パスワードレス社会の到来〜オンライン認証の現状と未来①

FEATUREおすすめ
聞き手 クロサカ タツヤ

昨年、経済産業省から2025 年までのECサイトにおける認証厳格化がアナウンスされ、2023 年 3 月には独立行政法人情報処理推進機構(IPA)より、必要となるセキュリティ対策と実践方法をとりまとめた「ECサイト構築・運用セキュリティガイドライン」が公布された。これを受けて、流出や紛失の可能性があるパスワード認証に代わり、業界標準になるとみられる生体認証などを軸としたFIDO(Fast IDentity Online)認証も普及に向けて新たなフェーズに入った。今回は、業界をリードしてきたFIDO Japan WG座長の森山光一氏と室蘭工業大学の岸上順一氏に、来るパスワードレス社会について展望していただいた。

2023年2月24日 オンラインにて取材

 

 

森山 光一(もりやま こういち)

株式会社NTTドコモ チーフ セキュリティ アーキテクト 経営企画部セキュリティイノベーション統括担当 コーポレートエバンジェリスト

FIDOアライアンス 執行評議会・ボードメンバー、FIDO Japan WG座長 W3C, Inc. 理事

慶應義塾大学 理工学研究科 計算機科学専攻 修士課程 修了。ソニー株式会社入社。株式会社NTTドコモ 移動機開発部(出向)、ソニー・エリクソン・モバイルコミュニケーションズ株式会社、ドコモのシリコンバレー拠点を経て、20147月から プロダクト部でFIDO認証のプロジェクトに着手。進化するソフトウェアとモバイルを軸に経験を重ね、 端末を起点にオープンイノベーションを推進。20207月からセキュリティサービス・基盤 に注力し、20227月より現職。

 

 

岸上 順一(きしがみ じゅんいち)

室蘭工業大学 客員教授

1985年北海道大学大学院博士課程修了後、日本電信電話公社(現NTT)に入社。NTTアメリカ副社長、NTTサイバーソリューション研究所所長、理事を歴任。この間磁気ディスク、IPTVの開発を行う一方、著作権管理、機械学習やブロックチェーン技術の研究開発を行う。その後、アカデミックへ転籍してマレーシアUTAR大学 教授、室蘭工業大学大学院工学研究科 教授を歴任。W3C元アドバイザリーボードメンバー、その後Deputy Director(2020~現在。慶應義塾大学大学院 政策・メディア研究科 特任教授(20202022)および室蘭工業大学大学院 特任教授(20202022)。

 

クロサカ タツヤ

株式会社 企(くわだて)代表取締役、慶應義塾大学大学院政策・メディア研究科特任准教授。1975年生まれ。慶應義塾大学・大学院(政策・メディア研究科)修士課程修了。三菱総合研究所を経て、2008年に株式会社 企 (くわだて)を設立。通信・放送セクターの経営戦略や事業開発などのコンサルティングを行うほか、総務省、経済産業省、OECD(経済協力開発機構)などの政府委員を務め、政策立案を支援。2016年からは慶應義塾大学大学院特任准教授を兼務。著書に『5Gでビジネスはどう変わるのか』(日経BP)。その他連載・講演等多数。

 

 

 

目次

オンライン認証はどのように発展してきたか

すべてをデジタル技術でクリアすることは難しい

脱パスワードから多要素認証へ

スマートフォンを持たない人にも個人認証を

 

 

 

 

オンライン認証はどのように発展してきたか

 

クロサカタツヤ氏(以下、クロサカ) まず森山さんの経歴をご紹介ください。

 

森山光一氏(以下、森山) 現在、NTTドコモでチーフセキュリティアーキテクトという役割を担っています。社内では、経営企画部のセキュリティイノベーション統括担当という部署に所属しており、社内にいる7人のコーポレートエバンジェリストの1人です。その他、FIDOアライアンス※1(Fast IDentity Online Alliance)で、日本での作業部会、ワーキンググループ(FIDO Japan WG)の座長に就きながら、ボードメンバーの中から選出いただいた執行評議会の委員を務め、実質的な取締役の立場にいます。それから、W3C(World Wide Web Consortium)※2が、大学や研究機関のサポートをする立場からW3C, Inc.という非営利団体へと体制が変わったことから、初代の取締役(理事)の1人にも選出いただきました。その他、日本スマートフォンセキュリティ協会の副会長・理事とフェリカネットワークスの社外取締役を務めつつ、情報セキュリティ大学院大学の博士後期課程にも学生として在籍しています。

