Face IDとTouch IDの用途
デバイスまたはユーザアカウントのロック解除
Face IDまたはTouch IDがオフの場合は、デバイスまたはアカウントがロックされたときに、Secure Enclaveに保持されているデータ保護の最上位クラスの鍵が破棄されます。このクラスのファイルおよびキーチェーン項目は、ユーザがパスコードまたはパスワードを入力してデバイスまたはアカウントをロック解除しない限りアクセスできません。
Face IDまたはTouch IDがオンの場合は、デバイスまたはアカウントがロックされたときに鍵は破棄されず、代わりにSecure Enclave内のFace IDまたはTouch IDサブシステムに与えられている鍵でラップされます。ユーザがデバイスまたはアカウントをロック解除するときは、認証に成功すると、データ保護鍵をアンラップするための鍵が提供され、デバイスまたはアカウントがロック解除されます。このプロセスでは、デバイスをロック解除する際に、データ保護と、Face IDまたはTouch IDのサブシステムとの連携を必須にすることによって、保護を強化しています。
デバイスを再起動すると、Face IDまたはTouch IDでデバイスまたはアカウントをロック解除するために必要な鍵は消去されます。また、パスコードまたはパスワードの入力が必要な状況になったときは、Secure Enclaveによってこれらの鍵が破棄されます。
Apple Payでの買い物のセキュリティ保護
ユーザは、Apple PayでFace IDとTouch IDを使って、店舗、アプリ、オンラインで簡単かつ安全に買い物をすることもできます:
店舗でFace IDを使用する: 店舗での支払いをFace IDで認証する場合は、まず、ユーザがサイドボタンをダブルクリックして支払いの意思を示す必要があります。このダブルクリックにより、Secure Enclaveに直接リンクされる物理ジェスチャを使用したユーザの意思がキャプチャされ、悪質なプロセスによる偽造から保護します。次に、ユーザはFace IDで認証を行ってから、デバイスを非接触型決済リーダーに近付けます。Face IDで認証したあとに、Apple Payでの別の支払い方法を選択できます。この場合は認証をやり直す必要がありますが、サイドボタンを再びダブルクリックする必要はありません。
アプリ内またはWeb上でFace IDを使用する: アプリ内またはオンラインで支払いをするときは、ユーザがサイドボタンをダブルクリックして支払いの意思を示してから、Face IDで認証を行って支払いを承認します。サイドボタンをダブルクリックしてから60秒以内にApple Pay決済が完了しなかった場合は、ユーザがもう一度サイドボタンをダブルクリックして支払いの意思を示す必要があります。
Touch IDを使用する: Touch IDの場合、支払いの意思はTouch IDセンサーを有効にするジェスチャと、ユーザの指紋照合の成功を組み合わせて確認されます。
システムが提供するAPIを使用する
他社製アプリでは、システムが提供するAPIを使用して、Face ID、Touch ID、パスコード、またはパスワードによる認証をユーザに求めることができます。Touch IDをサポートするアプリでは、特別な変更なしにFace IDも自動的にサポートされます。Face IDまたはTouch IDの使用時は、アプリに認証の成否が通知されるだけで、アプリがFace ID、Touch ID、および登録ユーザに関連付けられたデータにアクセスすることはできません。
キーチェーン項目の保護
キーチェーン項目をFace IDまたはTouch IDで保護して、認証成功、またはデバイスパスコードまたはアカウントパスワードでのみSecure Enclaveによってロック解除されるようにすることもできます。アプリのデベロッパは、キーチェーン項目をロック解除するためにFace ID、Touch ID、パスコード、またはパスワードを要求する前に、ユーザによってパスコードまたはパスワードが設定されているかどうかを確認するAPIを使用します。アプリデベロッパは以下のいずれかを行うことができます:
認証APIを使用する際にアプリのパスワードまたはデバイスのパスコードが再度要求されないようにできます。セキュリティが重視されるアプリでは、ユーザが登録されているかどうかを確認した上で、Face IDまたはTouch IDを第2要素として使用できます。
Secure Enclave内でECC(楕円曲線暗号)キーを生成して使用できます。これらはFace IDまたはTouch IDで保護されます。これらのキーを使用する処理は、常にSecure Enclaveによる承認の後、Secure Enclave内で実行されます。
購入の実行と承認
ユーザはiTunes Store、App Store、Apple Booksなどでの購入の承認にFace IDまたはTouch IDを使用するように設定することもできます。こうすることで、Apple IDパスワードの入力が不要になります。買い物をすると、Secure Enclaveにより生体認証が行われたことが確認されてから、店舗のリクエストに署名するのに使用されるECC鍵を解除します。