ユーザーの負担が少ない本人認証手段とはどんなものか
では、ユーザーにかかる負担を減らしながらセキュリティを実現する本人認証とはどのようなものか。サヴィデス氏は、次の3つのキーワードを挙げる。
1. ユーザー分析
2. ユーザー所有のデバイスを活用した認証
3. デバイスを活用した生体認証
1は、ユーザーがふだんログインする地域、時間、デバイス、振る舞いなどを分析して平常値を割り出し、そこから外れた“異常な”ログインを検知する。たとえば、ふだんログインする地域(東京)とは明らかに異なる地域(米国)からログイン操作が行われた場合には、すぐにはログインを許可せず、追加の認証操作を求めるといった対策が可能になる。
2は、そのユーザーが持っているデバイスを認証プロセスに加える手法だ。すでに一部のサービスでは、ID/パスワードが入力されたら登録済みのスマートフォンにSMSで認証コードを送信し、それを入力させることで本人認証を行う「二段階認証」が利用できる。ハードウェア/ソフトウェアトークンによるワンタイムパスワードなども、デバイスを活用した認証である。
そして3は、デバイス搭載のセンサーで指紋認証や虹彩認証などを行うというものだ。すでに、指紋センサーを使って本人確認を行い、デバイスのロック解除を行うスマートフォンやPCが存在する。インカメラを使った虹彩認証についても、数年のうちには一般化しそうだ。
ただしパスワードやデバイスとは異なり、人間の指紋や虹彩は取り替えることができない。万が一、生体情報が漏洩してしまうと取り返しがつかなくなるのだ。そのためサヴィデス氏は、認証のための生体情報はサービス側のサーバーではなく、デバイス上の「セキュアエレメント(暗号化したデータを保存する安全な領域)」に格納すべきだと語る。PCの場合は「TPM(Trusted Platform Module)」と呼ばれるセキュリティチップとして、またモバイルデバイスではICチップやSIMカードとして実装されていることが多い。
「デバイス上のセキュアエレメントに保存すれば、少なくともサーバーへの攻撃で認証情報が大量漏えいする心配はなくなる。そしてデバイスを紛失しても、本人でなければ(生体認証をパスしなければ)サービスにはログインできない」
こうしたキーワードから見えてくるのが「M2M(マシンツーマシン)サイレント認証」の未来だと、サヴィデス氏は言う。ID/パスワードを使わず、ユーザーがデバイスに指を押しつけるだけで、セキュアエレメントとサービス側とが認証プロセスを実行してログインする。アップルが、iPhoneの指紋センサー「Touch ID」と電子決済サービス「Apple Pay」で実現しているようなサービス像に近い。
「この方式があらゆるサービスで展開されれば、複雑なパスワードを覚えたり、管理したりする必要がなくなる。もちろん、これが完璧で最強だとは言わないが、既存の技術で構築できて十分に安全であり、ユーザーにもサービス事業者にも優しい認証方法だ。今、最も熱い分野であることは間違いない」
次世代の本人認証手段、そのキーワード
“パスワード不要”時代が来るまでは多要素認証を利用すべし
将来はこうした技術が実装され、“パスワード不要”の夢の時代が訪れるはずだ。ではそれまでの間、ユーザーができる最善の対策とは何だろうか。
「まずは、デバイスにアンチウイルスソフトを入れること。もう1つは、多要素認証を利用することだ」と、サヴィデス氏は提案する。「多要素認証は、SMSによるプッシュ通知のような簡単なもので構わない。パスワードだけで守るよりは、はるかにマシだ」。
サヴィデス氏は、最強の防御手段は「強い(複雑で長い)パスワード」「多要素認証」「定期的な変更」を組み合わせることだが、それを実行するのは現実的ではないと認め、次のように語った。
「そこでお勧めするのは『弱い(記憶しやすい)パスワード+多要素認証』だ。たとえパスワードが漏洩したり推測で破られたりしても、多要素認証を組み合わせているので不正ログインを防ぐことができる。銀行のATMがたった4桁のPINでも平気なのは、PINを入手できてもキャッシュカードがなければATMを利用できないから。それと同じ発想だ」
ただし、まだ多要素認証を用意していないサービスも少なくない。「その場合、パスワードを使い回すのは絶対にだめだ。それぞれのサービスに対して強いパスワードを用意し、さらに定期的に変更して強度を上げる」。もちろんこの場合は、ユーザーにパスワード管理と変更の負担が発生する。“ユーザーに優しい”サービスを目指す事業者ならば、サービス側で多要素認証の追加を検討すべきだ。サヴィデス氏は、シマンテックのクラウド型ID認証ソリューション「Symantec Validation and ID Protection Service(VIP)」は、そうしたニーズに応えるものであると述べた。
サヴィデス氏は最後にこう付け加える。「セキュリティの最終目標は、利便性を下げることなく安全性を提供することだ。両立を目指して、さまざまな取り組みが行われているので、今後の展開にぜひ注目してほしい」。