 

クロサカ ソニー株式会社に入社されてからは、どのようなキャリアを歩まれたのですか。

 

森山 社会人になってから約 28 年を過ぎましたが、大まかにいうと前半 14 年をソニーで、後半 14 年を株式会社NTTドコモで勤務してきました。早い時期から、海外での新しい取り組みに携わっていて、AIBO※3 やデジタルTV・セットトップボックスに搭載されたOSの開発などを手掛けました。NTTドコモに出向していたときには、商用として世界初となる携帯電話無線網を使ったオンラインアップデートの仕組みを開発しました。ソニーに戻り、ソニー・エリクソンでモバイルに携わったあと、これからさらにスマートフォンの時代を創っていくというタイミングでNTTドコモに転職し、そこでFIDOに出会いました。当時は、お客さまを不正アクセスから守るとともに、もっと便利に使っていただくために、生体認証、そしてパスワードを使わない認証に取り組んできました。現在は、Webを含めた国際的な標準化を通じてお役に立てるよう活動しています。

 

クロサカ ご経歴の中で、FIDOの重要性を感じられたのはいつごろですか。

 

森山 2014年10月、特定のIPアドレスからドコモのIDへの不正ログインが試みられた事象が確認されました。当時は2段階認証についてもまだ広く知られておらず、むしろユーザーにとって不便なものだという認識さえありました。当時は、他のサービスとは違うパスワードを設定することや、パスワードを定期的に変更すること、第三者が容易に推察できる文字列は設定しないことなどをアナウンスしていましたが、多くのお客さまの行動に至るには及びませんでした。当時の私は、NTTドコモでプロダクト部プロダクト・イノベーション担当部長としてスマートフォンの利便性を推進する立場にありました。そして、FIDOについては、この事案の少し前に出会う機会がありました。特定のベンダーの生体認証技術に依存することなく、パスワードを使わず安全かつあんしんして認証していただける仕組みでしたから、この技術をお客さまのあんしんと便利に活かすことを考えました。またデバイスに応じて、指紋認証でもスワイプ型やエリアセンサー型を使い分けられますし、虹彩認証や顔認証などを取り入れることができるので、端末のよさを引き出すこともできると考えて、一心不乱に実装を進めました。

 

クロサカ デバイスのよさを引き出すというのは、メーカーご出身ならではの観点ですね。

 

森山 そのように言ってくださって、ありがたいですね。ソニー・エリクソンでXperiaの立ち上げにも関わっていました。Xperiaの初号機であるSO-01Bという機種については「It’s my baby.(私の子供)」と紹介させていただいても許されるでしょうか。スマートフォンを安全なもの、あんしんしてお使いいただけるものにしたいという想いも、その延長にありますね。特定のメーカーの指紋センサーや生体センサーに依存することなく、よい端末をお客さまに選んでいただき、安全かつ便利に使っていただきたいと思ったのです。

 

クロサカ 私自身を含め、新しい端末にワクワクする方も多いですよね。それぞれの端末の個性とユーザー個人の個性が響き合う相乗効果もあります。生体認証がひとつの方式に固定されると、そうした楽しみが削がれてしまうのは、よくわかります。

 

森山 2017年から2018年にかけては、弊社からは虹彩認証と指紋認証の両方を搭載している端末を、2 つのメーカーから発売しています。夏にサングラスをしているときには指紋認証を、手袋やマスクをしているときには顔認証や虹彩認証を使うことができます。端末の魅力とセキュリティをいっしょにデリバリーすることについては、ずっとチャレンジを続けています。

※1 FIDOアライアンス:生体認証などを利用した新しいオンライン認証技術の標準化を目指して発足した非営利団体

※2 W3C:WWWで用いられる技術の標準化と相互運用性の確保を目的とする団体。HTML、XML、MathML、DOM等の規格を勧告する

※3 AIBO:ソニーが開発した犬型のペットロボット。現在は小文字表記のaiboとして発売中

 

 

すべてをデジタル技術でクリアすることは難しい

 

クロサカ 続いて岸上先生の経歴もご紹介ください。

 

