NTT Docomo Deployment Case Study: Your Security, More Simple

FIDOアライアンス東京セミナー 2016
～あんしんをもっと便利に～
ドコモにおけるFIDO UAF導入事例とFIDOアライアンスでの活動について
2016年12月8日
（株）NTTドコモプロダクト部プロダクトイ��ベーション担当部長
森山光一
FIDO東京セミナー 2016 12/8 © 2016 NTT DOCOMO, INC. All Rights Reserved. 1

本日の内容
• はじめに：「あんしんをもっと便利に」
• FIDO認証モデル～NTTドコモによるFIDO標準導入の概要
– dアカウント® ・FIDO生体認証対応ドコモスマホ・タブレット（Android）全20機種
• FIDO標準の導入検討時に設定した設計指針
• FIDO UAFのdアカウント認証基盤への適用（導入前・導入後）
– 生体情報でオンライン認証～生体情報と秘密鍵は端末の安全な領域に格納～
– 異なる生体認証端末に対応～将来の相互運用を考慮したオープンな標準仕様～
– FIDO認証器の実装～異なるFIDO® Certified（認定）ソリューションによる実現～
• dアカウントのFIDO認証をiOS端末（Touch ID）にも対応
– iOS端末におけるdアカウント FIDO UAFの実装
– iOS端末も同じサーバーでFIDO認証
• FIDOアライアンスでの活動～D@SWGを中心に
• まとめ～いつかあたりまえになることを。

はじめに：「あんしんをもっと便利に」
• NTTドコモはネットワーク暗証番号とspモードパスワード（いずれも数字4桁）
に加えて、OpenIDベースのを提供
• ドコモとパートナー企業を通じてログインと決済サービスを提供。その使い勝手を
より便利にする取組みとして、～あんしんをもっと便利に～
• シンプルで堅牢なオンライン認証の普及をめざすFIDO（ファイド）アライアンス
とFIDO認証モデル・標準に出会う ⇒ すみやかなFIDO標準の採用を決定
FIDO東京セミナー 2016 12/8 3© 2016 NTT DOCOMO, INC. All Rights Reserved.
https://www.youtube.com/watch?v=kB1GNBk3yME
https://www.youtube.com/watch?v=UP0DyYk5IXc

THE NEW MODEL
Fast IDentity Online
online authentication using
public key cryptography
THE FIDO
PARADIGM
Poor Easy
WeakStrong
USABILITY
SECURITY
All Rights Reserved. FIDO Alliance. Copyright 2016.
HOW “Shared Secrets” WORK
ONLINE
The user authenticates
themselves online by presenting a
human-readable “shared secret”
HOW FIDO WORKS
AUTHENTICATOR
LOCAL ONLINE
The user authenticates
“locally” to their device
(by various means)
The device authenticates
the user online using
public key cryptography
All Rights Reserved. FIDO Alliance. Copyright 2016.
FIDO認証モデル
公開鍵暗号方式を活用した
オンライン認証
セキュリティと
使い勝手の両立をめざす
「共有の秘密」は不正アクセスの原因 FIDO認証モデルでは「秘密」が共有されず、安心
FIDO認証器
生体情報秘密鍵公開鍵ID・パスワード

NTTドコモによるFIDO標準導入の概要（1/2）
• 2015年5月にdアカウント認証をFIDO UAF 1.0対応。spモード®パスワード
にも対応し、ドコモサービスの一部でログインとドコモケータイ払いをdアカウント・
FIDO生体認証に対応させました。その後、ネットワーク暗証番号に対応して
ドコモサービスでの利用を拡大したことに加え、dケータイ払いプラス、パートナー
サイトでの認証やdポイント充当による決済にも対応しました。（2015年9月発表）

