なパスワードを打っていく。これも非常にユーザーにとっては、ストレスが強い段階かな、という風に思います。

Guest 08:05
まず、こういった問題をもっと利便性の高いものに置き換えていこうというのがえ、先ほども少しお話いただきました。けれど、もえ、ファイドの1つの理念でありまして

Guest 08:15
それを生体認証え、例えば顔の印象、指の印象、声の印象

Guest 08:21
ま色々なそれぞれ生体認証にメリットとデメリットがあります。けれども、こういったものに置き換えていこうというのがえ、ユーザーサイドから見たファイドが最初にやりたかった。

Guest 08:29
はいはいはい、なるほど、まじゃ、結構パスワードを使ってたら、まあ覚えるのだるだるいみたいなのがあって、まあ結構なんでしょう。例えば、

Guest 08:37
まあそうなったらコッピーにた頼ってしまったりとか。まあ、逆にスマートフォンって今までって、例えばピンコードとか比較的弱い印象になってたと思うんですけど、まそうな形で楽にしてしまうか。のどっちかだったっていうのを、まあ、もうちょっとしっかりしつつ

Guest 08:50
まスピーディーな認証にしていこうってとこがま1つで、その生体認証ってところをやっていくっていうモチベーションって感じですね。はいはい、ありがとうございます。

5. 開発者・事業者からみた WebAuthn 09:01

Guest 09:02
もう1つの特徴が、今度はえ、サーバーサイドというよりは、まそのサービスを提供する事業者から見た。これまでとの違いというところを説明したい、

Guest 09:10
はい、お願いします。

Guest 09:12
これまでのid、パスワードのログインシステムというのは、必然的に、ユーザーさんがidパスワードを入れるまでは、そのユーザーがどんなユーザーidかということは、セッションの中で確定することができないと思います。

Guest 09:23
はい、ですので、え、サーバー側のデータベースでは、必ずidとえセキュリティにまきちんと実装があれば発シ化された。はいえ、パスワードということで、え、セットで登録されているという風に思っています。

Guest 09:35
で、これが何を意味するかというと、利用者本人でなくても、そのidとパスワードを推測できる人であれば、

Guest 09:43
利用者がどんなブラウザ、仮に関水がえー入力しているidパスワードか、もしくは全然違う第三者が入力しているidパスワードかということは、サーバー上では判断することができないという性質が1つあります。

Guest 09:56
もう1点は、そのデータベース自体がえ、非常にえ、重要な情報分であり、これを外に漏らすということがま、サービス事業としたとしては、非常に問題になってくるという側面があります。

Guest 10:08
そして、もう1個はですね、仮に自分たちがそのえーidとパスワードのデータベースをしっかり守っていたとして、も、

Guest 10:15
外の会社で少しセキュリティに対して緩い会社がま仮にあったとして、

Guest 10:19
彼らがidパスワードを漏らすと、ひょっとしたら、その外のサービスと我々ラインが提供してるサービスって、ユーザーさんは、同じidパスワードを使ってる可能性が非常に高いですよね。はい

Guest 10:31
つまり外の情報漏洩え、セキュリティインシデントに起因して、LINEのお客様のidパスワードがハッキングされてしまうかもしれないというのがえ、事業者サイドから見て、今までのidパスワードも非常に大きな問題点なんです。

Guest 10:46
で、これをファイドはどのように変えていこうかと、ファイドをごすのは、どのように変えていこうかというアプローチについてご説明をすると、

Guest 10:52
ファイドというのは、まあ、生体認証というよりは、どちらかというと、それを使うデバイスの認証を行うということをコンセプトにしたプロトになっています。はい

Guest 11:02
具体的にはidパスワードというのは、え、少し難しい言葉で言えば、共通の秘密をクライアントとサーバーでやり取りする

Guest 11:10
というようなえ、進行方法になります。はい、ユーザーから見ると、idとパスワードを覚えているものを入れて、えー。事業者からしてみると、それがサーバー上に保存されたものと同じであること。

