656 Views
December 04, 20
スライド概要
2020年11月18日に開催した、ヤフー福岡 Tech Meetup #8「福岡に縁があるYahoo! JAPANのエンジニア」の登壇資料です。
イベントページ URL はこちらです。
https://yahoo-fukuoka.connpass.com/event/192171/
自身の働き方を紹介しつつ、ヤフーのサービスを提供する上で欠かせない
Yahoo! JAPAN IDに関連するサービスとしての取り組みなどをお話しできればと思います。
2023年10月からSpeaker Deckに移行しました。最新情報はこちらをご覧ください。 https://speakerdeck.com/lycorptech_jp
情報区分 ※スライドマスターで編集してください Yahoo! JAPAN IDに関連する取り組み ~パスワードレス普及に向けて~ ヤフー株式会社 サービス統括部 ID本部 ⼤井 光太郎 ©2020 Yahoo Japan Corporation All rights reserved.
情報区分 ※スライドマスターで編集してください アジェンダ 1. ⾃⼰紹介 2. Yahoo! JAPAN IDの現状 3. これまでのパスワードレスの取り組み 4. 今後に向けて ©2020 Yahoo Japan Corporation All rights reserved. 2
情報区分 ※スライドマスターで編集してください アジェンダ 1. ⾃⼰紹介 2. Yahoo! JAPAN IDの現状 3. これまでのパスワードレスの取り組み 4. 今後に向けて ©2020 Yahoo Japan Corporation All rights reserved. 3
情報区分 ※スライドマスターで編集してください ⾃⼰紹介 ・大井 光太郎(Kotaro Oi) - Business - 2013年に新卒でヤフーに入社 - IDサービスに配属されて8年目 - 現在はエンジニアチームのリーダー - Yahoo! ID連携という認可システムを管理 - Profile - 上京するまで福岡県古賀市で22年生活 - 麻生情報ビジネス専門学校を卒業して就職 - 趣味はディズニー・写真 ©2020 Yahoo Japan Corporation All rights reserved. 4
情報区分 ※スライドマスターで編集してください アジェンダ 1. ⾃⼰紹介 2. Yahoo! JAPAN IDの現状 3. これまでのパスワードレスの取り組み 4. 今後に向けて ©2020 Yahoo Japan Corporation All rights reserved. 5
情報区分 ※スライドマスターで編集してください Yahoo! JAPANのログインユーザー数 (百万単位) 年々増加傾向 にあります ヤフー メディア事業 EC事業 100以上のサービス 4,158 4,587 5,049 5,136 2017年9⽉ 2018年9⽉ 2019年9⽉ 2020年9⽉ Yahoo! JAPAN ID 出所 ‒ Zホールディングス 2019年度第2四半期事業指標 推移表 ©2020 Yahoo Japan Corporation All rights reserved.
情報区分 ※スライドマスターで編集してください アジェンダ 1. ⾃⼰紹介 2. Yahoo! JAPAN IDの現状 3. これまでのパスワードレスの取り組み 4. 今後に向けて ©2020 Yahoo Japan Corporation All rights reserved. 7
情報区分 ※スライドマスターで編集してください 従来までのYahoo! JAPAN IDの取り組み 2007 2009 2012 2015 ログイン履歴 ログインアラート ワンタイム パスワード スマートログイン ü 身に覚えのないログイ ンのチェックが可能 ü 不審なログインをメー ルで連絡する機能 ü 時刻やサービス、アク セス元のIPアドレス・ 国などを確認できる ü 強制的にログインをで きなくするログイン ロックも可能 ü パスワードに加えた二 要素認証で不正アクセ スを防止 ü 「アプリ」か「メー ル」で使い捨てのパス ワードを送信 ©2020 Yahoo Japan Corporation All rights reserved. ü ソフトバンクの回線を 利用した認証 ü IDとパスワード入力不 要でログイン完了
情報区分 ※スライドマスターで編集してください インターネットサービス利用時のIDに関する課題 ユーザビリティ セキュリティ パスワードを 忘れたことがある 複数サービスで パスワードを 使いまわしている 96 73% % ログインに手間がかかる 不正アクセスのリスク 出所 - 弊社独自調査「IDとパスワードに関するアンケート」 ©2020 Yahoo Japan Corporation All rights reserved.
情報区分 ※スライドマスターで編集してください パスワード使いまわしによるリスク リスト型攻撃 ID/P W ID・パスワードの リストを入手 他サービス 不正アクセス リスト型攻撃の ことを知らない 85% 攻撃対象の サービス 同じパスワードを設定していると防御が困難 出所 - 弊社独自調査「IDとパスワードに関するアンケート」 ©2020 Yahoo Japan Corporation All rights reserved.
情報区分 ※スライドマスターで編集してください お客様のIDに関する課題を解決するために パスワード パスワードレス化 ユーザビリティの課題 ログインに手間がかかる 解決策 記憶に頼らないログイン 1.SMS認証 セキュリティの課題 パスワードログイン防止 不正アクセスのリスク 2. パスワードレスID登録 3. パスワード無効化 ©2020 Yahoo Japan Corporation All rights reserved.
