パスワードレス社会の到来
オンライン認証の現状と未来①

脱パスワードから多要素認証へ

クロサカ　私も内閣官房のデジタル市場競争本部でTrusted Webの仕事をいろいろと進めています。岸上先生は、今なぜアイデンティティ・マネジメントが注目されていると思われますか。

岸上　やはり1993年から1994年にかけてeコマースが急速に広がったことでしょうね。誰もがWeb上でビジネスをするようになった。さきほど森山さんもおっしゃっていたように、パスワードを複雑にしなければならない、同じパスワードを使い回してはいけない、といわれても、人間はそれほど多くの文字列を覚えられません。そもそもパスワードというのは、KYC（Know Your Customer：本人確認手続き）のためにあります。要するに、人と人とが顔を見ながら青果店でニンジンなどを売買する世界から、バーチャルの世界になってくると、だれにどんな商品を提供したか、だれからお金をもらったらいいのかを確実にする必要があります。そこでIDの重要性が認知されるようになって、今に至っているのだと思います。

クロサカ　私は、岸上先生がおっしゃった問題意識を“お約束”と表現しています。サイバースペースが物理スペースの補助的な位置づけだったころには、その人がシステムやサービスを利用するのに適格かどうかを、パスワードという形式上の“お約束”でごまかしていたのだと思います。もしインシデントが起きたとしても、だれかが泣いたり謝ったり、少しお金を払えばなんとかなるだろうということで“お約束”を受け入れていた。ところが、サイバースペースが補助的な位置づけではなくなってきて、改めてパスワードの不合理性が表面化してきた、ということですよね。

岸上　その通りだと思います。

クロサカ　サイバースペースがメインになったことで、いよいよIDの重要性が認知されてきたということですね。

岸上　私は、個人認証がすべてサイバーの世界で完結するかどうかについては疑問を抱いています。人と人とのかかわりの中で何らかのやりとりをするときは、マイナンバーカードと運転免許証のように、2種類以上の証明書を用いるような単純認証で証明します。これを一気にマイナンバーカードやDIDに変えられるかというと、そうはいかないと思います。保守的な方式かもしれませんが、さまざまな方式を組み合わせるということが、しばらくは続くのだと思います。すべての人がIDを生まれながらに体内に埋め込まれるような時代が来ないかぎりは、そこを乗り越えるのは難しいと思います。

クロサカ　そうすると、さまざまな認証の要素がバラバラにある状態で、生体認証も含めて組み合わせて用いるときに、なにを基礎に置くのかということが重要になります。このあたりは、先ほど森山さんにお話しいただいたところと重なりそうですね。

岸上　そう思います。

クロサカ　その意味では、FIDOアライアンス（Fast IDentity Online Alliance）は重要な基礎になりつつあるのだと思います。経済産業省は、カード決済において生体認証やワンタイムパスワードの2024年末までの義務化を主張しています。これは、Eコマースがメインになる際に、基礎となるIDが必要だという合意が世界的に形成されていると捉えてよいのでしょうか。

森山　経産省の指針は、生体認証を100パーセントにするものではありませんが、ECサイトでのカード不正利用への対策をとっていく意味では、よい機運になってきたと思います。ECビジネスをされている事業者はもとより、お客さまにとっても大切なことですし、第三者が被害に遭われることを防止しなければならない。これはグローバルな規模で起きている問題ですから、国と民間が力を合わせて解決していくべきだと考えますし、NTTドコモでも社会課題としてパスワードレスに取り組んでいます。

クロサカ　FIDO認証は、生体認証とイコールではありませんよね。

森山　FIDO認証というのは、デバイスの所持と公開鍵暗号方式を組み合わせた技術です。スマートフォンなどのデバイスを持っていることが、一つめの認証になります。次にデバイスにある秘密鍵で、お客さまの生体情報や当人しか知らない情報から、確かにそのデバイスの所有者であることが確認できたら署名をして、対になる公開鍵で署名検証をします。この一連のプロセスがFIDO認証です。デバイスの所有者であることを確認するのに生体情報が有効なので、スマートフォンと生体認証を使ったFIDO認証の実装が進んでいます。

「ID・パスワードのあり方を変える dアカウントパスワードレス認証への取り組み 」（NTTドコモ）より

クロサカ　生体認証を用いないFIDO認証もあるわけですね。

森山　生体認証だけを認証要素とするのは望ましくありません。指紋認証の場合は、お仕事によっては指紋が消えてしまったり、年齢によって反応しにくくなったりします。また顔認証では、人種や出自の区別などで差別につながりかねないのです。生体認証を積極的にご利用いただきながら、使えない方に対する配慮もしつつ、便利にご利用いただけるようにしていけばよいと思います。