岸上順一氏(以下、岸上) 私は、NTTの研究所やNTTアメリカなど、NTT関連の企業に30年近く勤務しました。NTTアメリカにいた1994年から2000年は、シリコンバレーが特に右肩上がりの時代で、なんでもできそうなワクワクした空気の中で過すことができました。そのころ、ジェリー・ヤン※4たちと知り合い、Yahoo!やeBay、Googleのスタートアップを目の当たりにした経験が、その後のキャリアに影響していると思います。帰国して研究所に戻ってきてからは、AIや機械学習の研究にのめり込みました。NTTを退職後は、マレーシアUTAR大学で教授として2年間、教えていました。帰国後に室蘭工業大学の教授として採用されて、現在に至ります。

 

クロサカ どのような経緯で個人認証に携わるようになられたのですか。

 

岸上 帰国して半年後ぐらいに突然、村井純5さんから「W3Cに関わってくれない?」という電話がかかってきたのがきっかけです。W3Cのアドバイザリー・ボードに選出されて 6 年間務めました。その後、W3Cのアジア圏ホストの慶應義塾大学SFC研究所のW3Cのチームに所属しています。

 

クロサカ 村井さんの「『はい』か『イエス』で答えて」という、いつもの依頼ですね(笑)。現在のご専門はどの分野になるのでしょう。

 

岸上 機械学習とAIです。IDについては以前からRFID(Radio Frequency Identification:無線周波数識別)6を使った物流のIDに取り組んだり、デジタルコンテンツのIDとして“コンテンツIDフォーラム7(cIDf)”を発足させたりしてきました。最近まではDID8(Decentralized Identifier:分散型識別子)や、その内容を保証するVerifiable Credentials9といった非中央集権的なコンセプトについて研究していました。ただし研究を進めるうちに、すべてをデジタル技術でクリアすることは難しいのではないかということも考えはじめました。今は、人が求める幸福感をもたらす社会関係資本について、最も興味を抱いています。

※4 ジェリー・ヤン(1968-): Yahoo!共同創業者

※5 村井純(1955-):慶應義塾大学名誉教授。専門は情報工学。日本におけるインターネット黎明期からインフラ作り、運用、啓蒙活動等に関わり「日本のインターネットの父」と呼ばれる

※6 RFID:電波を用いて無線でデータの読み取りを行い、非接触でモノの識別や管理を行うシステム

※7 cIDf:市場で流通するデジタルコンテンツのすべてに対し、著作者情報や著作隣接件を格納したデジタル認識コード“コンテンツID”を埋め込もうというプロジェクト

※8 DID:暗号技術により、サービス提供者ではなくユーザー自身が管理するID。またDecentralized Identity(分散型ID)の略として用いられることもある

※9 Verifiable Credentials:W3Cが提唱する、DIDの属性情報をオンラインにより検証できるデジタル証明書

 

 

脱パスワードから多要素認証へ

 

クロサカ 私も内閣官房のデジタル市場競争本部でTrusted Webの仕事をいろいろと進めています。岸上先生は、今なぜアイデンティティ・マネジメントが注目されていると思われますか。

 

岸上 やはり1993年から1994年にかけてeコマースが急速に広がったことでしょうね。誰もがWeb上でビジネスをするようになった。さきほど森山さんもおっしゃっていたように、パスワードを複雑にしなければならない、同じパスワードを使い回してはいけない、といわれても、人間はそれほど多くの文字列を覚えられません。そもそもパスワードというのは、KYC(Know Your Customer:本人確認手続き)のためにあります。要するに、人と人とが顔を見ながら青果店でニンジンなどを売買する世界から、バーチャルの世界になってくると、だれにどんな商品を提供したか、だれからお金をもらったらいいのかを確実にする必要があります。そこでIDの重要性が認知されるようになって、今に至っているのだと思います。

 

クロサカ 私は、岸上先生がおっしゃった問題意識を“お約束”と表現しています。サイバースペースが物理スペースの補助的な位置づけだったころには、その人がシステムやサービスを利用するのに適格かどうかを、パスワードという形式上の“お約束”でごまかしていたのだと思います。もしインシデントが起きたとしても、だれかが泣いたり謝ったり、少しお金を払えばなんとかなるだろうということで“お約束”を受け入れていた。ところが、サイバースペースが補助的な位置づけではなくなってきて、改めてパスワードの不合理性が表面化してきた、ということですよね。