Guest 11:20
これを確認するというのが、idとパスワードの入力の仕方になります。一方でファイドで行われるのは、どのようなやり方かというと、え、こうし、

Guest 11:28
公開かえ暗号方式を用いた認証方式というのを行います

Guest 11:34
公開開案号方式ってあれですかね、sshとかで使われてるやつですかね。なんか、イメージ的に言うと

Guest 11:39
と、一般的にはその通りでありましてはいえ、公開が暗号の特徴というのは、クライアントとサーバー上でえ、異なるえ、秘密情報というところを保持すれば、認証ができるというような特徴があります。

Guest 11:52
まずえ、クライアント上にクライアント、あるいは利用者が持っている利用者、本人が持っているデバイスに秘密鍵の情報を登録します

Guest 12:01
で、この秘密カのを作成すると同時にえ、公開カというものがえ作成されるのがこの公開カリアの方式の特徴です。はい

Guest 12:09
で、この公開鍵、暗号方式に使う公開火事のみをサーバー側にアップロードします。

Guest 12:16
実際にサーバーがえ、有用者を認証したい場合というのは、ま、適当なランダムなストリングをサーバーからまず、利用者に対して発行するという形です。

Guest 12:25
利用者は、自分のクライアントに保存されている秘密鍵を使って、え、そのランダムな文字列に対して署名を行います。はい

Guest 12:33
で、この署名を行ったオブジェクトをサーバーに戻すと、えサーバーは事前に登録されてある公開鍵を使って、え、その利用者が持っている秘密鍵でこ

Guest 12:43
サインされたものなのか、署名されたものなのか、ということを検証することができます。

Guest 12:48
で、この形を取ると、先ほどのidパスワードで利用者を特定するやり方と同じようにえり、その秘密鍵を持っているえ、

Guest 12:57
ユーザーがえ、署名してきたことなのかということがサーバー上で判断できますので、え、共通の秘密idパスワードが共通な秘密を持たなくても、利用者を識別することができると、

Guest 13:08
こういった方式になります。

6. FIDO の特徴と利点 13:11

Guest 13:13
ええ、最大の特徴といたしましては、実は今私が説明した方法というのは、まあ古くからいろんなシステムで使われているえ、クライアント端末の印象方式なんですけれど、も

Guest 13:23
えファイドではえ、先程説明したえで、端末利用者のクライアント端末上で署名をするという行為の前に、

Guest 13:32
えー端末でえ、保持している生体認証、あるいはえ、これは別の方法に置き換えることができるんですけれども、例えばピンコードです。とか、えま場合によっては、パスワードの認証にしてもいいというものになり

Guest 13:44
いますが、何か利用者本人をクライアント上で認証できる方法を1つえー利用者に対して行ってもらって、

Guest 13:52
クライアント上で。あ、確かに本人だなということが分かったら、え、その秘密が使えるようになるとはいえ、こういったロジックを取っています。

Guest 13:59
このようにすると、え、実はその実際に利用者からしてきたユースケースは

Guest 14:05
タッチidのえ、画面が上がってきて、タッチidで指紋認証すると、eのロイにそのまま入れる。え、その間にはidパスワードのような共通な情報をやり取りしていないので、

Guest 14:15
仮にえ、その公開カの情報がえ、サーバーから漏れた場合でも、え、特にが第三者が何かのサービスにログインできる

Guest 14:24
といったような。ハッキングにも使えませんし、え、鍵を持っていない限りは、先ほどのidパスワードのように、何か推測してハッキングすることもできないと、こういった特徴を持っています。

Guest 14:35
なるほど、じゃあ利用者からするとまこう。あの、例えば、指紋認証したら送られてるように見えるけど、内部的にはま、秘密鍵署名があって、それのアンロックのために、上にその生体認証が入ってるみたいな感じですか。はい