NTTドコモによるFIDO標準導入の概要（2/2）
• FIDO標準の一つ、FIDO UAF 1.0を採用した理由：
1.) 生体情報を活用して便利にオンライン認証を可能にする仕様
2.) セキュリティを十分考慮した仕様
3.) 将来の相互運用を考慮したオープンな標準仕様
• 2015年5月商用導入に際し、FIDO UAF 1.0準拠端末とdアカウントアプリ
の開発、dアカウント認証サーバーのFIDO対応を行い、世界で初めて※虹彩と
指紋、異なる生体認証方式をオンライン認証に対応。
通信事業者として、また複数メーカーにより複数のFIDO® Certified（認定）端末を提供したのも世界初
※ 2015年5月26日現在 NTTドコモ調べ

dアカウント・FIDO生体認証対応
ドコモスマートフォン・タブレット（Android）全20機種
• 2015年夏モデル 4機種、2015-16年冬春モデル 6機種、2016年夏モデル 4機種、
2016-17年冬春モデル 6機種、5メーカー・全20機種
SH-01H SO-03H SO-01H SO-02HF-02HSC-05G
SH-04HF-04H SO-04HSC-02H
F-04G SC-04G F-01HSH-03G
SO-02JF-01J SH-02J DM-01JSO-01J L-01J
発売予定発売予定

ビデオクリップ
簡単! 生体認証を設定してみよう使ってみよう

FIDO標準の導入検討時に設定した設計指針
• FIDO標準仕様をそのまま活用すること
– 変更などして活用すると今後の発展において断片化する恐れもあるため、FIDOエコシステム
との整合性確保を優先
• FIDO標準の良さを出来るだけ活用すること
– 例えば、虹彩と指紋など異なる生体認証に対応するなどFIDOの良さを活か��
• セキュリティ重視、お客様とパートナー企業様を守ること
– FIDO標準のプライバシーポリシー “Biometric data and private keys never leave
devices” に基づき、お客様の大切な情報は端末の外に出ないようにする
– FIDO認証器が真に正当なものであることをサーバーで確認する
– 異なるメーカーによるFIDO認証器のセキュリティレベルを一定以上に保つ
– 市場においてセキュリティでご心配をお掛けするようなアプローチはとらない
• FIDO導入コストは最小・最適化すること（時間・費用）
– dアカウントとFIDO UAF仕様におけるASM層で結合インターフェースを一元化

FIDO UAFのdアカウント認証基盤への適用
（導入前）
• 端末（ドコモスマートフォン）は端末メーカー様にご協力頂いて共同開発、ドコモとして
要件を満たすことでお客様の「あんしん」を確保。dアカウント設定アプリもプリイン
…
ドコモスマートフォン
設定アプリ（プリイン）
…
ブラウザ
（プリイン）サービスアプリ
認証サーバー
…
ドコモサービス
ケータイ払い
パートナーサービス
ケータイ払い
決済サーバー
サービスアプリ、または
ブラウザによって起動
dアカウントのパスワードまたは
4桁の暗証番号で認証ID/パスワード
• かんたんログイン

FIDO UAFのdアカウント認証基盤への適用
（導入後）
• 端末（ドコモスマートフォン）は端末メーカー様にご協力頂き、FIDO UAF仕様準拠
対応。ドコモとしてdアカウント設定アプリのFIDO UAFプロトコル対応を行い、プリイン
…
ドコモスマートフォン
…
ブラウザ
（プリイン）サービスアプリ
認証サーバー
…
ケータイ払い
ケータイ払い
決済サーバー• かんたんログイン
• 生体認証
FIDO® Certified
xxxx クライアントSDK
FIDO® Certified
xxxxx サーバー
FIDO UAF準拠端末
dアカウント認証要件を具備
ID・パスワードに加えて
FIDO認証を追加

