パスワードは50年前の技術、今後5年で生体認証にシフト
10月17日、マカフィーの2015年版セキュリティ対策製品が一斉発売された。iOS向けの紛失・盗難対策を強化するなど、OSやデバイスを問わず台数無制限にインストールできるクロスプラットフォーム戦略をまた1つ推し進めた形だ。
そこで今回は、米国マカフィー社でチーフコンシューマ セキュリティ エヴァンジェリストを務めるギャリー・デイビス氏に、米国のセキュリティ動向、2015年版で強化・追加された部分などを広く伺った。聞き手はITジャーナリストの三上洋氏。
◆
三上 「この数ヵ月間で日本のテレビや新聞が最も取り上げたセキュリティ関係のニュースは、ハリウッドのセレブ写真流出騒動なんです。一時期、テレビは朝から晩までずっとこのニュースを流していました。あの現象について、原因がどこにあったのかというところから教えていただけますか」
デイビス 「1つには、有名人という条件があったと思います。おそらく私や皆さんの写真流出なら、メディアもそこまで注目はしなかったでしょう」
三上 「今のところ流出の原因として、“Find My iPhoneの脆弱性・欠陥”、もしくは“秘密の質問と答えを推測された”の2つが考えられています。どちらの可能性が高いと思いますか」
デイビス 「私はFind My iPhoneの脆弱性が大きな理由だったと考えています。脆弱性に対してブルートフォース攻撃を仕掛けられ、それがきっかけとなってゲートウェイが与えられてしまった。そこからパスワードが判明してしまったということだと思います。
そしてこのような事件が起きた際、常に私が思うのは、『複雑なパスワードを使うことがいかに重要なのかということが、世間にはまだ浸透していない』ということです」
パスワードからのシフトをセキュリティ業界全体で促す必要あり
三上 「今、日本でもパスワードの使い回しを狙った国内ネットサービスへの不正ログインが何度も何度も起きており、社会問題化しています。これはアメリカ、もしくは他の国でも同じように問題となっているのでしょうか」
デイビス 「そうですね。世界各国で同じような現象は起きています。最近の調査によれば――これはワールドワイドでの話ですけれど――30%以上のコンシューマが様々なアプリやサイトで同じパスワードを使い回している、というような結果も出ています。
私は、5年以内に(サービスへログインするために)ユーザー名とパスワードを使うという方法自体が変わるのでは、と思っています。今、皆さんがお持ちの携帯端末はすべてカメラまたはマイクが付いています。おそらくそういった機能を使っての生体認証がユーザー名とパスワードを置き換えることになるのでは」
三上 「生体認証が普及するまでは、パスワードの使い回しによる不正ログインというのは続くのでしょうか」
デイビス 「たぶんそれは続くだろうと思います。McAfeeとしても、複雑なパスワードを使ってくださいと説いておりますし、またはパスワードマネージャーのようなものを使ってくださいと口を酸っぱくして皆さんにお伝えしているつもりなのですけれど、まだまだ十分に浸透していません。
ですからこの部分に関してはセキュリティ業界全体で抜本的なシフトを促すべきだと思います。実際、ユーザー名とパスワードを使った認証は1960年代頃に始まったもので、そういった意味では非常に古いやり方です。しかし、慣れ親しんだやり方を変えるというのは、なかなか大変なことでもあるのです」
生体認証は指紋から声・顔に
三上 「生体認証は、具体的にどのようなものが普及するとお考えですか」
デイビス 「指紋認証をAppleさんが始めたことは大胆な一歩だったと思います。そしてこれから先、大きく使われる生体認証の手段としては音声と顔の2つが挙げられます。
ただしそこにもスマートな認証が不可欠です。たとえば顔なら、それが本物なのか画像なのかをいかに判別するか。精度を高くすること、そして本物、真正であるという証明も必要になります。これにはさらなるテクノロジーの進化が求められるでしょう。
その他に進化するだろうなと思われる分野としては、まずproximity(近接認証)でしょうか。たとえば今お持ちの携帯電話を認証する場合、あなたのPCのすぐ隣に置くことができれば、それはあなたの携帯電話でしょうということで認証されます。つまり“所持品同士を近くに置けるか否か”で認証をかけるわけです。
そしてもう1つが、心拍認証。たとえばウェアラブルのフィットネスバンドで継続的に個々人の心拍を測り続けていくと、それがその人の特徴になるわけです。この心拍数、心拍パターンは、網膜と同じぐらいの効果を発揮すると言われています」