 

岸上 その通りだと思います。

 

クロサカ サイバースペースがメインになったことで、いよいよIDの重要性が認知されてきたということですね。

 

岸上 私は、個人認証がすべてサイバーの世界で完結するかどうかについては疑問を抱いています。人と人とのかかわりの中で何らかのやりとりをするときは、マイナンバーカードと運転免許証のように、2種類以上の証明書を用いるような単純認証で証明します。これを一気にマイナンバーカードやDIDに変えられるかというと、そうはいかないと思います。保守的な方式かもしれませんが、さまざまな方式を組み合わせるということが、しばらくは続くのだと思います。すべての人がIDを生まれながらに体内に埋め込まれるような時代が来ないかぎりは、そこを乗り越えるのは難しいと思います。

 

クロサカ そうすると、さまざまな認証の要素がバラバラにある状態で、生体認証も含めて組み合わせて用いるときに、なにを基礎に置くのかということが重要になります。このあたりは、先ほど森山さんにお話しいただいたところと重なりそうですね。

 

岸上 そう思います。

 

クロサカ その意味では、FIDOアライアンス(Fast IDentity Online Alliance)は重要な基礎になりつつあるのだと思います。経済産業省は、カード決済において生体認証やワンタイムパスワードの2024年末までの義務化を主張しています。これは、Eコマースがメインになる際に、基礎となるIDが必要だという合意が世界的に形成されていると捉えてよいのでしょうか。

 

森山 経産省の指針は、生体認証を100パーセントにするものではありませんが、ECサイトでのカード不正利用への対策をとっていく意味では、よい機運になってきたと思います。ECビジネスをされている事業者はもとより、お客さまにとっても大切なことですし、第三者が被害に遭われることを防止しなければならない。これはグローバルな規模で起きている問題ですから、国と民間が力を合わせて解決していくべきだと考えますし、NTTドコモでも社会課題としてパスワードレスに取り組んでいます。

 

クロサカ FIDO認証は、生体認証とイコールではありませんよね。

 

森山 FIDO認証というのは、デバイスの所持と公開鍵暗号方式を組み合わせた技術です。スマートフォンなどのデバイスを持っていることが、一つめの認証になります。次にデバイスにある秘密鍵で、お客さまの生体情報や当人しか知らない情報から、確かにそのデバイスの所有者であることが確認できたら署名をして、対になる公開鍵で署名検証をします。この一連のプロセスがFIDO認証です。デバイスの所有者であることを確認するのに生体情報が有効なので、スマートフォンと生体認証を使ったFIDO認証の実装が進んでいます。

 

 

「ID・パスワードのあり方を変える dアカウントパスワードレス認証への取り組み 」(NTTドコモ)より

 

 

 

クロサカ 生体認証を用いないFIDO認証もあるわけですね。

 

森山 生体認証だけを認証要素とするのは望ましくありません。指紋認証の場合は、お仕事によっては指紋が消えてしまったり、年齢によって反応しにくくなったりします。また顔認証では、人種や出自の区別などで差別につながりかねないのです。生体認証を積極的にご利用いただきながら、使えない方に対する配慮もしつつ、便利にご利用いただけるようにしていけばよいと思います。

 

 

スマートフォンを持たない人にも個人認証を

 

クロサカ 私自身は、1993 年にSFCに入学した世代ですから、ディスプレイがあってキーボードがあって、大きな本体でファンがうなっていることに馴染みがあります。ただし最近ではスマートフォンでしか使えないサービスが多くなっていますね。認証をスマホアプリに依存しているものが多い。PCベースのWebサービスであったとしても、Google Authenticatorの2段階認証のように、スマートフォンで番号を取得して、それをPCに打ち込むことが多くなっています。便利で安心な一方、すべてをスマートフォンに依存することの弊害が生じる可能性もあります。

 

森山 スマートフォンが暮らしのカギになるという発想は早い時期から抱いていました。こうした役割は、スマートフォンが普及するまでは想像がつかなかったかもしれませんね。一方、スマートフォンをお使いの方とそうでない方との間で使えるサービスに差がありますので、そこは解決しなければなりません。ドコモでいうと、らくらくスマートフォンでFIDO認証が使えませんでしたが、一昨年から、パスワードレス認証ができるようになりました。かくいう私も1994年に修士課程を修了したので、クロサカさんの実感はよくわかります。

