コンファレンス“バーチャル・バンキング--リーテイル金融進化論”が1月18から19日まで、都内のロイヤルパークホテルにおいて開催された。同コンファレンスは、世界41ヵ国でエグゼクティブを対象にしたイベントなど開催している英International
Communications for Management Group社(ICM)が主催するもの。
19日、「ネットワーク社会のインフラ:電子認証」という演題で講演した日本認証サービス(株)代表取締役社長、戸倉克行氏は、「EC立ち上がりのポイントは2001年から2002年にかけて。どれだけサプライヤーが努力できるかが今後のカギになる」と話した。
「国内のECは来年、再来年がターニングポイント」
戸倉氏は、電子認証をめぐるECのインフラ整備全般について、わかりやすく解説した。日本のインターネット人口は、1999年末の予測で約2000万人。同時期に世界では2億人、米国で1億人に達したと推測されており、日本だけで世界全体の約1割を占めている勘定になる。多くのアナリスト、実務家らが日本国内でのECのブレイクスルーを2003年ごろと予測しており、戸倉氏も「来年、再来年がターニングポイントだ」とした。その場合、ECのインフラとなる電子認証については、(1)本人認証(2)盗聴されないようにする暗号化(3)改竄されていないかどうかを確認する完全性(4)本人が署名したことを確認する否認拒否、の4点の技術をクリアすることが必要だという。その技術のバックボーンとなるのが、昨年来注目を集めているPKI(Public Key Infrastructure=公開鍵インフラ)ということになる。
「オンラインショッピングのコンテンツにはまだ魅力がない」
だが戸倉氏によると、現状では認証を使ったオンラインショッピングなどのサービスはあまり普及していない。「理由はさまざまに考えられるが、ひとつはコンテンツにまだあまり魅力がないこと。小売店で購入するのと比べ、送料なども含めれば安くはない。それに加え、認証の登録のためにいちいちCD-ROMから導入作業を行なわなければならないなど、コンピュータリテラシーの問題もある」という。だが将来、PKIに基づいた認証が普及すれば、現在のIDパスワード方式と比べてユーザーインターフェイスはかなり改善されることになりそうだ。戸倉氏は本人確認(Authentication)の方法として、「SYK」「SYH」「SYA」という3つのキーワードを挙げた。SYKは、Something You Knowの略、つまりパスワードだ。さまざまなWebのサービスを見ても分かるとおり、現状では本人認証のほとんどはSYKを使って行なわれている。だがセキュリティに弱く、その上使う側が覚えにくいという問題がある。複数のサービスで別々のIDとパスワードを使い、混乱してどれがどれか分からなくなってしまった経験は多くの人にあるだろう。戸倉氏は「ある統計調査に寄れば、サービスのサポートの仕事の3割は、ユーザーのパスワード忘却への対応だとされている」と話した。
「認証局も火災や盗難を防ぐ強靱な施設にする必要がある」
そこで登場してくるのがSYH、Something You Haveだ。ユーザーの所有物、つまりパスポートや免許証、カード、実印などを利用して認証を行なう。戸倉氏は「SYHをもとに認証局という準公的機関を使い、証明書を発行して認証を行なうPKIはパスワードがただひとつだけで済み、またWebなどでの証明書提示は半自動化できるなど管理コストの低減に役立つ」と説明した。PKIで物理的な本人確認が行なわれるのは、最初に利用者がCA(認証局)で登録申請する時だけ。この際、利用者本人が直接認証局に出頭し、免許証やパスポートを提示して本人確認を行なうか、あるいはWeb上などで免許証・パスポート情報などを提示する方法も考えられるが、戸倉氏は「この段階での本人確認の完璧さが、PKIを支える最大のキーとなる。Webなどで本人確認が行なえるかどうかは、今後きちんと検討しなければならない。また秘密キーと公開キーを登録し、保存する認証局そのものも、火災や盗難を防ぐことのできる強靱な施設にする必要がある」と力説。戸倉氏が代表取締役を務める日本認証サービスの金庫設置などの様子をプロジェクターを使って解説した。
「米ではウィルス防御はISPにアウトソース」
この日は、トレンドマイクロの代表取締役兼CEO、スティーブ・チャン氏も演台に上り、ECにおいてウィルス防御がいかに重要かを説いた。チャン氏は、インターネット時代のウィルスを過去のコンピュータウィルスと比較し、(1)スパムやトロイの木馬など、さまざまな妨害要因もウィルスの一種として捉え、ウィルスを「再定義」する必要がある(2)過去のウィルスがプログラムにだけ寄生したのに対し、HTMLのスクリプトやマクロに入り込むなど、複合的な攻撃を行なうのが現在のウィルスの特徴(3)ウィルス防御は個人がもはや行なうことではなく、ネットワークのインフラになりつつある――と説明した。
これまでウィルス防御は主にクライアントPCにワクチンソフトをインストールすることで行なわれてきたが、パターンファイルの巨大化や更新頻度の加速などで、管理コストが非常に大きくなってきている。チャン氏は「ウィルス防御はクライアントやサーバー、あるいはその上のゲートウェイ上ではなく、さらにもう一歩進めてISPの段階で行なうことがもっとも望ましい。要するにウィルス防御を自社で行なわず、ISPにアウトソースするということだ。米ではその傾向がすでに始まっている」と力説した。トレンドマイクロもその流れに合わせ、eDoctorという名称でウィルス防御のソリューション事業をすでに開始しているという。
