最近、「FIDO 2.0」「Web Authentication(WebAuthn) API」「生体認証」といったキーワードを目にする機会が増え、いわゆる「パスワードレスなユーザー認証」がすぐそこまで来ています。
フィッシング攻撃、漏洩からの〜パスワードリスト攻撃、最大文字数や統一されない使用可能文字など、パスワード認証に関わる苦々しい記憶からついに抜け出すことができると注目されています。

Android と FIDO のこれまでの経緯としては、2017年12月に次のような発表がありました。
* FIDO UAF 1.1技術仕様を実装した初のFIDO(R) Certified（認定）製品が利用可能になった
* Android 8.0以降のデバイスへのFIDO認証導入が容易になった
キャリアのアカウント設定で生体認証が利用できたり、生体認証に対応したアプリを用いてインターネットバンキングアプリにログインできる事例も出てきました。

また、Androidアプリに関わる開発者にとって生体認証に関わる機能自体は新しいものではないでしょう。
* 2015年 : Android 6.0 Marshmallow : FingerPrintManager
* 2018年6月 : Android P(Android 9 Pie) : BiometricPrompt
このように生体認証を取り巻く環境は確実に変化しているものの、
まだまだ「アプリやサービスに生体認証 "のみ" でログイン」よりも「画面ロック解除」の用途としてのイメージが強いように感じます。

今回のセッションで扱う "WebAuthn" はWebアプリから生体認証やセキュリティキーを用いた認証を可能にする仕組みです。
Chrome の新しいバージョン(70)では "WebAutnn" で Android の指紋認証、 Mac の Touch ID をサポートしているため、Chrome + WebAutnn を組み合わせることでWebサービスに Android の指紋認証を用いてログインできるようになります。
パスワードレスなユーザー認証の普及の障壁だったWebサービスへの生体認証への導入が今後普及することにより、モバイルアプリにおける生体認証にも影響を与え、業界全体で安心安全なユーザー認証をできる世界に向かっていけると考えられます。

本セッションではその準備として、以下の内容を予定しています。
* WebAutnn 概要
* Chrome + WebAuthn でできること
* Webサービス開発者は何をする必要があるか
* 新規サービスで導入する際の注意点、パスワード認証からの移行方法など