インターネットは便利なインフラであり,今後その重要性を増すのは明らかである。政府がIT戦略会議を発足させて産業や社会をインターネットなどのIT(情報技術)をベースにしたものに作り変えていこうという意欲を見せている。万人とはいかないまでも,あまりパソコンなどと縁のない人もネットを利用する時代がいずれ来る。
電子商取引(EC)をはじめとするさまざまな民間のサービスだけでなく,行政サービスもネット化していく。ある意味,“万人が使わざるを得ない”時代に近づいていく。そのとき,ユーザー本人を確認するには,どのように認証方法がよいのだろうか。一般に,利便性と安全性は相反する。万人に向いたユーザー認証はあるのだろうか・・・。
ユーザー認証といえば,まず考えられるのがIDとパスワードである。ID/パスワードでセキュリティは維持できる。しかし,ID/パスワードでセキュリティを高めるには,ちょっとした知識,手間が必要になる。大したことではない。パスワードに,誕生日など推測されやすいものを使わない,できれば定期的に変更する。ところが,万人が使うとなると,実際には難しい。
つい先日も,「美容院の店員が,お客のキャッシュ・カードを使って現金を取る」という事件が発生した。お客が美容院にいる間に,バッグからキャッシュ・カードをこっそり拝借し・・・とここまではわかる。しかし,どうやって暗証番号がわかったのだろうか? なんのことはない,誕生日を暗証番号にしてあったわけである。
インターネットやITに関連した業務などにかかわっていれば「どうしてそんなことを」ということになるだろう。しかし,一般の,単にサービスを利用する側から見れば,そんなものである。したがって,2重のパスワードを設定したとしても,現実的にはそれほどセキュリティが向上するとは思えない。
現行のキャッシュ・カードならば現金を搾取しようという人が,ATM(現金自動預け支払い機)に足を運ばなければならないというセキュリティがある。これがネットではなくなり,利便性が高くなる半面,セキュリティ上の不安は高まる。暗証番号やパスワードに誕生日を使うような人は,ネット・サービスを利用しなければよい,というのは簡単である。しかし,魅力的なサービスが登場すれば,セキュリティなどは気にせず利用する人が多い。提供者側も利便性ばかり強調する傾向がある。
ICカード(スマート・カード)やPKI(公開カギ・インフラストラクチャ)を使ったユーザー認証はどうであろうか。ICカードのように,物理的なモノを利用する方法はなじみやすい。現行のリアル社会と同じような管理ができる。しかし,前述の美容院の例がある。
もう1つ忘れてはいけないのが,指紋や音声など人それぞれの特徴を使うバイオメトリクス(生体情報)認証である。バイオメトリクスは,本人の意識にほとんど関係なく,ある程度のセキュリティを維持できるという特徴がある。パスワードのように安易に誕生日を設定することができないし,キャッシュ・カードのように盗まれる危険性も少ない。ただし,人の特徴を使うため,人によって向き不向きがある。
これまで,企業などに向けて議論されてきたユーザー認証を,一般社会に当てはめて考える必要がある。セキュリティを維持するためにどのようなユーザー認証がよいのか,複数のサーバーやサービスにいちいちログインするのは難しいため,シングル・サインオン・システムを導入する。こういったことをセキュリティに対する意識や知識がほとんどないユーザーが利用することを前提に検討すべきである。
ユーザーの自己責任といえばそれまでであるが,そんな簡単にだれでもセキュリティの意識を高め,実行できるとは考えにくい。フェールセーフ的な仕組みも重要である。そうしないと今後,“カギがろくにかかっていない”各家庭や金庫の出入り口が,ネット上に増えていくことになってしまう。
(小松原 健=日経インターネット・テクノロジー)