Guest 14:47
いじさんにおっしゃっていただいたと

Guest 14:49
なるほど、あ、そういう感じだったんですね、なるほど、ありがとうございますわと、なんかこう、ブラックボックス的に見ていると、はい

Guest 14:55
なんでしょう。こう、生体情報に応じて、何かの鍵が作られて送られるような印象があったんですけど、まあそんな感じでま。実際ある秘密鍵みたいなのあの、あの機構として、それぞれま生体に印象であったり、ピンクードであったりがあるって感じなんですね。はい、なるほど、ありがとうございます。

Guest 15:10
その内容を理解すると、非常にもう1つメリットがあるのは、はいえ、プライバシーに関する議論です。やはり、今おっしゃっていただいた通り、

Guest 15:17
生体情報から直接鍵を作ったり、あるいは生体情報に使われる情報をそのままサーバーにアップロードしたり、というのは、ユーザーからしてみても、自分の生態情報をサービスに預けなければいけない、

Guest 15:29
あるいは、サービスからしてみても、ユーザーさんのすごく大切な生態情報を

Guest 15:34
管理しなければいけないえ、生態現象がなかなかですね。の世界で普及してこなかったのには、これまでこういった管理の難しさがあった

Guest 15:41
です。けれども、ファイドの場合は、それが全てクライアント上で完結しますので。え、プライバシーに関するえ、懸念点というのがかなり払拭されてきている、こういった特徴があります。

Guest 15:51
あ、なるほど、なるほど、じゃああれなんですねえ、あの、ほんとにクライアント側で、その生態を扱うところは閉じてるんで、ま。結構席はっていうか、まあこのなんでしょう。気持ち悪さみたいなのが、ユーザーにとってもないみたいなとこですね。はい、そうです、

Guest 16:04
ありがとうございます。これはもうあの、そのファイドのいくつかあるし、みたいなのがあると思うんですけど、ま、全てにおいて言えるって感じですかね。

Guest 16:12
はい、そうです。いくつかのプロトコルが存在しますが、ファイルは基本的なコンセプトとしてえ、

Guest 16:18
提唱しているのは、今申し上げた公開が暗号方式を使ったサーバー状にえ、秘密の情報を置かないというところが、全て共通しているコンセプトになっています。

Guest 16:28
なるほど、なるほど、ありがとうございます。じゃあ、結構まこれにえ順守していけばまどのえ、プロトコルを使っていっても、まあ、うまくそこはえ、担保されてるっていうとこですね。はい、なるほど、ありがとうございます。

Guest 16:41
ちなみに、そのワイドについてもう少しお聞きしたいんですけど、今実装するとしたら、またどれみたいなのってもあるんですけど、例えば、1番新しいのを使った方がいいみたいなのってあるんですかね。

7. 実装の現状 16:42

Guest 16:52
はい、これに関してはですね、はい、両cによって選んでいけばいいのではないかな、という風に思います。はいえ、私のおすすめとしては、比較的最新の端末には、それこそiphoneにはフェイスidがついていたり、

Guest 17:04
タッチidがついていたりはいです。でに、そのスマートフォン上に生体認証の装置が搭載されているようなデバイスがあります。

Guest 17:10
こういったデバイスに関しては、1番新しいプロトコルであるファイド、2webオーソンを使うことによって、え、色々なネイティブアプリ、あるいはブラウザ

Guest 17:20
色々なえ、プラットホームから呼び出しができるというような、え、対応したプロトコルになっていますので、このウェブオスの最新の実装を使って、え、サービスを作っていくということがおすすめです。

Guest 17:30
一方でえ、端末自体にそういった生体印象です。とか、そういった仕組みが用意されていない、レガシーな端末というのもえ、まだまだ世の中にはたくさんあるのかなっていう風に思います。

Guest 17:40
ま、日本ではあまりそういったものは数が少ないのかもしれませんが、アジア、あるいは、ヨーロッパといった端末には、まだまだそういった生体認証がデフォルトでついていないものも多かったりします。

