パスワードレス社会の到来
オンライン認証の現状と未来①

スマートフォンを持たない人にも個人認証を

クロサカ　私自身は、1993 年にSFCに入学した世代ですから、ディスプレイがあってキーボードがあって、大きな本体でファンがうなっていることに馴染みがあります。ただし最近ではスマートフォンでしか使えないサービスが多くなっていますね。認証をスマホアプリに依存しているものが多い。PCベースのWebサービスであったとしても、Google Authenticatorの2段階認証のように、スマートフォンで番号を取得して、それをPCに打ち込むことが多くなっています。便利で安心な一方、すべてをスマートフォンに依存することの弊害が生じる可能性もあります。

森山　スマートフォンが暮らしのカギになるという発想は早い時期から抱いていました。こうした役割は、スマートフォンが普及するまでは想像がつかなかったかもしれませんね。一方、スマートフォンをお使いの方とそうでない方との間で使えるサービスに差がありますので、そこは解決しなければなりません。ドコモでいうと、らくらくスマートフォンでFIDO認証が使えませんでしたが、一昨年から、パスワードレス認証ができるようになりました。かくいう私も1994年に修士課程を修了したので、クロサカさんの実感はよくわかります。

クロサカ　サイバースペースも牧歌的な時代でしたよね。

森山　その時期に「ザ・ニューヨーカー」に主人のいない間に飼い犬がパソコンを操作している風刺画が掲載されましたよね。“On the Internet, nobody knows you’re a dog（インターネット上ではあなたが犬だと誰も知らない）”という。所持・生体・知識という認証の 3 要素がよく知られるようになったのは、悪意のある第三者によるフィッシングが問題視されてからです。知識だけでは、多段階にしても外部からそれを盗み見て、当人になりすますことができることがわかってきた。そこで生体認証が重視されるようになりました。個人の生体情報をリモートで外部管理することの是非を考えると、利用者のスマートフォンなどのデバイスで厳格に管理するのが妥当だということになります。すると、生体情報は所持の側面も持つことになります。つまり所持と生体、または所持と知識のように、認証の 3 要素のうち所持を組み合わせることでリモートにいる悪意者によるフィッシングから身を守れるということになります。今後、生体認証やFIDOのパスワードレス認証を、スマートフォンを持っていない方に提供することが大きな課題になってきます。多くの方々に、あんしんかつ安全な認証手段を提供することについて、現在はよい成熟に近づいている局面だと思います。

クロサカ　所持が重要な要素になってきている現在、ほぼ必須のデバイスとしてスマートフォンが大きな役割を担っています。その一方、認証の仕組みそのものは、スマートフォンだけで完結するものではなくて、これから多様なものが登場する。言いかえれば、バラバラな方式が林立する中で、それぞれの方式をどのように使い分けていくかということにもなります。これは認証技術という単体でなく、システム全体に関わることですね。Webであれば、サービスを利用するための、最初の入口の時点に、さまざまな仕組みを位置づけることになりますから。これは基礎技術をつくる観点からは、とても難しいことではないかという気がします。

岸上　まず、ハードウェアとソフトウェアを分けて考える必要があります。現在は、すべてのものをスマートフォンに託していて、もしスマートフォンを落としたら生活が成り立たないような恐怖の中で生活しているようにも思えます。しかし、60年や70年といった情報技術のスパンからすると、スマートフォンというのは、スティーブ・ジョブズがiPhoneを発表した2007年から考えてみても、それほど長い歴史のあるものではありません。それ以前はPCが主流でしたし、もっと前は大型汎用機やワークステーションがあって、現在に至ります。そうした経緯を考えると、ハードウェアとしては 5 年以内にスマートフォンに代わるものが台頭してくる可能性は十分にあります。たとえばApple Watchでは、iPhoneからの情報を同期するだけでなく、Apple Watch単体で利用できることも多くなってきています。現在はメタバースへの期待からVRグラスやVRゴーグルが注目されていますが、それ以上のものが、必ず出てくると思います。そこに現在の生体認証やFIDOの技術を移行させることは可能です。

クロサカ　Webアーキテクチャとして考えると、いかがでしょう。

岸上　Webはソフトウエアですから、大型汎用機でも動きますし、パソコンでもスマホでも、Apple Watchでも動くわけです。またWebといってもブラウザ経由だけでなく、Webアプリケーションという見地からいえばあらゆるところで稼働していて、私たちも便利さを享受しているわけです。今後も、ソフトウェアはハードウェアから独立して、どんどん進化していくでしょう。また最近ではソースコードを書かないノーコードでも、さまざまな新しいサービスが高いレベルで出てきています。また、それに輪をかけて、ChatGPTのように、コードを生成するサポートも出てきています。こうしたなかで、次の新しいデータモデルやアーキテクチャを考えなければならないのが、現在の技術者の置かれた立場です。一方、多くの人にとって、IDということが、より切実になってきます。私たちは、マイナンバーやソーシャルセキュリティナンバーのようなIDを当たり前のものだと思っていますが、視野を広げればIDを持たない人はまだまだ大勢います。IDがないから銀行口座を開けない、銀行口座が開けないから自由にお金を使えない、といった人たちのことを考えていかなければなりません。どうしても一番わかりやすい技術の分野から着手しがちなのですが、IDのあり方の背景には、社会的受容性や価値観といった幅広い課題があります。私は、W3C Inc.がそうした課題を解決するように動き出していると期待しています。