2013年5月にラスベガス開催されたInterropで、PayPalの最高情報セキュリティ責任者(CISO)のマイケル・パレットの基調講演があり、その中で、「ID・パスワードの仕組みはインターネットの発展を阻害している」、「これらは数年以内に地球上から一掃され、代わりにバイオメトリクス認証が普及する」との見通しを発表しています。
http://techtarget.itmedia.co.jp/tt/news/1306/10/news07.html
最初に整理しておきますと、現在、世の中には3レベルの本人認証の仕組みがあります。
(レベル1)What I know
本人が知っている情報を使った認証: パスワード、パスフレーズ、本人属性 等
(レベル2)What I have
本人が持っているモノを使った認証: パスポート、IDカード、乱数表、クレカ 等
(レベル3)What I am
本人そのものを使った認証: 虹彩、指紋、DNA、声紋、顔 等
レベル1はインターネット黎明期から使われ続けているもっとも基本的な認証方法です。インターネットプロバイダーへのID・パスワード認証を経てネットにアクセスできるのですから、このエントリーを見ている全ての人は、少なくともこのレベル1の仕組みを利用しています。
レベル2はインターネットバンキングでよく使われる認証方法ですね。手元に特定の文字列が記載されたカードや乱数表を用意し、都度指定される箇所に書かれた文字列を入力することで、認証が行われます。レベル1と組みわせるのがほとんどです。クレジットカードでも、オンラインショッピングでは、カードの裏側に書いてあるセキュア番号を記入させることが一般的ですが、これもこのレベル2の認証方法です。
レベル3は一部の金融機関やセキュリティレベルの高い施設へ入るためのビル入館システムに実装されています。一昔前は、流行ものとして、携帯電話やノートPCなどのモバイルデバイスにも実装されていましたね。ただ、まだ世間一般に大きく普及しているとは言えません。自分のPCを使ってレベル3の認証方法を使ったことがある人なんて、インターネット人口の0.01%にも満たないでしょう。
さて、、PayPalのCISOが触れたのは、レベル1の「What I know」に関する認証方法を数年内に一掃して、レベル3の「What I am」に関する認証方法を普及させるということです。
なにせ、私たちは10年前と比較すると、およそ5倍以上のID・パスワードの組み合わせを使いこなしているとのこと。多くの人にとって、これらすべてをアタマに記憶しておくことは難しいです。となると、ノートなどにその組み合わせをメモする人もたくさんいますよね。
これらはソーシャルハッキング(原始的な盗み見、盗難)によって簡単に情報が漏れてしまうため、根本的なセキュリティリスクを抱えています。しかし、こうしたリスクを背負っているにも関わらず、パスワードを忘れてしまって、アカウントの締め出しをくらってしまうこともしばしばあります。
こんなに割に合わない認証方法はないでしょ!というのがPayPalのCISOの発言です。
これに置き換わる仕組みとして、2014年から、「What I am」にあたる生体認証の共通基盤の仕組みが公開され、インターネット上で使用できるようになるそうです。先のCISOが代表理事を務める非営利団体FIDOがその活動を先導しているとのこと。
すでにAppleをはじめとする、主要なモバイル端末を抱えるベンダーは、生体認証に関する技術を自社に取り込み済みであり、スマートフォンのカメラを使って、映画さながらの顔認証や網膜スキャン(※)を実行できる機種も開発中とのこと。
※網膜スキャンのモバイル化は2009年にブラザー工業が実用化済。
http://www.itmedia.co.jp/news/articles/0910/21/news021.html
もちろん、生体認証に用いる情報は超重要機密情報にあたるため、その管理には厳重な仕組みが求められます。PayPalのCISOは、その仕組みをサードパーティとしてのPayPalが引き受けようと考えていると述べています。
SF映画の中ではおなじみの生体認証技術ですが、これがインターネット上でも当たり前に使われるようになれば、私たちの生活にも大きな影響がありそうです。
ただ、複雑なパスワードの管理から完全に解放されるのは魅力的ではありますが、もしその情報がクラッキングで盗まれてしまった場合、どうすればよいのでしょうね?パスワードや乱数表のたぐいなら新規発行すれば良いですが、網膜や指紋、声紋の情報を新しくするなんてできませんし・・・・・
このあたりの運用の仕組みについて、今後も注視していきます。
posted by 吉澤準特 at 09:27
|
Comment(0)
|
TrackBack(0)
|
業界裏話