Guest 17:50
こういった場合に関しましては、

Guest 17:52
ええ、ここの紹介した中で、uafと言われるプロトコルでま、独自のソフトウェアの生体認証、例えばそれは顔の認証です。とか、声の認証、こういったものに、今、スマートフォンのアプリケーションが色々ありますので、

Guest 18:03
こういった認証の要素を使って、え、uafのプロトコルで、生体認証をユーザーさんに提供していくという流れがいいかな、という風に思っています。

Guest 18:11
説明がこう、今までなかったファイドのutfというものについても、簡単に触れたいと思うんですが、これは、idパスワードを入れた後の2段階認証のために使うえ、プロトコルというふうに、ワイド上では提示をされています。

Guest 18:24
で、u2fに関しては、代表的なものとして、今までご紹介した生体認証ではなくて、usbタイプのスティックチのようなものを、パソコンにあらかじめ指しておくというスケースになります。

Guest 18:36
idパスワードを入れた後に、そのキーをキーをえ、キーにボタンがついてるんですけれども、そのキーのボタンを押すことによって、2段階認証が成立する、

Guest 18:45
つまり、そのキーがついていなければ、えーidパスワードを知っていても、認証できないよといったようなユースケースをユーザーさんに提供します。

Guest 18:53
非常にえ。2段階認証ということですので、セキュリティが求められる

Guest 18:58
環境かつえ、usbがついていたいたりとか。え、比較的え、ユーザーさんのログイン環境がpcに近いスケース。こういった部分では、uハイドの2法を使っていくのがいいんではないかな、という風に思っています。

Guest 19:11
なるほど、なるほど、それは例えばあれですかね。セキュリティ的に厳しい環境の

Guest 19:15
で、今、あの仕事をしている人の多分、マックで認証したい場合とかって感じですかね。その

Guest 19:21
で、あの主にバックエンドで行うような、バックオフィス系の業務であるとか。ま、我々も社内システムがいくつかあると思うんですけれども、そういったところの2段階認証には、このファイドユツfもというのは、非常に適しているんじゃないかなと思います。

Guest 19:33
ちなみに、よく知らないんですけど、あの、指切ってあるじゃないですか、あれは、これができるような図になるんです。

Guest 19:39
はい、ゆみこさんは、このファイドのutfのキーをえ発行しているベンダさんとして、非常にえ、

Guest 19:45
あれです。あの、第1プレーヤーとして有名なベンダーさんですけど、もま彼らから出ているubtのタイプの中に、このドuu2fの認定ロゴが入っているもの、これは、ワイドのu2fの装置として使うことがで

Guest 19:57
きます。はいえ、彼ら最近ファイド2に関する認定を取ってますので、ファイド2のロもあれば

Guest 20:02
少し古いものです。と、このファイルに対応していないものもありますので、amazonとかで買うときは、必ずこの認定ログを確認してから買うことをお勧めしたいと、

8. 国内の活用事例について 20:12

Guest 20:13
ちょっと話をウェブウォークスに戻すとしてまウェブォース実際に今もうなんかこここで使われているよって話とかって、なんかあったりとか、ご存じだったりしますかね。あ

Guest 20:23
とに関しては、国内の事例としては、まだ具体的にここでえ、本格的に使われ始めたよというところを聞くことはできないかな、という風に思っています。

Guest 20:31
今回このレースというものが、このwecで正式に勧告を受けて、え、どういうことが起きるかというと、まずそれぞれのプラウザプラットホームペンダーで、

Guest 20:41
ウェブのえー。認証を簡単に据える仕組みというのが、より多くのデベロッパーや我々のような事業者に対して情報提供される。そして、ファイド自体が盛り上がってくるというフェーズになると思っています。