FIDOを適用：生体情報でオンライン認証
～生体情報と秘密鍵は端末の安全な領域に格納～
端末サーバー
生体認証装置
安全な特別領域(*)
ユーザー照合アプリ
安全なアプリ
安全なフォルダ
照合生体情報
FIDOクライアント
照合
結果
認証モジュール
FIDOサーバー
チャレンジ（ランダムな文字列）
登録済み
生体情報
秘密鍵
署名されたチャレンジを
公開鍵で検証出来れば、
認証ＯＫ
チャレンジを
秘密鍵で署名
✓
✓
公開鍵暗号方式セキュアなプロトコル
サービスの対応は順次拡大
(*) TEE (Trusted Execution Environment)
署名されたチャレンジ
dアカウント
サーバー
dアカウント
アプリ
FIDO UAF 仕様規定範囲
✓
✓

FIDOを適用：異なる生体認証端末に対応
～将来の相互運用を考慮したオープンな標準仕様～
FIDO標準
サーバー
A社サービス
サーバー
B社サービス
サーバー
C社サービス
サーバー
SH-01H SO-03H SO-01H SO-02HF-02H F-01H
F-04H SH-04HSO-04H SC-02H
SO-02J F-01J SH-02J DM-01JSO-01J L-01J
2015年夏モデル
2015-16年冬春モデル
2016年夏モデル
2016-17年冬春モデル

FIDOを適用：FIDO認証器の実装
～異なるFIDO® Certified（認定）ソリューションによる実現～
• 複数あるFIDO認証器を構成するソリューション～端末に適した実装が可能
FIDO® Certified
xxxx クライアントSDK 認証サーバー
FIDO® Certified
xxxxx サーバー
FIDO標準

2016年3月 dアカウントのFIDO認証を
iOS端末（Touch ID）にも対応
ドコモからのお知らせ
２０１６年３月７日
株式会社ＮＴＴドコモ
ｄアカウントログイン等のオンライン認証にＴｏｕｃｈＩＤが対応
平素は、弊社商品・サービスをご利用い��だき、誠にありがとうございます。
弊社は、ｉＯＳ９．０以降のＴｏｕｃｈＩＤ対応端末におけるＴｏｕｃｈＩＤを用いたオンライン認証を、
２０１６年３月９日（水曜）から提供開始します※１。
「ｄアカウント®設定アプリ※2」を用いることで、「ｄデリバリー®」や「ｄショッピング®」等のドコモのサービスで、ｄアカウントパスワードの代わりに、
ＴｏｕｃｈＩＤを使ったログインができるようになります。
また、２０１６年３月下旬からは、「ドコモケータイ払い」や「ｄケータイ払いプラス™」にも対応します。
弊社は今後もお客様への一層のサービス向上に取り組んでまいりますので、何卒ご理解を賜りますよう、よろしくお願い申し上げます。
※１他社でＴｏｕｃｈＩＤ対応端末をご利用のお客さまも、お使いいただけます。
※２標準規格ＦＩＤＯＵＡＦ１．０に準拠したアプリケーションです。ＦＩＤＯに関する情報は５月２６日のドコモの報道発表資料
（https://www.nttdocomo.co.jp/info/news_release/2015/05/26_00.html）をご確認ください。
＊「ｄアカウント」「ｄデリバリー」「ｄショッピング」「ｄケータイ払いプラス」は、株式会社ＮＴＴドコモの商標または登録商標です。
＊ IＯＳは、Ｃｉｓｃｏの米国およびその他の国における商標または登録商標であり、ライセンスに基づき使用されています。
＊「Ａｎｄｒｏｉｄ」は、ＧｏｏｇｌｅＩｎｃ．の商標または登録商標です。

