ユーザーの“認証疲れ”がセキュリティリスクを高める
膨大なID/パスワードの管理を強いられる現代のユーザーたちは“認証疲れ”を起こしている――。筆者が訪れたシマンテックのシドニーオフィスで、ニック・サヴィデス氏はインターネットにおける本人認証の未来について熱く語った。
シマンテック シニアプリンシパル システムエンジニア、ニック・サヴィデス氏
サヴィデス氏は、ユーザーが“認証疲れ”した結果、これ以上の面倒を避けようと「覚えやすい安直なパスワード」と「使い回しのパスワード」があふれかえっていると指摘する。不正アクセスを容易にするこうした事態は、サービス提供者側にとっても大きなセキュリティリスクになっている。
「いかにユーザー側の認証作業をサービス側で引き受け、安全性を確保するか。それが未来のオンライン認証の目指すところだ。その実現に向けて、さまざまな取り組みが行われている」
見えない相手は本物か? オンライン認証の歩み
1995年、世界初の民間認証局として設立されたベリサイン(現在はシマンテックと合併)は、公開鍵暗号基盤(PKI)を利用した「インターネット上において信頼を担保する仕組み」を構築した。
世界初の民間認証局Verisign Inc.のホームページ(1997年時のスクリーンショット)
インターネット上で、見えない相手が本物か偽物かを判断するのは極めて難しいことだ。ベリサインのサーバー証明書サービスは、あるWebサイトが信頼できるものであること(本物であること)を、厳格な審査と暗号/電子証明書の技術を用い、第三者機関として認定するものだ。現在ではオンライン決済の場面で必ず導入されており、「導入されていないWebサイトでは購入しないというユーザーも多い」とサヴィデス氏は語る。
通信先のWebサイトが“本物”であることを示すサーバー証明書
これは「ユーザーに対してWebサイトの信頼性を証明する」認証だが、現在ではその逆向き、つまり「Webサイトに対してユーザーの信頼性を証明する」認証も重要になっている。オンラインバンキング、クラウドストレージ、SNSサイトなど、個人の重要な情報を取り扱うWebサービスが増えたことがその一因だ。
Web上で保持されているユーザーのデータにアクセスし、サービスを利用しようとしているのは、本当に正規のユーザーなのか。インターネットを介してそれを確認するための仕組みが「本人認証」である。
1人あたりのパスワード保有数は「平均24個以上」!!
古くから本人認証の手段として用いられ、現在でも広く使われているのがID/パスワードだ。本人しか知り得ない情報(=IDとパスワードの文字列)を入力させることで、ログインしようとしているのが本人であることを確認する。
だが、個人が利用するWebサービスの数が増えたことで、ID/パスワードによる認証の問題点が浮かび上がってきた。サヴィデス氏によると、現在では「1人あたり平均24個以上」のパスワードを持つ計算になるという。さらにセキュリティ上の理由から、パスワードは長くて複雑なものにすること、定期的に変更することなどが推奨されるため、ユーザーの負担は非常に大きなものとなっている。冒頭で挙げた“認証疲れ”も当然の結果だろう。
ここでサヴィデス氏は、ホワイトボードにできる限りランダムで複雑な文字列を書き出し、筆者に「30日ごとに定期変更するように言われたら、どうするか?」と問いかけた。サヴィデス氏の言わんとすることはこうだ――「おそらく大半のユーザーは、30日後には文字列の最後に『1』を追加し、60日後には『1』を『2』に、90日後は『2』を『3』に変更するだけで済ませる」。
ランダムで複雑な文字列など幾つも覚えたくない(覚えきれない)し、面倒なこともしたくない。そんな人間の本音に反する対策を取ろうとしても、むしろリスクを高めるだけで解決にはならないと、サヴィデス氏は笑う。
「どんなに複雑なパスワードを付けても、定期変更しろと言われたら楽に変更できる方法を探す。それが人間であり、結局意味がない」(サヴィデス氏)
(→次ページ、ユーザーの負担が少ない本人認証手段とはどんなものか)
