セキュリティ技術者である私は,「米国政府は国民用IDカードを導入すべき」と主張する人によく出会う。こうした人たちは,「国民用IDカードでどうして安全性が向上しないのか」と質問する。
思慮深く,市民の立場に立った人物――例えば,New York Times誌のNicholas Kristof氏のような人物――から出される国民用IDカードに関する意見は,どっちつかずの内容になることが多い。例えば,「もちろん,このカードは我々のプライバシをわずかながら侵害するし,増加し続ける日々の手間や遅れがさらに増えることは間違いない。しかし我々は危険な時代に生きている。まったく新しい時代に……」といった具合だ。
こういった意見で述べられることは,すべて筋が通っているように聞こえる。しかし,このような考えには同意できない点がたくさんある。
IDカード・システムが引き起こしそうなプライバシ侵害は,“わずかながら”では済まないほど大きい。それに,繰り返される身元確認作業で生ずる手間と遅れにより,オフィスの入り口や空港,病院の待合室,ショッピング・モールでは日常的に長蛇の列が発生するはずだ。
しかし,私の一番の反対理由は国民用IDカードがもたらしうる全体主義などではない。新たな社会的経済的混乱が生じる可能性でもない。政府の御用聞き企業が役立たずの巨大システムを作ることについても心配していない。私が国民用IDカードに反対するのは――少なくともこの記事では――もっと単純な理由からだ。
国民用IDカードのシステムは機能しないし,社会の安全性も向上しないからだ。
実際のところ,私のセキュリティに関する20年の経験からみて,国民用IDカード・システムが導入されるとセキュリティは低下する。
私の主張は分かりにくいかもしれないが,決して理解できないものではない。私の主張は「セキュリティは“どう機能するのか”ではなく,“どう失敗するのか”を評価すべき」というものだ。
何億人もの正直者に使われた場合に,IDカードがいくらきちんと機能しようとも,そんなことはセキュリティ上重要なことではない。重要なことは,システムの攻略をたくらむ何者かが使った場合に,システムがいかに機能しなくなるかだ。どのように機能しなくなるのか,どうすれば機能しなくできるのか,どういった悪用可能な欠陥があるのかを考える必要がある。
第一の問題はカード自身にある。どんなに偽造防止策を講じても,いずれ偽造される。さらに悪いことに,偽名で合法なカードを取得することさえ可能だ。
9月11日の事件に関係したテロリストのうち2人は,偽名でバージニア州から正規の運転免許書を取得していた。国民用IDカード発行者の買収は不可能だとしても,カード所有者の最初の身元確認はほかの証明書で行うことになる。ほかの証明書なら,国民用IDカードよりも偽造は容易だろう。
こうした問題は,ある一種類のIDカードだけに限った話ではない。毎年,身分を証明書できるあらゆる書類のうち約20%が行方知れずになっている。カードを紛失する人に対応するには,完全に独立したセキュリティ・システムを開発しなければならない。それ自身では悪用(攻撃)される心配のないシステムが必要だ。
そのうえ,あらゆるIDシステムには人間が関与する。そして,人間は間違いを犯すものである。バーテンダが明らかに偽物と分かるIDカードにだまされた話や,空港や政府の建物でのいい加減なID確認の話を耳にしたことがあるだろう。これらは,単なるトレーニング不足の問題ではない。IDの確認は頭がぼぅっとする退屈な仕事で,必ず間違いが発生する。こうした場合,指紋などを使うバイオメトリクスを導入すれば多少解決できるが,バイオメトリクスが抱える欠陥すべてを持ち込むことになる。
しかし,あらゆるIDシステムにとって一番の問題は,データベースを必要とする点である。国民用IDカードの場合,巨大なデータベースが必要になる。このデータベースには,国民全員のプライバシに関わる取り扱いの難しい個人情報を格納することになる。そしてそのデータベースには,航空会社のチェックイン・カウンタやパトカー,学校などさまざまな場所から即座にアクセスできなければならない。
このデータベースのセキュリティ・リスクの大きさは途方もないものになる。このようなデータベースは,既存のデータベース――互換性がなく,データ量が膨大で信頼性の低い複数のデータベース――を寄せ集めたものになるだろう。私などコンピュータ研究者には,外部のハッカーや,データベースへのアクセス権を持つ無数のインサイダたちから,そのようなデータベースをどう守ればよいのか分からない。
さらに,避けようのないワームやウイルス,偶発的な故障やデータベースの動作停止などに遭遇したらどうなるのだろう? 復旧するまで米国をシャット・ダウンしておくのか?
国民用IDカードの支持者たちは,これらすべての問題について我々に下駄を預けようとしている。このようなシステムのコストは何100億ドルもかかるだろうが,いったい何に使うのだ? ある人物の身元を確認できそうだからか?
Timothy McVeigh(1995年のオクラホマ爆破事件の犯人)やユナボマー(大学と空港の関係者を標的に18年間も繰り返し爆弾を送りつけていた人物),DCスナイパー(2002年にワシントンD.C.周辺で発生した無差別狙撃事件の実行者)の名前を逮捕前に知ることに何かメリットがあるだろうか? パレスチナ人の自爆テロ犯は,一般にテロの前歴がない。ここでの目的は,ある人物の意図を知ることだが,その人物の身元と意図に関連性はほとんど見当たらない。
それに,さまざまな身元確認用文書を用意することにセキュリティ面のメリットがある。単一の国民用IDは,極めて重要性の高い“文書”なので,偽造の動機はさらに強くなる。何も考えずにIDをチェックしている警備員よりも,相手のちょっとしたしぐさに注意を払っている警備員のほうが,セキュリティは高い。
だから,国民用IDカードのセキュリティを10点満点で評価するよう求められても,私には答えられない。点数をつけることすらできないのだ。
New York Times誌に掲載されたKristof氏の記事:
<http://www.nytimes.com/2004/03/17/opinion/...>
国民用IDカードに関する過去記事:
<http://www.schneier.com/crypto-gram-0112.html#1>
身元確認とセキュリティに関する過去記事:
<http://www.schneier.com/crypto-gram-0402.html#6>
Copyright (c) 2004 by Bruce Schneier.
◆オリジナル記事「National ID Cards」
◆「CRYPTO-GRAM April 15, 2004」
◆「CRYPTO-GRAM April 15, 2004」日本語訳ページ
◆「CRYPTO-GRAM」日本語訳のバックナンバー・ページ
◆この記事は,Bruce Schneier氏の許可を得て,同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は,「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
