ユーザーの利便性やプライバシ保護の観点からは,すべての取り引き(トランザクション)で厳格なユーザー認証を実施する必要はない。ユーザーのアクションを必要とする『アクティブ認証』ではなく,必要としない『パッシブ認証』で済む場合も多い」---。米RSA SecurityのCEO兼社長であるArt Coviello(アート・コビエロ)氏は4月26日,現在開催中のセキュリティ会議/展示会「RSA Conference Japan 2006」の基調講演において,ユーザー認証を使い分けることの重要性を説明した。以下,同氏の発表内容の一部をまとめた。
オンライン・サービスを利用するには,ユーザーはサービス提供者に対して,個人情報を開示する必要がある。しかし,ユーザー自身は自分のプライバシを守りたい。ユーザー認証の手続きも面倒だ。そのため,ここで「摩擦(conflict)」が発生する。サービス提供者としては,この摩擦を最小限に抑えることが重要となる。
そのためには,サービス内容によってユーザーに要求する情報(実施するユーザー認証の内容)を変えればよい。例えば,取り引きの金額が少ない場合,つまり,提供者側のリスクが小さい場合には,ユーザーの利便性を優先させて,パッシブ認証(passive authentication)で十分とする。
パッシブ認証とは,ユーザーの操作を必要としない認証方法である。アクセスしてきたデバイスの種類やIPアドレス,そのサイトにおけるユーザーの行動パターンといった「ユーザー・プロファイル」を,過去のユーザー・プロファイルと比較して,そのユーザーが正当なユーザーかどうかを判断する。サービス提供者側で実施するので,ユーザーは認証のための操作をする必要はない。
これに対して,ユーザーの操作を必要とする認証を,アクティブ認証(active authentication)と呼ぶ。ワンタイム・パスワード認証やUSBトークンによる認証などはアクティブ認証である。アクティブ認証ではユーザーを確実に認証できる半面,ユーザーの利便性は落ちる。
これらをうまく組み合わせれば,ユーザーに不便を与えることなく,適切なユーザー認証を実施できる。例えば,銀行口座にアクセスさせる場合,その口座の残高がそれほど多くなければ,取り引きのスピードや利便性を優先させてパッシブ認証を用いる。なりすましなどを許すリスクはある程度存在するが,そのリスクはサービス提供者が負う。
一方,多額の取り引きの場合には,アクティブ認証を実施する。この場合には,認証に手間や時間がかかろうとも,ユーザーは納得してくれるはずだ。
