W3CはWeb技術の標準化と推進を目的とした国際的な会員制の産学共同コンソーシアムであり、年1回の技術総会をTPAC(Technical Plenary/Advisory Committee Meetings Week)として開催しています。TPACは水曜日の全体会合を挟んで、1週間にわたり技術的検討を議論するWG(Working Group)やビジネス的観点からの技術の活用を議論するBG(Business Group)などの対面会合や、技術を採用したデモンストレーションなど、標準化にかかわるさまざまな活動が行われます。TPAC2019はヒルトン福岡シーホークにて640名を超える参加者、100を超えるミーティングやセッションなど、過去最大規模での開催となりました。
本総会での主要なトピックをいくつか紹介します。
まず、WWWの考案者およびW3Cの創設者であり、W3Cにおける求心力としての役割を果たしてきたTim Berners-Lee氏がディレクター等の主要な役職を退任する意向を示したことが挙げられます。それに伴い、過去数回の代表者会議ではW3Cの安定的な運営を実現するため、2021年1月に法人格を取得することが提案されてきており、今回の会議ではその準備状況等の報告がなされ、各会員組織においても組織内で準備をするよう依頼がありました。
また、標準化プロセスにおける知財の扱いについて、現状では勧告の際に各組織にロイヤリティフリーの実装を許諾することの確認を求めていたものを、WGでの議論の手戻りを防ぐために確認を早める方針の提案も示されました。

NTTグループでは、本総会の開催に関し、NTTコミュニケーションズおよびNTT西日本により会期中の安定的なネットワーク環境を提供しました。会合開催中は海外からも多くの関係者が来場し、インターネットを介してWeb会議やGitHub等、メンバー間のコミュニケーションを取ることから、非常に頑健で高速なネットワーク環境が必要となりましたが、会合中の監視や会合終了後の設備点検など、日々の運用業務を着実に行い、会合の高い評価にもつながる貢献を果たしました。

Web Authentication(WebAuthn)WGでは、シンプルで堅牢な認証の実現をめざすFIDO(ファイド)認証モデルをWebブラウザで提供するためにJavaScript API(Web認証)を標準化しています(1)、(2)。
W3CでのWeb認証の標準化は、2015年11月にFIDOアライアンスからWeb部分の基本仕様(案)をW3Cに貢献するかたちで始まりました。FIDO認証モデルをOS・ブラウザ等のプラットフォームに対応させ、2019年3月にLevel 1として正式勧告とし、現在Level 2の策定を進めています。
NTTドコモとNTT研究所は、FIDOアライアンスにボードメンバー、スポンサーメンバーとして加入し、Consumer Deployment WG、およびFIDO Japan WGの座長をNTTドコモが務め、FIDO仕様の商用導入に際しての課題とフィードバックのとりまとめ、仕様改善等、FIDO認証の仕様策定と普及に貢献してきています。
今回のW3C TPACでは、Webにおけるセキュリティと認証に携わるキーパーソンが一同に介する貴重な機会ととらえ、Web認証を含むFIDO認証モデルを適用したシンプルで堅牢な認証をさらに商用サービスで広く利用できるよう推進すべく、日本からの発信として3つの取り組みを行いました。

NTTグループが旗を振って、会期中Web認証に関するデモンストレーションブースを設置しました。FIDO Japan WGと国内のFIDOアライアンスメンバー企業にも加わっていただき、スマートフォン上でのWeb認証、PCとセキュリティキーを使ったWeb認証、そして手のひら静脈を使った認証器の動作をデモしました。国内におけるFIDO認証の普及と世界に先駆けての新しい取り組みの紹介を通じて、国内外からの出席者に今後のパスワードレス認証の方向性をアピールすることができました(写真1)。

“Contributions from NTT and Japan Teams for Simpler, Stronger Authentication” と題して会期2日目に30分のプレゼンテーションを行い、NTTドコモが2015年5月以来いち早く対応しているdアカウントのログインと本人確認でのFIDO仕様を活用した生体認証の取り組み(3)、NTTグループと国内企業によるWeb認証への取り組み、そして各社が世界に先駆けて商用導入しながら得られた知見と仕様改善に向けたフィードバック、その進め方についての構想を紹介しました。久しぶりに日本で開催されたW3C TPACにおいて、ランチョンスピーチはTPACとしても初めての試みであり、日本からの発信として貴重な取り組みとしてできただけでなく、数は多くないものの聴衆の一部からの強い関心を確認することができ、貴重なディスカッションにつなげることができました(写真2)。

