1Password(ワンパスワード)は、最新のNIST(米国国立標準技術研究所)によるモバイル運転免許証(mDL)に関するガイダンス草案の作成に貢献し、政府発行の身分証明書の検証方法や選択的な共有方法に変化が生じていることを示し、画像ベースのアップロードよりも暗号学的証明を重視していると説明した。この草案作成における1Passwordの貢献は、拡張性の高いデジタルIDエコシステムを構築するには、グローバルな標準規格と業界横断的な協力が不可欠であるという見解の中で言及された。
mDLは、物理的な運転免許証のデジタル版として機能し、国際規格で高度に仕様化されたモバイル文書として定義される、政府発行の検証可能なデジタル資格情報として説明されている。mDLモデルは、資格情報にデジタル署名を行う発行者、資格情報を保存および提示するウォレット、そして真正性を検証する検証者の3つの役割に依存している。このモデルを説明するために、州のDMV(車両管理局)を発行者、モバイルウォレットを保有者、空港警備員を検証者として、空港の保安検査のシナリオが使用された。
この草案は、一般的なプライバシー問題、すなわち不要な個人データを露呈する画像アップロードに対処することを目的としていると報じられている。mDLでは、居住証明など、取引に必要な属性のみを送信できるため、性別や住所といった余計な情報を開示する必要がなくなる。検証プロセスは光学画像処理から暗号化検証へと移行し、不正リスクを低減し、プライバシーを向上させる。
NISTが提案するmDLフローは、いくつかのステップに要約される。まず、国家発行者が本人確認を行い、署名付き認証情報をウォレットに発行する。次に、依拠当事者が特定の属性を要求する。個人はローカルで認証を行い(例えば生体認証によるロック解除)、要求されたデータの共有に同意する。そして、検証者は生の文書画像ではなく、暗号的に証明された結果を受け取る。この草案は、高リスクの銀行取引、アカウントのオンボーディング、デジタル登録を対象としているが、そのパターンは多くの業種に適用可能であるとされている。
草案において、W3Cデジタル認証情報APIへの注目と、カスタムURIベースのウォレット呼び出しの回避が重要な点として強調された。標準化されたAPIを優先することで、ウェブサイトが誰がデータを要求しているか、どのような属性が要求されているかを明確に示すなど、ユーザーの透明性が向上し、デバイス間フローに対するCTAPベースの近接保護が可能になるとされた。このガイダンスは、アドホックなウォレット呼び出しメカニズムや独自のプロトコルよりも相互運用可能な標準を優先するものであり、断片化は実装の複雑さとユーザーエクスペリエンスの低下の原因とみなされた。
このガイダンスでは、mDLを、本人確認や高リスク取引といった重要な信頼の場面で高い信頼性を確立するためのツールとして位置付け、その後、ユーザーはパスキーなどの専用認証方法を日常的なアクセスに利用できるようにすることを目的としていると説明されている。パスキーは、日常的な認証において、よりシンプルでフィッシング対策にも有効なサインイン方法を提供するとされている。
草案の基盤となる標準化作業としては、ISO 18013-5/7、W3C検証可能資格情報、デジタル資格情報API、検証可能プレゼンテーションのためのOpenID、および検証可能資格情報発行のためのOpenIDが挙げられた。FIDO、W3C、OIDFなどの標準化団体への参加は、技術仕様を製品の実情に合わせるためのより広範な取り組みの一環として挙げられた。標準化開発の過程で、使いやすさ、ブラウザーおよびウォレットの動作への対応が、スムーズな導入のために重要であることが強調された。
管轄区域をまたいだ連携が不可欠であると指摘され、EUのデジタルIDウォレット構想や、将来の導入に役立つ関連規制の動向に注目が集まった。草案における長期的な展望では、従来のパスワードマネージャーとデジタルウォレットの境界線が曖昧になり、最新のウォレットは、プライバシーを保護しつつ、複数のデバイス間で連携しながら、より幅広い高価値認証情報を保護することが期待されている。
この草案は、金融業界における高い信頼性要件、不正対策のプレッシャー、そして顧客確認(KYC)における本人確認といったコンプライアンス義務といった要因から、金融業界を起点として策定された。金融業界は唯一の適用事例ではなく、あくまでも初期的なユースケースとして位置付けられており、読者には、このガイダンスが他の業界における本人確認のアプローチにどのように役立つかを検討するよう促されている。
NISTのmDLガイダンスは、万能薬というよりは意義のある進化として位置付けられており、暗号署名された認証情報は画像よりも偽造が困難であると説明され、標準ベースのワークフローは使いやすさとセキュリティーの両方を向上させるものとして提示された。
出典:1Password
この製品の詳細については、1Password製品ページをご覧ください。
