元ホワイトハウス補佐官
Richard Clarke氏
 「IDの盗用がサイバースペースを脅かしている。パスワードは盗用の危険に大して不十分であり,他の認証が必要」——元ホワイトハウス サイバースペース安全保障担当特別補佐官で米Good Harbor Consulting LLC会長のRichard Clarke氏は5月12日,RSA Conference 2005 Japanの基調講演でID盗用の脅威を指摘した。

 「サイバースペースではユーザー名とパスワードがあなたそのもの。ユーザー名とパスワードを盗まれれば,他人が完全にあなたになりすますことができ,その行為の結果がすべてあなたの責任になる。最も重要でありながら,最も盗まれやすい」(Clarke氏)

 従来のワームやウイルス,スパムといった攻撃と違い,新世代の攻撃の標的はID盗難に向けられているとClarke氏は指摘する。すなわちフィッシングやファーミング(関連記事)である。大量のIDが盗まれ,アンダーグラウンドのチャット・ルームなどでは1つのIDが1ドル以下で売買されているという。「ID盗用の被害は数億ドル,数十億ドルになりうる。企業の中にはサイバースペースでのビジネスを思いとどまるところもある」(Clarke氏)

 Clarke氏は,パスワードは盗難に対してぜい弱であり,他の要素を併用した2ファクタの認証が必要と指摘した。「米国では政府が思い腰を上げた。『ホームランド・セキュリティ大統領令』にブッシュ大統領が署名したことにより政府の職員は二要素認証を義務付けられることになった。香港の銀行は二要素認証が必須になっている。米AOLはユーザーの求めがあればログオンする際に二要素認証証を行っている。また米E*TRADEでもユーザーの要望により二要素認証を提供している」(Clarke氏)

米RSA Security CEO
Art Coviello氏
 続いて登壇した米RSA Securityの社長兼CEOであるArt Coviello氏は,現実世界の認証の進歩の歴史を紹介した。「特徴の記述」,「写真」,「指紋」と進化し,「DNA鑑定」で1億分の1という精度を達成したという技術革新をたどり,デジタル世界での認証技術はまだ進歩の途上にあり,様々な技術が共存すべきとの見方を示した。

 「トークンなのか,ICカードなのか,デジタル証明書なのか,生体認証なのか,ワンタイム・パスワードなのか。答えは一つに絞るべきではない。コストや特性,利用する場面によって多様な技術が競い,イノベーションを促進すべき」(Coviello氏)。そして,望ましい認証技術に必要な要素は「『絶え間ない改善』と『社会的な受容』,『不測の事態への備え』」であるとした。

(高橋 信頼=IT Pro)