WebAuthn WGでは、より具体的なフィードバックを行い、Level 2策定に向けたディスカッションを行いました。主たるポイントは、①現時点で存在しているブラウザ実装のばらつき、②フリクションレスな認証体験を提供するための仕様上の課題、③パスワードレス認証を実現するための多くのオプションを有効に活用するためのベストプラクティスが不足していると思われることの3点です。これらの取り組みを通じて、オンラインパスワードを起因とする不正アクセスのリスクを軽減していくための標準化活動にさらに弾みがついたものと思います。

Webベースサイネージ(4)はWeb技術を活用したデジタルサイネージのことで、端末にWebブラウザが搭載されるだけでサービスを実現できることが特徴として挙げられます。W3CではNTTも共同議長を務めるWeb-based Signage BGが、ユースケースの分析からWebベースサイネージの実現に向けた検討を行うかたちで始まり、サービスに必要となるブラウザのAPIの実現方法とサービスの普及について議論してきました。TPAC2019では約2年ぶりにBG会合を持ち、これまでの活動の歴史を振り返るとともに、Webベースサイネージがすでに商用展開されており、世の中に浸透してきていることを確認しました。当初目的としていたWebベースサイネージの普及が十分に達成できたことから、本会合をもって活動を停止することをメンバー間で合意し、実質上、2012年4月に活動を開始したBGに幕が下ろされました。

TPACの特色の1つに全体会合の中で行われるアンカンファレンス形式のBreakout Sessionsがあります。参加者の中から有志を募り、議論のテーマ設定からセッション運営までも有志自らが行います。議論テーマは、WGで意見が割れている点について広く聴衆の見解を求めるものや、今後W3Cで議論の対象とすべき新規テーマの提案など、非常に多岐にわたります。今年度は最大同時12セッション並列のかたちで、計59のセッションが開催され活発な議論が交わされました。
本会合で特に印象的であった点を紹介します。具体的には、ブラウザにおけるプライバシに関し、セキュリティ面での脅威の高まりや新たなセキュリティモデルの提案など関連する6件のセッションがGoogle社およびApple社より提起されました。この背景には、GDPR(General Data Protection Regulation)＊においては、現状のWebでのマネタイズに関し主流となっている広告モデルに関し、パーソナライズのために重要となるIPアドレスやCookieも個人情報に該当するといわれ、より慎重な取り扱いが必要となることが挙げられます。また、ブラウザフィンガープリンティング(5)により、Cookieを用いず、かつ、ユーザによる回避がより困難なかたちでユーザを追跡する手法が発展してきていることも同様に背景に挙げられます。
言うまでもなく、プライバシ保護は重要な要素です。今後、これらのセッションでの議論を基に、ブラウザベンダからの具体的な仕様の提案につながってくるものと考えられます。
＊ GDPR：EU一般データ保護規則。欧州議会・欧州理事会および欧州委員会が欧州連合(EU)内のすべての個人のためにデータ保護を強化し統合することを意図している規則のこと。

■参考文献
(1) https://fidoalliance.org/
(2) https://www.w3.org/TR/webauthn/
(3) 森山：“パスワードのいらない世界へ：NTTドコモにおけるFIDO(ファイド)標準を活用したdアカウント生体認証の取組みと将来展望、”電気通信、Vol.80, No.840, pp.13-19, 2017.
(4) 田中・中村・鈴木・竹上：“Webベースサイネージの標準化動向、”NTT技術ジャーナル、Vol.15, No.6, pp.56-59, 2017.
(5) N. Nikiforakis, A. Kapravelos, W. Joosen, C. Kruegel, F. Piessens, and G. Vigna：“Cookieless Monster: Exploring the Ecosystem of Web-Based Device Fingerprinting, ”Proc. of the 2013 IEEE Symposium on Security and Privacy, pp.541-555, Berkeley, U.S.A., May 2013.