16
NTT DOCOMO Rolls Out FIDO Biometric Authentication to iOS Customers
Underscores rapid market adoption of FIDO as the new standard for strong authentication
Mountain View, Calif., March 7, 2016 – The FIDO® Alliance, the cross-industry creators of open standards for simpler, stronger authentication, announced
today that Japan’s largest mobile network operator NTT DOCOMO, INC. (“DOCOMO”) has extended its market-leading deployment of FIDO® Certified strong
authentication to its millions of customers with Touch ID®-equipped Apple iPhones and other iOS(1) devices. DOCOMO adds this new FIDO-for-iOS capability to
an already impressive suite of 10 FIDO Certified Android devices from Samsung, Fujitsu, Sharp, and Sony Mobile, ensuring that their customers enjoy
unprecedented choice between platforms, devices and biometric authentication modalities including fingerprint touch, fingerprint swipe, and iris recognition.
(1) iOS 9 or later
DOCOMO’s decision to add support for FIDO strong authentication to the base capabilities of Touch ID underscores both the security benefits and the rapid
market adoption of FIDO standards in just over a year since the specifications were published. Today more than 100 solutions have been FIDO Certified and, in
addition to DOCOMO, hundreds of millions of end-users’ web and mobile apps have been FIDO-enabled for strong authentication protection by leading service
providers, including Google, PayPal, Samsung, Bank of America, Dropbox, and GitHub.
“The expansion of cross-platform support from NTT DOCOMO highlights the growing global consensus that using open standards from FIDO Alliance is the right
strategy for moving the connected economy off its dependency on passwords,” said Brett McDowell, executive director of the FIDO Alliance. “As more service
providers look to reduce fraud risk and give customers a better, faster user experience, I believe they will be following DOCOMO’s example and deploying cross-
platform FIDO-enabled, privacy-respecting biometric authentication that is simultaneously more secure and convenient.”
More details on DOCOMO’s FIDO-for-iOS deployment
Using FIDO specifications, DOCOMO is enabling its customers to securely authenticate themselves with Touch ID instead of a password to the DOCOMO d
ACCOUNT™ app, which will be available in the App Store on March 9. From there, they will have secure access to DOCOMO account details, billing and services,
including mobile gaming and music platforms d game™ and d music™, and shopping sites such as d delivery™ and d shopping™. DOCOMO is also removing the
password from carrier billing, allowing customers to approve their payments via Touch ID.
In a media update about this news, DOCOMO said, “The app will encourage more DOCOMO partner companies to incorporate the FIDO standard as users
demand biometric authentication for an increasingly diverse range of mobile handsets.”
“d ACCOUNT,” “d game,” “d music,” “d delivery,” and “d shopping” are trademarks or registered trademarks of NTT DOCOMO, INC. NTT DOCOMO’s “d ACCOUNT,” “d delivery” and “d shopping” services are only
available to subscribers in Japan.
Touch ID is a registered trademark of Apple, Inc.
iOS is a trademark or registered trademark of Cisco in the U.S. and other countries and is used under license.
Android is a trademark or registered trademark of Google, Inc.
Media Contact
Megan Shamas
Montner Tech PR 203-226-9290
mshamas@montner.com

iOS端末 Touch IDでログイン認証
• iOS端末もドコモスマートフォン（Android）同様に「生体認証でログイン」を
選択すると生体認証、すなわちTouch IDで認証
ドコモおよびパートナーサイトから
dアカウントにログイン
Touch IDで認証 dアカウント設定アプリをインストールしていない
お客様にはApp Storeからダウンロードして頂く

iOS端末Touch IDでお買いもの（決済）
© 2016 NTT DOCOMO, INC. All Rights Reserved. 18
• iOS端末もドコモスマートフォン（Android）同様にケータイ払い等決済でも
生体認証、すなわちTouch IDを利用可能
Touch IDで認証
（iOSの場合）
ご注文の確認
（決済完了）
「レジに進む」「Touch IDで確認」
FIDO東京セミナー 2016 12/8
dショッピングのサイトで「カートに入れる」

iOS端末におけるdアカウント FIDO UAFの実装
© 2016 NTT DOCOMO, INC. All Rights Reserved. 19
• iOS端末用dアカウントアプリを開発。Nok Nok Labs社 FIDO® Certified
SDKでFIDOプロトコルを実装し、さらにTouch IDのセキュリティを活用
FIDO東京セミナー 2016 12/8 https://support.apple.com/en-us/HT204587
– 「iPhoneおよびiPadのTouch IDのセキュリティについて」に
より、Touch IDではSecure Enclaveによって指紋データ
（数学的表現）をiOS端末内に保持し、また端末の外に
出ることがないなど、FIDOプライバシーポリシーと同等と判断
– iOS 9からの仕様なども活用し、dアカウント認証に必要な
要件を達成
dアカウントアプリ
FIDOクライアント
Touch ID
Secure Enclave

