わたし達が会社のコンピュータシステムを利用する際、ログイン認証のためにパスワードを要求されるのが普通です。
パスワード認証はシステムを利用する人の記憶を使ってます。記憶のほか、認証する要素としては、所持 と 属性 があります。この3つを「認証の3要素」と呼びます。
| 要 素 | 認証方式の例 |
|---|---|
| 記 憶 | パスワード認証/暗証番号(PINコード)等 |
| 所 持 | 端末認証/ICカード認証 等 |
| 属 性 | 生体認証(指紋認証/顔認証 等) |
昨今は多要素認証といって、ここに挙げた3要素のうち、2つ以上を使って認証するシステムも多いと思います。
ところで、認証に関わるITエンジニアが、認証方式として、いちばんの理想に掲げるが、FIDO(ファイド)と呼ばれる方式です。
FIDOは、いまの認証システムでは当たり前のように使っている、パスワードを使わずに認証サービスをする仕組みです。
FIDOの登録と実行は以下の流れです。
FIDOの使用にあたっては鍵ペア(秘密鍵と公開鍵)を認証機で生成する必要があります。ここで認証機とはわたしたちが使うパソコンやスマートフォンを指します。鍵ペアは使用するクラウドサービスごとに分ける必要があります。そのうえで公開鍵をサービスを行う認証サーバに送ります。
認証の実行にあたっては、認証機からのログイン要求をサーバが受け付けたら、チャレンジコードというランダムな値を生成し、認証機に送付します。認証機はチャレンジコードを受け取ったら、生体認証で本人を検証します。認証機は生体認証による検証が成功したら、秘密鍵でチャレンジコードを暗号化し、サーバに送ります。サーバは暗号化されたチャレンジコードを復号し、生成したチャレンジコードと一致することを確認します。これにより、サービスは利用開始となります。
FIDOで行われる多要素認証は、生体と所持の二要素です。記憶に基づくパスワードは使いません。
- クライアント側で行う、生体認証を用いた本人の認証
- サーバ側で行うクライアントの認証
FIDO認証はパスワードを使わないので、利用者が面倒なパスワードを記憶する必要がありません。
そのほか、重要なメリットは、FIDOを使うことで情報セキュリティの脅威が減ることです。
ひとつは鍵情報のやり取りで通信が発生するのは攻撃者に盗まれたとしてもセキュリティ上の脅威がない公開鍵のみであり、秘密鍵の送付がないことです。そのため、クラウドサービスを提供する会社が、サイバー攻撃をうけても、利用者の情報は守られます。
もうひとつは認証機となるパソコンやスマートフォンが攻撃者に奪われても、クライアントの認証は生体認証なので、攻撃者がサービスを乗っ取ることができないことです。
FIDOの進化版といえるFIDO2では、ウェブブラウザやウェブアプリケーションでもFIDO認証が可能となりました。FIDO2により、広範なデバイスやサービスでパスワードレス認証が利用できるようになりました。
FIDOは、情報セキュリティ対策としてのメリットが大きいことから、ITエンジニアが「理想の認証方式」と掲げます。
システムが理想の認証技術を追い求めるのは、なりすましを防止し、利用者の主体が本人であることを保障するためです。
利用者の主体が本人であることを保障するうえで、もっとも強力なのは「生体認証」です。
生体認証は、個人の身体的特徴を用いて認証を行います。指紋、顔の形状、虹彩、声紋などは、各個人に固有で、他人と共有することがほぼ不可能です。生体認証を利用することで、なりすましのリスクが大幅に減少します。
また、生体認証システムは、高度な技術を用いてデータを暗号化し、不正アクセスやデータ改ざんを防止する仕組みを持っています。
そのため、生体認証を使えば、利用者が本人であることをより保障することができます。
いっぽう、わたしは認証技術に関心はあるものの、その技術を追い求めることが、日本企業の理にかなっているかに疑問があります。
そもそも日本企業の多くは、利用者の主体が本人であることをそれほど強く要求していないと思います。
それは企業間や企業と個人の取引契約に於いて、歴史的に印鑑を主体とする日本と、サインを主体とする欧米の違いから想像します。
日本は契約時に印鑑が使われてきました。中国、韓国、台湾なども同様です。しかし、海外のほとんどの国では印鑑は使わず、サインを用いてます。
サインは、単なる署名だけではなく、そこにサインを書く人の拘りや個性が表現されます。
いっぽう、印鑑は筆跡のあるサインとは異なります。押印された契約書を見ても、それを誰が押したかを判別することはできません。
押印で重要なのは押す人の個性を表現することでなく、均一で美しいことです。
印鑑は契約書に対しての角度を垂直にして、適度な力で押して、離すときは紙をしっかり手で押さえて、真上の方向にゆっくり離すのが理想です。
会社の代表印はいちばん重要な印鑑ですが、社長が不在がちの会社は、それさえも、腹心の部下や総務担当の役員に預けるところもあります。
日本の商習慣では、契約の主体はあくまで法人であることが強調されます。個人の人格は、法人の陰に隠れてます。
こうした日本独自の商習慣は、利用者の主体が本人であることをより厳格に保障しよとする海外のシステムとのギャップを感じるのです。