Guest 20:52
その後にえ見えてくる動向といたしましては、え、いろんな。まあ、サービスでこれを積極的に取り入れていくというところも当然あると思うんです

Guest 21:00
けども、まずま、これをこの今日の番組を聞いていただいてるような、一般のデベロッパの方々がま、自分で作るスマートフォンのアプリであるとか、

Guest 21:08
スマートフォンのえ、あから見れるコンテンツであるとか、そういったところにま端末に搭載されているタッチ、idフェイスid、こういったものを活用していくといったようなデベロッパーフェイスで、色々と普及していくというのが最初に来るんじゃないかな、という風に思っています。

Guest 21:22
それ以外にええ、それを超えてようやく、まあ、一般的に使われるようになるっていうとこなんで、まあまだまだこれから今今が1番ヨーロッパ的には楽しい時期になっていくって感じですか。

Guest 21:31
はい、その通りだと思ってあります

Guest 21:33
ま、そのあ、じゃ、例えば、うちの会社とかでやっていくってなると、どういうとこで使われたりとかしそうですかね。ま、結構ウェブ文脈になるんで、悩ましいかもしれないんですけど。そうですね。

Guest 21:41
LINEとしては、まあ色々な使いどころがあるという風に思っていますが、冒頭。私の挨拶でもお話しさせていただいた通り、例えばえ金融事業ののようなえ、ユーザーさんの大切な資産、資産情報をお預かりする。サービス。

Guest 21:55
こういうところでは、2段階認証、あるいはidパスワードよりもえ安全な認証として、ファイドウェブオスというのは、え、使っていきたいものになるんではないかな、という風に思っています。

Guest 22:06
ま、一方で、LINEからはですね。既にLINEのデベロッパーズで、LINEログインのsdkを外に対しては、公開していて、その中ではLINEのアプリケーションがあれば、LINEのユーザーとしてえ、自動的に認証することができるオートログインのような仕組みもあったりします。

Guest 22:20
ま、こういったものに関しては、今レベロッパに対してえ、広く提供されている自分たちで認証の仕組みを持たなくても、

Guest 22:28
LINEの仕組みを使って、ユーザーを認証することができる、非常な便利なものになっています。はい

Guest 22:33
で、利便性やあるいはですね。すぐにLINEのえと、プラットフォームを使って、自分のサービスを開始したいということであれば、え、このLINEログインの仕組みというところをえ、是非使っていただきたいという風に思っていますし、

Guest 22:45
そこからさらにプラスアルファでサービスの安全性を確保するためには、え、こういったメスといったところについても、組み合わせていくと、面白いんじゃないかなっていう風に考えています。

9. WebAuthn の始め方 22:56

Guest 22:56
そして、もう1点外せないのは、やはり社内のシステムというところに関しては、え、今ほとんどの会社がやはりレガシーなid、パスワード、あるいはそんなに使えやすくない。2段階認証のほ

Guest 23:06
を使って、社内のえ、いわゆるそのサービスのログイン管理というのをやってるという風に思いますね。

Guest 23:11
働き方を少しもう少しそれぞれ今風のものにしてみたりとか、もう少し楽な認証uxで、え、自分たちの仕事を変えてみると

Guest 23:19
たところでも、身近なところから、エンタープライズitの用途で、こういったウェブオーションというものを使っていくというのも、非常に面白いんじゃないかな、という風に思っています

Guest 23:27
か。に確かにそうですね、なんかこうカスタマ向けじゃなければ、まあ、例えば我々の今はあ、いえ、もちろん、あの事業系it会社であれば、ま、特にその

Guest 23:36
なしょう、クロームファイア、faxス限定っていうやり方もやりやすいと思いますしま。結構浸透しやすいとこなんで、そういうとこも確かな可能性として、すごく

Guest 23:45
面白いとこもありもありそうですね。はい、なるほど、そうで

Guest 23:48
ねえ、お話の中でも話した元々のidとパスワードの違いや、あるいは既に搭載されているタッチidを使ったログインの技術と、ファイドのえ、公開がギャング方式を使った安全性の部分、

