Let’s talk about the “End” in End-to-End Trust, Part II」より
March 24,2010,Posted by Peter Tippett

 当記事は2010年3月10日付けブログ記事の続編である。

 ユーザーを認証する場合、何らかのデジタル身分証明書を用意する前に、証明してもらおうとしている人物が本人かどうかを保証する基準を策定する必要がある。この保証の基準には、証明書の保証基準と同等もしくはそれ以上の厳格さが欠かせない。

 大抵の人は、実在の人物の身元を証明することを最終目標とみなすだろう。しかし筆者は、そのような発想はあまりに世間知らずなものだと思う。例えば映画「キャッチ・ミー・イフ・ユー・キャン」の主人公である実在の人物、フランク・アバネール・ジュニアについて考えてみよう。フランクは飛行機のパイロットや地方病院の主任小児科医、地方検事補になりすまし、26カ国と全米50州で400万ドル以上の偽造小切手を現金化した。連邦捜査局(FBI)が最終的に拘束した時の彼は19歳で、まだWeb技術は発明されていなかった。このことから、航空会社や病院、役所、銀行が人物確認に長けているなどとは誰も思わないだろう。

 現在、別の米国市民になりすますには約1万5000ドルかかる。これだけ払えば、目視確認や電子的な検査をパスできる別人のパスポートと運転免許証のほか、実際に使えるクレジットカードが3枚か4枚手に入る。ただし、これだけだと生体認証システムまでは欺けない。ところがずる賢い犯罪者は、登録されていない生体認証情報を使う身元証明手段を選ぶのだ。この種の情報でよく登録されているのは政府機関の職員や犯罪関係の指紋であり、米国人の約90%はこうした対象から外れる。

 実際のところ、本人の主張通りの人物であることを確認する唯一効果的な方法は、対象者の前歴を調べ、複数の独立した組織から得られる信頼できる情報で経歴を付き合わせることだ。なお、信頼できる情報とは、第三者による監査や検証、照合が可能な手段で収集/管理されたデータである。

 相手の顔と写真を比べることで阻止できるのは、間抜けな犯罪者だけだ。フランク・アバネールは止められない。

我々が実際に認証しているもの

 IT分野の専門家なら正しい答えを知っている人ばかりだろうが、それを実行することは現実的でない。ほとんどの人は「人間を認証する」とみなしているが、実際の認証対象はデータベースに登録されている情報やワンタイム・パスワードの「SecurID」、秘密鍵、非接触型カードなどに過ぎない。

 身分証明書は様々な処理を行う際の人物認証に便利だが、それだけでは不十分かつ不適切だ。以下に示した二つの状況を考えてみよう。どちらも対象者の身元を確認しているが、得られる信頼性も同じだろうか。

(1)カリフォルニア州にあるオフィスのノート・パソコンから、ある米国人の正しいユーザー名とパスワード、ワンタイム・パスワードが入力された。その人物は2時間前にオフィスにいたことが分かっている

(2)イランにあるオフィスのノート・パソコンから、ある米国人の正しいユーザー名とパスワード、ワンタイム・パスワードが入力された。ただし、そのパソコンは4時間前にマルウエア感染したと判明している。さらに、同じ米国人が2時間前にカリフォルニア州にいたことも知っている

 同等の信頼性が得られないことは明らかだ。(2)は(1)ほど信頼できない。身分証明に使われる情報は、例外なく改ざんされる可能性がある。ただし、どちらの状況も認証に使った複数の情報は全く同じだ。補助的な情報を加えることで、人間を認証する際の信頼性は高くも低くもなる。

 そこで我々は努力の方向性を、強力な証明書を認証することから、人間そのものを認証する強力な手段へと変えなければならない。そのためには、証明書に加えて、特定処理が行われる環境を対象と構成する環境の流れから入手可能な証明書以外のあらゆる情報を入手可能な限り利用しよう。

まとめ

 エンド・ツー・エンドの信頼について考える場合、セキュリティを構成する鎖の最も弱い部分は現実世界とデジタル環境の境界で行われる人間の認証作業、ということを理解しなければならない。強力な証明書は鎖を強化する手段の一つであるが、現在の生活スタイルや仕事の進め方との結びつきをもっと強化する必要がある。さらに、ユーザー自身が状況や環境に応じて使うITシステム用の認証手段を選べるようにするため、使いやすい複数の方法を提供することも欠かせない。

 「自分たちの使っているデジタル身分証明書はセキュリティ確保の切り札」とする組織が多過ぎる。多すぎる。自分をごまかすことなどやめて、人間を認証する強力な手段に注力しよう。認証は、複数の証明手段と、証明書および対象者の関与する処理についての補足情報を組み合わせて行う。

Copyrights (C) 2010 Verizon Business. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,ベライゾン ビジネスの許可を得て,米国本社のSecurity Solution部門の担当者が執筆するブログSecurityBLOGの記事を抜粋して日本語化したものです。オリジナルの記事は,「Let’s talk about the “End” in End-to-End Trust, Part II」でお読みいただけます。