LIFFとかはきっと他の人がブログ書くだろうから地味（？）なとこを・・・。

FIDO

FIDOはセキュアなだけではなく、UXもいい。 LINEはFIDO ユニバーサルサーバーの認定を世界で初めて取得している。 LINEではFIDOを様々なサービスに導入していて、将来的にはパスワードを廃止することを目指している。

Auth0の人のセッション

企業がセキュリティのどこに投資したいかというアンケートでは認証、アイデンティティマネージャーという回答が高い。 でも実際はネットワークセキュリティ、ファイヤウォールに投資している企業がほとんど。 なぜそこに投資しないのか？

90年代は会社のプライベートな情報を保護するため、DMZ、FWに投資。

2000年代にはSaaSやクラウドアプリが登場し、自宅からの接続というケースが発生。 企業はプライベートなセキュリティを拡張するために投資。 VPN、プロキシ、暗号化、ネットワークセキュリティ等々。

2010年代になると、identity providerにより複数のアプリにSSO。 覚えるパスワードの数が減りUXはよくなった。 しかし、企業はエンドポイントセキュリティやVPNに投資を続ける。理由は不明。 また、この頃からアイデンティティに対する侵害が多く発生。

informationisbeautiful.net

日本でもPSNの流出事件とか発生。

企業はようやく多要素認証に投資する。 多要素認証によりセキュリティは強化されたがUXは低下。 企業の利益はUXとデータがもたらすため、セキュリティの投資によりUXが下がると利益も下がる。

ゼロトラストに基づく連続的認証という考え方。 これまでは一度認証したらそのセッションは永続する。 そうではなく、confidentialレベルという数値で管理する。

confidentialレベルは認証した直後が最も高い。 この数値は以下のような場合に下がっていく。

• 認証してからの時間経過
• アクセスした地理が普段と異なる
• キーボードの入力がいつもと違う

これに行おうとしているアクションごとに必要な数値を比較する。 例えば、高額の振り込みを行うのであれば、本人確認を再度要求してconfidentialレベルの数値を高くする。 少額の振り込みであれば、必要な数値は低くなる。 このように、アクションするときはconfidentialの現在の値と必要な数値を比較し、不足しているのであればconfidentialレベルをあげるために認証を要求する。

ゼロトラストはちゃんと勉強しないとダメっぽい・・・。