Guest 24:00
この部分を実はユーザーさんに説明していくのは、ファイルを進める立場からしてみて、結構難しいことだなということを痛感しています。

Guest 24:07
ある程度、飼育演奏をこう図で書いたりとか、ハッキングされるリスクといったものがどういうとこにあるか、ということを説明しないと、

Guest 24:14
セキュリティが良くなるということで、あれだけであると、なかなかえ、ユーザーさんも、あるいは、それを取り込むためのサービス。事業者さんも、ファイルっていうものに関しては、手が伸ばしにくい状態なのかな、という風に思っています。

Guest 24:25
おすすめとしては、自分の身近なそういったエンタープライズitの環境から、まずファイドの導入をやってみて、それが非常に簡単であるということを感じていただいた後に、え、実際にそれを自分たちのエンドユーザーのお客様にも展開していく。

Guest 24:37
こういったシナリオができると非常にいいかなと思ってますし、え、初めから自分はファイドウェブ放送については、実装できるんだよといったような。デベロッパーが増えてくると、ま、そういったところにえ、これからたくさん仕事出てくるんじゃないかな、という風に思ってます。

Guest 24:49
なるほど、確かにそういった意味でも、まあ、結構これから行きたいっていう状態ですね。いや、今日はほんとにありがとうございました。はい、ありがとうございます

10. クロージング 24:59

Guest 24:59
というわけでえ、今日はですねえ、関水さんとともにえと、webオス。えーについて

Guest 25:04
まといいとはいえ、もっと根底のある。ファイドについてっていうところから、詳しくえーお聞きしましたと

Guest 25:10
でま、ちょっとえ、これからにええ、これからの認証の話ってところでま、ちょっとせんえ、先進的な話だったかなと思いますけど。ま、徐々にえ、私たちも含めてま。実装する機会機会とか出てくるかなと思いますので、ま、ちょっとごちしていくと、面白いんじゃないかなと思います。

Guest 25:25
えと今回のえーユテンサイドえ、第5回セキュリティマの話でした。で、

Guest 25:31
linypsではですねえ、毎新のようにえ、ギッドハブ1周ベースでま、最新のえ、web技術についてのえ、議論が盛んに行われています。

Guest 25:41
またえ、毎週金曜日にはですねえ、勉強会を行っていたりとかしていて、まあ、新たな時について日々議論をしていたりしますと

Guest 25:49
で、今週もですね。え、このえ、ファイドの話もそこえーベースだったりするんですけど、えま、それ以外でもいくつか話が上がっていてですね。ま、ちょっといくつかご紹介すると、

Guest 25:59
フロントエンド的な話で言うとですね。え、リアクトリーティブのえ、ラッパーである。エキスポがですね。フラッターとのモジュールフラッターのえ、プラグインドのえ、相互え総理性みたいなところをえ、掲げたよって話があったりだとか。

Guest 26:13
まあ、最新のえ、マイクロソフトエッジがえ、クロミームベースに変わるっていう話がありました。けれど、もえ、今その情報がリークされたんで、ま、ちょっとえ。その記事が貼ってあったり

Guest 26:22
だとか。ま、あとあれですね。モジュールバンドラのえま、ちょっとえ、新しい版みたいなえものが出て出てきたので、ま、ちょっとその辺の話が出てきたりとかっていう形でした。

Guest 26:31
ま、ちょっとですね、気になる内容があれば、今週もえ、

Guest 26:36
ページの下の方にですね。小のにえー。初のトのま日にリンクを貼っておきますので、え、ぜひぜひ見ていただければと思います。

Guest 26:43
というところで、UIT INSIDE第5回え、webオスについて。え、関水さんとともにてところはえー終了とさせていただきたいと思います。え、今回もお聞きいただきえーありがとうございました、

Guest 26:54
ありがとうございました。