■基本■
スマホやPC等で、コンピュータやネットワーク、サービスの利用者を識別し、正当なユーザーだけが利用(ログイン)できるようにする仕組みを「ユーザー認証」と呼びます。現在では様々な認証方法が使われていますが、ネットやスマホで最も広く用いられているのが、ユーザーIDとパスワードを使う手法です。
■ユーザー認証■
多くの場合、オンラインサービスや端末の利用者を登録する際、ユーザーIDとパスワードの登録が必要です。ここでの、ユーザーIDは第三者にもわかるようなものになるケースが多いです。例えばGoogleアカウントなら、Gmailのユーザー名(@より前)としてそのまま使われます。
一方パスワードについては、決して自分以外の誰かに知られることがないように注意する必要があります。生年月日や電話番号、意味のある文字列は極力使わないようにし、なるべく複雑で類推されにくいものにする工夫も重要です。
■現在のシステム
・Androidデバイス「パターンロック」
画面に表示された点を順番になぞって本体ロックの解除を行う。
・iOS「PINコード」「Touch ID」
「PINコード」4桁数字で本体ロックの解除を行う。
「Touch ID」指紋認証センサーが搭載されており、あらかじめ登録した指紋で本体ロックの解除を行う。
・「スマートウォッチ」あらかじめ登録したスマートウォッチ等、特定のデバイスが近くに存在するときだけ本体ロックの解除が必要なくなる。
・Windows 10「Windows Hello」「Microsoft Passport」
「Windows Hello」バイオメトリクス(生体)認証。指紋認証、顔認証、虹彩認証の3つに対応している。
「Microsoft Passport」パスワード管理ソリューション
従来のID+パスワードの枠を超えて、より強固な公開鍵暗号(PKI)の仕組みをユーザー認証に持ち込む。
「ワンタイムパスワード」ワンタイムキー・ワンタイム認証
利用者の本人確認等に用いる秘密の文字列(パスワード)に、短時間のみ有効なその場限りの文字列を生成して用いる方式。
従来の固定的なパスワードはおなじものが長期間繰り返し使われるため、攻撃者が長い時間をかけて何度も試行を行う等して割り出したり、何度も送受信しているうちに通信途上で盗み取られるリスクがある。
ワンタイムパスワードはその場限り有効な「使い捨て」のパスワードを認証ごとに毎回生成して使用する為、こうした危険を回避しやすい。
「静脈認証」手のひらや指の静脈を認証することで本人確認を行う。
「虹彩認証」眼球の黒目に現れる皺のパターンを識別して本人確認を行う。
PKIとは、公開鍵基盤。公開鍵暗号を用いた技術、製品全般を指す言葉。
RSAや楕円曲線暗号などの公開鍵暗号技術、SSLを組み込んだwebサーバ/ブラウザ、S/MIME・PGPなどを使った暗号化電子メール、デジタル認明書を発行する認証局/
CA構築サーバ等が含まれる。
◇公開鍵暗号
対になる2つの鍵を使ってデータの暗号化、復号を行う暗号方式。
◇RSA
巨大な素数同士を掛け合わせた整数を素因数分解するのが困難であることを利用した公開鍵暗号の一つ。概念としては知られていた公開鍵暗号の実装方式として世界で初めて発表されたのも。
◇楕円曲線暗号
楕円曲線と呼ばれる数式によって定義される特殊な加算法に基づいて暗号化、復号を行う暗号方式。
◇SSL
インターネット等のTCP/IPネットワークでデータを暗号化して送受信するプロトコル(通信手順)の一つ、データを送受信する一つの機器間で通信を暗号化し、中継装置など、ネットワーク上の他の機器による成りすましやデータの盗み見、改竄などを防ぐことができる。
◇S/MIME
電子メールの内容を暗号化したりデジタル著名を付加したりする方式の標準の一つ。
◇PGP
データを暗号化してやり取りする為のソフトウェアの一つ。また、同ソフトが利用している暗号化の方式および手順。
◇デジタル認明書
認証局CAが発行するデジタル著名解析用の公開鍵が真正であることを証明するデータ。
◇認証局CA
電子商取引事業者等に暗号通信等で必要となるデジタル証明書を発行する期間。
■今後の羨望■
近年、ユーザーIDとパスワードの組み合わせは信頼性が低く危険なものになりつつあるため、それに代るユーザー認証の方式が日々開発されています。
最近新たに開発されている生体認証で「Skull Conduct」と呼ばれる頭蓋骨の振動パターンを用いた生体認証方式。この頭蓋骨の振動パターンを用いた認証方式の用途は主にGoogle Glassのような眼鏡型のコンピュータ向けに作られており、骨伝導スピーカーとマイクがあれば使用できる。実は頭蓋骨から伝わる振動は人によって異なるということが分かっています。言うならば指紋のように個性的なものとなっています。このSkull Conductはユーザーの頭蓋骨から発せられる振動をマイクで受け取り、ある方法で解析することでユーザーを見分けることができる。
今ではスマートフォン等で指紋認証が採用され、生体認証がどんどん注目されていますが、それに並行し、新たな技術やツールが開発されています。今後増えると予想される眼鏡型デバイスやIoTデバイスで安全な認証を行う手段として、新たなセキュリティ対策となり、一般的に利用される日が来るだろう。
尚、パスワードを必要としない生体認証等はパスワードレス認証と呼ばれ、パスワードの漏洩や不正利用等のセキュリティリスクを軽減できるというメリットがある。パスワードレス認証で本人確認を行う認証方式が増加傾向にあり、これらのパスワードレス認証を新たな個人認証方式として標準化するべく活動している団体がある。それが「FIDO Alliance」である。
◇FIDO Alliance
2012年当時、PayPalの最高情報セキュリティ責任者で、後のFIDO代表に就任したMichael Barrett氏と、彼と同じ想いを抱いた6社によって設立された。
パスワードレス認証は今後、間違いなく認証方式の主流になるだろう。
なぜなら、人々は効率や利便性を求める傾向にあり、また、パスワード漏洩というリスクを考えた場合、決まった文字列よりも生体認証の方がはるかに安全性は高いといえる。今までの映画などで使われていたような空想の技術が日常的に使われる未来は、もうそこまで来ているのではないだろうか。