情報区分 ※スライドマスターで編集してください パスワードレス化 施策概要 ユーザビリティ 1.SMS認証 ログイン時に確認コードが 送付されるため記憶が不要 セキュリティ 2.パスワードレスID登録 3.パスワード無効化 ID登録時にパスワードを 設定させない パスワードでの ログインができない状態へ パスワードログインができないため不正アクセスされづらい ©2020 Yahoo Japan Corporation All rights reserved.
情報区分 ※スライドマスターで編集してください SMS認証ログイン ©2020 Yahoo Japan Corporation All rights reserved.
情報区分 ※スライドマスターで編集してください SMS認証ログインフロー ユーザー IDを入力 Yahoo! JAPAN 確認コード を生成 SMS ベンダー 受け取った 確認コードを入力 登録済み電話番号に 確認コードを SMS送信 ログイン 確認コードが 生成したものと 一致するかを確認 SMSを送信 ©2020 Yahoo Japan Corporation All rights reserved. 確認コード一致
情報区分 ※スライドマスターで編集してください まだSMS認証で解決できていないこと ユーザビリティの課題 解 決 覚えられない 忘れる 入力しづらい 未解決 確認コードのため 覚える必要がない ü 文字入力は必要 ü 待ち時間が発生 ©2020 Yahoo Japan Corporation All rights reserved.
情報区分 ※スライドマスターで編集してください ⽣体認証による セキュリティと ユーザビリティの 両⽴を⽬指す 16 ©2020 Yahoo Japan Corporation All rights reserved.
情報区分 ※スライドマスターで編集してください 生体認証が活用可能な規格:FIDOとは FIDO(Fast Identity Online)アライアンスが、 セキュリティと利便性の両立を目指し 生体認証などの次世代認証の標準化を進めている 250社を超えるグローバル企業が参画 ©2020 Yahoo Japan Corporation All rights reserved.
情報区分 ※スライドマスターで編集してください FIDO認証をウェブで利用できる:FIDO2とは FIDO認証 秘密鍵 検証 検証結果 ウェブブラウザー (+Web Authentication) 公開鍵 識別 ウェブブラウザーを通じてFIDO認証を実現するために、 FIDOアライアンスとW3Cが Web認証(Web Authentication)仕様を共同で策定 ©2020 Yahoo Japan Corporation All rights reserved.
情報区分 ※スライドマスターで編集してください Yahoo! JAPANへのFIDO認証導入 計15社がFIDO2認定取得済 国内初 2018年10月23日 Yahoo! JAPANがFIDO2に対応 サービス事業者として 世界で初めてFIDO2による認証リリース ※Android 7.0以上、Google Chrome 70以上 ©2020 Yahoo Japan Corporation All rights reserved.
情報区分 ※スライドマスターで編集してください FIDO認証ログイン ©2020 Yahoo Japan Corporation All rights reserved.
情報区分 ※スライドマスターで編集してください FIDO認証のログインフロー ユー ザー デバイ ス Yahoo! JAPAN IDを入力 生体認証 鍵IDを元に 生体認証要求 ログイン 生体認証の 成功可否 成功 事前に登録 されている鍵IDと チャレンジ値を返す 端末上の秘密鍵で チャレンジ値の 署名を発行 登録済みの 公開鍵を利用し 署名の検証 ©2020 Yahoo Japan Corporation All rights reserved. 検証成功
情報区分 ※スライドマスターで編集してください アジェンダ 1. ⾃⼰紹介 2. Yahoo! JAPAN IDの現状 3. これまでのパスワードレスの取り組み 4. 今後に向けて ©2020 Yahoo Japan Corporation All rights reserved. 22
情報区分 ※スライドマスターで編集してください パスワードレス普及に向けて パスワードレスログインの訴求 生体認証設定・SMS認証設定・パスワード無効化設定 様々なデバイスやアプリへの対応 ©2020 Yahoo Japan Corporation All rights reserved.
情報区分 ※スライドマスターで編集してください まとめ Yahoo! JAPANのログインユーザー数は年々増加 SMS認証や生体認証でのログインや パスワード無効化を実現 今後もパスワードレスIDを推進 ©2020 Yahoo Japan Corporation All rights reserved.
情報区分 ※スライドマスターで編集してください 安心・安全にIDが使える パスワードのない世界を目指します ©2020 Yahoo Japan Corporation All rights reserved.
情報区分 ※スライドマスターで編集してください Applendix ©2020 Yahoo Japan Corporation All rights reserved.
情報区分 ※スライドマスターで編集してください パスワード認証とFIDO認証の違い パスワード認証 暗号化された パスワード ID・パスワード 検証・識別 FIDO認証(公開鍵暗号方式) 秘密鍵 検証 秘密鍵は保持しない 公開鍵 検証結果 識別 ©2020 Yahoo Japan Corporation All rights reserved.
情報区分 ※スライドマスターで編集してください FIDO認証の安全性 暗号化され た 生体情報 一般的な生体認証のイメージ ID・生体情報 検証・識別 FIDO認証(公開鍵暗号方式) 検証 秘密 鍵 生体情報は保持しない 検証結果 公開鍵 識別 ©2020 Yahoo Japan Corporation All rights reserved.