iOS端末も同じサーバーでFIDO認証
© 2016 NTT DOCOMO, INC. All Rights Reserved. 20FIDO東京セミナー 2016 12/8
…
ケータイ払い
iOS
Android 認証サーバーケータイ払い決済サーバー
SH-01H SO-03H SO-01H SO-02HF-02H F-01H
F-04H SH-04HSO-04H SC-02H SO-02J F-01J SH-02J DM-01JSO-01J L-01J

FIDOアライアンスでの活動～D@SWGを中心に
• FIDOアライアンスにとって2015-16年はその広がりを加速・実現する年
– NTTドコモはボードメンバーとしての加盟後、“Deployment-at-Scale” WG
（作業部会）の設立を提案し、その設立が2015年7月に承認され、引き続き
活動を推進しています。（隔週定例、寄書の提出、議論とその推進）
21FIDO東京セミナー 2016 12/8
Certification Working Group
Deployment-at-Scale Working Group
The mission of the Deployment-at-Scale Working Group is to accelerate overall deployments of FIDO solutions in 2015 and
2016 by acting as subject matter experts and internal advisors within the FIDO Alliance on issues affecting the deployment of
FIDO solutions.
Co-Chair: Max Hata, NTT DOCOMO, Co-Chair: Liz Votaw, Bank of America, Co-Chair: Darren Platt, RSA
Marketing Working Group
Privacy and Public Policy Working Group
Universal Authentication Framework (UAF) Technology Working Group
Universal 2nd Factor (U2F) Technology Working Group
商用導入の経験をフィードバックし、さらなる広がりに向けて、
具体的な提案と議論で貢献しています。
FIDO 2.0 Technology Working Group
TechnicalNon-technicalWGs
© 2016 NTT DOCOMO, INC. All Rights Reserved.

パスワードのいらない世界へ
Creating a World without Passwords
いつか、あたりまえになることを。
“The new of today, the norm of tomorrow.”
• FIDOアライアンスと連携して、
「あんしんをもっと便利に」をさらに具現化していく
Through collaboration with the FIDO Alliance, NTT DOCOMO will further
deliver
“Your Security, More Simple.”
22FIDO東京セミナー 2016 12/8
https://www.youtube.com/watch?v=NOHkCXH9tj4
https://www.youtube.com/watch?v=QzM4PpXEqP8
© 2016 NTT DOCOMO, INC. All Rights Reserved.

References
• 2015 May Announcements
- https://www.nttdocomo.co.jp/english/info/media_center/pr/2015/0526_00.html
Attachment: Biometric Authentication from DOCOMO (PDF format: 957KB)
Movie: Biometric Authentication
- https://fidoalliance.org/fido-alliance-welcomes-ntt-docomo-to-board/
- https://www.qualcomm.com/#/news/releases/2015/05/25
- https://www.noknok.com/what-they-say/press-releases/ntt-docomo-selects-nok-nok-labs-power-
first-fido-enabled-ecosystem
• 2015 September Announcements
- https://www.nttdocomo.co.jp/english/info/media_center/pr/2015/0930_01.html
- https://fidoalliance.org/worlds-first-mobile-network-operator-to-deploy-fido-authentication-ntt-
docomo-extends-its-mobile-innovation-lead-with-new-fido-certified-devices-and-services/
Movie: Biometric Authentication Chapter II
• 2016 March Announcement (There are some more accouchements but in Japanese)
- https://fidoalliance.org/ntt-docomo-rolls-out-fido-biometric-authentication-to-ios-customers/

NTT Docomo Deployment Case Study: Your Security, More Simple

Related slideshows

More Related Content

NTT Docomo Deployment Case Study: Your Security, More Simple

Editor's Notes