基調講演の模様。
過度なセキュリティ上の懸念はマイナス効果
一方で、同氏は「ユーザーに対して過度にセキュリティ上の懸念を抱かせるのは好ましくない」とも指摘している。例えば、ここ最近はクレジットカード番号など個人情報流出経路として、サーバへのハッキングよりもPOS(Point-Of-Sale)端末経由でのシステム乗っ取りが話題に上ることが多い。
米小売のTargetやホテルチェーンのHyattでの事例が大きく話題になったが、店舗や各拠点に設置されたPOSにマルウェアが侵入し、これを通したクレジットカードや決済情報がそのまま流出する仕組みだ。
POSのシステムは、基本的にはWindowsなどのリッチOSを搭載したPC端末であり、仕組み的にはPCへの侵入とほぼ同じだ。以前、セブン-イレブンに設置されたCitibankのATM(KIOSK)端末での情報漏洩が問題になったが、同様の手口だろう。
こうしたKIOSKやPOSメーカーではセキュリティの強固さをアピールするために、Intel Securityによるハードウェアとソフトウェア両面での対策を誇示しているケースがあり、相応の対策が求められていることをうかがわせる。
こちらはCESではないが、1月中旬に米ニューヨークで開催されたNRFのイベントでKIOSK Information Systemsが出展していたブース。同社はKIOSK端末の開発を行なっているメーカーで、Intel Securityとの提携でマルウェア対策が施されて集中管理が可能な製品を提供している。これにより、例えば金融系の送金処理など、より高度なセキュリティを求められるKIOSK端末の開発も可能になっているという
ただ、このようにトラブルが頻発してシステムの安全性にユーザーが懸念を強く抱くようになると、店舗でのクレジットカードの利用だけでなく、アプリでの決済やApple Payによるタップ&ペイでのシンプルな決済など、将来的に登場する便利な決済手段やサービスの利用を阻害する結果になりかねない。
重要なのは、ユーザーに便利なデバイスを利用するうえで、ある程度の危険性が存在することを理解してもらいつつ、基本的にはセキュリティを強く意識させないことにある。
バイオメトリクス認証とTrue Keyの今後
昨年2015年のCESでは、Brian Krzanich氏がステージ上でバイオメトリクス認証のTrue Keyを大々的に紹介し、大きな話題になった。折しもMicrosoftがWindows 10で同種の「Windows Hello」を大きくプッシュしていることもあり、その動向に注目が集まっている。
ただ、今年のCESの基調講演でKrzanich氏はTrue Keyについてまったく触れておらず、Intelとしての今後の動向について少し気になっていたところだ。Davis氏によれば、次のステップに向けた動きに入っている段階だという。
True Keyは2つの特徴を持っている、1つはWebサービスごとのパスワード入力を廃し、複数のサイトの認証情報を一括管理する機能。シングルサインオン(SSO)やキーチェーン的な要素を持つ。もう1つは本人認証に指紋や顔認証などバイオメトリクスと呼ばれる生体情報を用いる点だ。
サービスへのログインは従来のパスワードの代わりに、より強固な認証情報を含む「トークン」が用いられ、安全性が高くなっている。ユーザーは本人であることを示すためにバイオメトリクスまたはスマートフォンのような“第2のデバイス”を用いる。つまり2要素認証だ。
この仕組みで「FIDO Alliance」を思い出した方もいるかもしれないが、やり取りの手順は非常に酷似している。ただ、IntelはFIDO Allianceのボードメンバーである一方で、True KeyそのものはFIDO対応をうたっていない。この点に注意が必要だ。
今後、FIDOの認証に対応したWebサービスは増加するとみられるが、True Keyはその互換性をうたっていないため、FIDO対応が即True Key対応を意味することにはならないといえる。
今後、True Keyをより便利に利用するためには広範囲のサービス対応が不可欠で、現在はこれに関してサービスプロバイダーとの提携交渉を進めている段階だと同氏は説明する。ある程度成果が進展した後に、あらためて現状についてのアナウンスが行なわれるものと思われる。