 

クロサカ サイバースペースも牧歌的な時代でしたよね。

 

森山 その時期に「ザ・ニューヨーカー」に主人のいない間に飼い犬がパソコンを操作している風刺画が掲載されましたよね。“On the Internet, nobody knows you’re a dog(インターネット上ではあなたが犬だと誰も知らない)”という。所持・生体・知識という認証の 3 要素がよく知られるようになったのは、悪意のある第三者によるフィッシングが問題視されてからです。知識だけでは、多段階にしても外部からそれを盗み見て、当人になりすますことができることがわかってきた。そこで生体認証が重視されるようになりました。個人の生体情報をリモートで外部管理することの是非を考えると、利用者のスマートフォンなどのデバイスで厳格に管理するのが妥当だということになります。すると、生体情報は所持の側面も持つことになります。つまり所持と生体、または所持と知識のように、認証の 3 要素のうち所持を組み合わせることでリモートにいる悪意者によるフィッシングから身を守れるということになります。今後、生体認証やFIDOのパスワードレス認証を、スマートフォンを持っていない方に提供することが大きな課題になってきます。多くの方々に、あんしんかつ安全な認証手段を提供することについて、現在はよい成熟に近づいている局面だと思います。

 

クロサカ 所持が重要な要素になってきている現在、ほぼ必須のデバイスとしてスマートフォンが大きな役割を担っています。その一方、認証の仕組みそのものは、スマートフォンだけで完結するものではなくて、これから多様なものが登場する。言いかえれば、バラバラな方式が林立する中で、それぞれの方式をどのように使い分けていくかということにもなります。これは認証技術という単体でなく、システム全体に関わることですね。Webであれば、サービスを利用するための、最初の入口の時点に、さまざまな仕組みを位置づけることになりますから。これは基礎技術をつくる観点からは、とても難しいことではないかという気がします。

 

岸上 まず、ハードウェアとソフトウェアを分けて考える必要があります。現在は、すべてのものをスマートフォンに託していて、もしスマートフォンを落としたら生活が成り立たないような恐怖の中で生活しているようにも思えます。しかし、60年や70年といった情報技術のスパンからすると、スマートフォンというのは、スティーブ・ジョブズがiPhoneを発表した2007年から考えてみても、それほど長い歴史のあるものではありません。それ以前はPCが主流でしたし、もっと前は大型汎用機やワークステーションがあって、現在に至ります。そうした経緯を考えると、ハードウェアとしては 5 年以内にスマートフォンに代わるものが台頭してくる可能性は十分にあります。たとえばApple Watchでは、iPhoneからの情報を同期するだけでなく、Apple Watch単体で利用できることも多くなってきています。現在はメタバースへの期待からVRグラスやVRゴーグルが注目されていますが、それ以上のものが、必ず出てくると思います。そこに現在の生体認証やFIDOの技術を移行させることは可能です。

 

クロサカ Webアーキテクチャとして考えると、いかがでしょう。

 

岸上 Webはソフトウエアですから、大型汎用機でも動きますし、パソコンでもスマホでも、Apple Watchでも動くわけです。またWebといってもブラウザ経由だけでなく、Webアプリケーションという見地からいえばあらゆるところで稼働していて、私たちも便利さを享受しているわけです。今後も、ソフトウェアはハードウェアから独立して、どんどん進化していくでしょう。また最近ではソースコードを書かないノーコードでも、さまざまな新しいサービスが高いレベルで出てきています。また、それに輪をかけて、ChatGPTのように、コードを生成するサポートも出てきています。こうしたなかで、次の新しいデータモデルやアーキテクチャを考えなければならないのが、現在の技術者の置かれた立場です。一方、多くの人にとって、IDということが、より切実になってきます。私たちは、マイナンバーやソーシャルセキュリティナンバーのようなIDを当たり前のものだと思っていますが、視野を広げればIDを持たない人はまだまだ大勢います。IDがないから銀行口座を開けない、銀行口座が開けないから自由にお金を使えない、といった人たちのことを考えていかなければなりません。どうしても一番わかりやすい技術の分野から着手しがちなのですが、IDのあり方の背景には、社会的受容性や価値観といった幅広い課題があります。私は、W3C Inc.がそうした課題を解決するように動き出していると期待しています。

(2)に続く