ネットワークが普及してくると,さまざまなサーバーにアクセスするようになる。社内LANだけでも,ファイル・サーバーやメール・サーバー,データベース・サーバー,イントラネット・サーバーなどたくさんある。さらにインターネットへ目を向けると,旅券などの予約システム,掲示板,ポータル・サイトなど,さまざまなWWWサイトがユーザー認証を行い,ユーザーに合ったページを表示する。
利用するユーザーは,アクセスする相手先に応じてユーザー名やパスワードを使い分けなければならない。あのファイル・サーバーへはxxという名前で,こっちのWWWサイトにはメール・アドレスでといった具合で結構面倒くさい。
数が増えれば面倒になるユーザー名とパスワードを,簡単に利用できるようにしてくれるのが「シングル・サインオン」である。これは新しい技術ではなく,同様の仕組みをWindowsネットワークではNTドメインやActiveDirectoryが採用している。UNIXにもNIS(Network Information System)と呼ぶ仕組みがある。
インターネットでも,会員制のWWWサイトなどにログインするためのユーザー名とパスワードを,WWWブラウザに覚えさすことができる。Cookie(クッキー)などの情報をWWWブラウザ側にセットすることで,2度目のアクセスからは自動的にユーザーを認証するサイトもある。
しかし,NTドメインやNISは不特定多数を相手にしているインターネットに適用するのは難しいし,無数に存在するインターネット・サーバーを連携させるのは現実味に欠ける。だいたい,特定OSでしか動かないものをインターネットは許さないだろう。
一方,WWWブラウザが覚えてくれるやり方にも問題がある。そもそもユーザー名とパスワードが必要になるのはWWWアクセスだけではない。適用範囲はぐっと狭くなる。そのうえ自宅と会社のマシンでは通常,WWWブラウザが保存している情報の同期がとれない。
こうした問題を解決するのが,最近製品化されているシングル・サインオン対応ソフトである。
例えばノベルの製品では,アクセス先ごとのユーザー名とパスワードをディレクトリ・サーバーが一元管理する(複数のサーバーに分散させることも可能)。利用者はいったんディレクトリ・サーバーにログインし,接続先に合ったユーザー名とパスワードをディレクトリ・サーバーから取得する。これを自動的に接続先のサーバーに送るのである。
この方法は単純でユーザーにもわかりやすく,現実的な解だろう。しかし,あまりスマートなやり方だとは思えない。相手先に合わせてアカウントを使い分けているからだ。どうせなら,すべてのアカウントを統一できないだろうか。
実は,この可能性を秘めた仕組みがすでに存在する。公開鍵を使った電子証明書である。電子証明書はWWWサーバーの身元確認方法として今や一般的になりつつあるが,これをクライアント側である利用者の身元確認にも利用するのだ。
暗号化メールの送信者確認,あるいはWWWクライアントの身元確認用の電子証明書はすでに存在する。仕組み上は,一つの電子証明書だけで,さまざまなサーバーにアクセス可能で,サーバーは提示された電子証明書の情報から利用者を特定できる。つまり,利用者はフロッピー・ディスク1枚に入る小さな電子証明書データを持ち歩き,必要に応じてその証明書をサーバーへ送るだけで済む。
ただ利用者の身元を保証する電子証明書は,今のところアプリケーションごとに別々に提供されている。例えば日本ベリサインの電子証明書は,WWWブラウザ用と電子メール用に分かれていて,同じ証明書を異なった種類のアプリケーションで利用できない。また,電子証明書の有効性チェック,第三者認証機関のあいだでの相互認証,クライアント側の証明書管理方法などは標準化されていない。
このような課題がクリアされれば,ISPとダイヤルアップ接続の契約を結ぶ際に電子証明書が自動的に配布され,電子証明書がない利用者はインターネットにアクセスできないような世界がくるかもしれない。あるいは,クレジット・カードや銀行のキャッシュ・カードを複数枚持ち歩くのが一般的な実社会と同じように,ネットワーク社会でも複数の電子証明書を使い分けることになるのだろうか。
(三輪 芳久=日経NETWORK副編集長兼編集委員)
