IDとパスワードが必須になった現在、人々は自分にかかわる情報をどうコントロールするのか。後半では、個人認証の多様化に伴い散逸するパーソナルデータにどう向き合うかを議論するとともに、人々の信用をどう実装化するかというシステム論に話が及んだ。

取材2023年2月24日オンラインにて取材

森山 光一（もりやま こういち）

株式会社NTTドコモ　チーフ セキュリティ アーキテクト　経営企画部セキュリティイノベーション統括担当 コーポレートエバンジェリスト

FIDOアライアンス 執行評議会・ボードメンバー、FIDO Japan WG座長　W3C, Inc. 理事

慶應義塾大学 理工学研究科 計算機科学専攻 修士課程 修了。ソニー株式会社入社。株式会社NTTドコモ 移動機開発部(出向)、ソニー・エリクソン・モバイルコミュニケーションズ株式会社、ドコモのシリコンバレー拠点を経て、2014年7月から プロダクト部でFIDO認証のプロジェクトに着手。進化するソフトウェアとモバイルを軸に経験を重ね、 端末を起点にオープンイノベーションを推進。2020年7月からセキュリティサービス・基盤 に注力し、2022年7月より現職。

岸上 順一（きしがみ じゅんいち）

室蘭工業大学 客員教授

1985年北海道大学大学院博士課程修了後、日本電信電話公社（現NTT）に入社。NTTアメリカ副社長、NTTサイバーソリューション研究所所長、理事を歴任。この間磁気ディスク、IPTVの開発を行う一方、著作権管理、機械学習やブロックチェーン技術の研究開発を行う。その後、アカデミックへ転籍してマレーシアUTAR大学 教授、室蘭工業大学大学院工学研究科 教授を歴任。W3C元アドバイザリーボードメンバー､その後Deputy Director(2020～現在。慶應義塾大学大学院 政策・メディア研究科 特任教授（2020～2022）および室蘭工業大学大学院 特任教授（2020～2022）。

クロサカ タツヤ

株式会社 企（くわだて）代表取締役、慶應義塾大学大学院政策・メディア研究科特任准教授。1975年生まれ。慶應義塾大学・大学院（政策・メディア研究科）修士課程修了。三菱総合研究所を経て、2008年に株式会社 企　（くわだて）を設立。通信・放送セクターの経営戦略や事業開発などのコンサルティングを行うほか、総務省、経済産業省、OECD（経済協力開発機構）などの政府委員を務め、政策立案を支援。2016年からは慶應義塾大学大学院特任准教授を兼務。著書に『5Gでビジネスはどう変わるのか』（日経BP）。その他連載・講演等多数。

目次

• 個人認証は私たちを幸福にするか
• 人と人との関係性をデジタルに実装する
• 現実とサイバースペースの接合点としてのID

個人認証は私たちを幸福にするか

クロサカ　いまやIDという言葉を、小学生でも普通に使うようになりました。コロナ禍でリモート授業が多くなったことで、Microsoft TeamsやGoogle Meetにアクセスするために、IDとパスワードを使って自分のアカウントにアクセスすることは一般的になりました。またNintendo Switchを使うのにもIDとパスワードが必要です。IDという言葉はidentifierもしくはidentity documentという言葉を略したものですが、みんなそれを意識していません。しかし感覚的には、ソフトウェアで構成されているサイバースペースに入っていくときに、システム側が「あなたがクロサカでしょ」とか「あなたは岸上先生でしょ」ということをシステム側に理解してもらうためのカギだということは理解しています。私はそこが重要だと思います。さきほど森山さんが例に挙げられた“Nobody knows you’re a dog”でいうと、端末の前にいるのが犬ではなくて、生身のクロサカだということが、IDを介して一致する。このWeb側と端末側との一致点がホットスポットになっているわけですよね。岸上先生からは、端末側ではスマートフォンに次ぐハードウェアが出てくるというお話がありましたが、これからどう変わっていくのでしょう。

森山　生体認証については、マイナンバーカードの公的個人認証サービスをスマートフォンへ搭載する方策を考える「マイナンバーカードの機能のスマートフォン搭載に関する検討会」をデジタル庁が開催していて、私も有識者として招聘されています。スマートフォン経由でマイナンバーカードを使うときに、生体認証を使えないか、という議論があったのですが、そこでスマートフォンに生体認証を使っていただくためにどういうことを進めてきたかを説明しました。

クロサカ　どういったことが議論されたのでしょう。

森山　私からお話ししたのは主に3点です。1つめは、スマートフォンに搭載されている機能を活用することの意義について。次に、パスワードではない認証方式の導入がポジティブに受け入れられることです。3 つめに、本人特定が常に望ましいわけではないということです。

クロサカ　今日のテーマとして、それぞれ重要なポイントですね。

森山　まず、黎明期からスマートフォンの開発に携わっている立場から、生体認証を搭載する際に指摘された懸念事項と、それにどう対応したかをお話ししました。ピースサインをした写真から指紋が読み取られて、それが指紋認証をパスすることへの懸念や、粘土に指を押し当てて指紋をとり、それで指紋認証をしたケースなどを挙げて、それがセンサーベンダーと業界の尽力で解消されたことを示しました。また他社製品で、生体情報が暗号化されないまま第三者アプリで読み出し可能な状態で格納されていた事例があった一方、現在では生体情報が安全な特別領域に格納されていることなども紹介しました。それとともに、万が一問題が発生した場合の対応について、アカウントロックや生体認証の無効化、FIDO認証器の正当性を担保するアテステーション（Attestation：検証）などについてもお話ししました。これらを 1 つひとつすべて丁寧に説明して、NIST（National Institute of Standards and Technology：米国立標準技術研究所）の生体認証の位置付けとの整合性も取れることを示したことで、国として生体認証が搭載されているスマートフォンを使えるようにする合意形成がなされました。2023年5 月 11 日から利用が開始される予定で、スマートフォンの生体認証による利用者証明やオンラインでの本人確認が当たり前になってきつつあります。

クロサカ　パスワードで認証しなくなることをポジティブに捉えるというのは、どういうことでしょう。

森山　パスワードが重要なものとしてすでに認識されているなかで、最近FIDOアライアンスとしてお話ししているのは「パスワードからパスキーへ」ということです。NTTドコモとしても「パスワード無効化設定」といったり「パスワードレス認証」といったりしていたのですが、なかなか言葉として普及しなかったのです。使っていただいている方にはご好評をいただいていたのですが、それでもなかなか広くは受け入れられませんでした。アンケートをとったりしてみると、パスワードが無効化されることやパスワードがなくなることについて、なかなかイメージしづらかったというのが実態でした。FIDOアライアンスとして「パスキー」と呼称することを決めたところ、ドコモとしても積極的な提案をしたところ、ポジティブに受け入れられたのです。同じソフトウェアプロダクトにおいても、パスワードからパスキーになると、スムーズに受け入れられるんです。FIDOをWebでも使えるようにした“WebAuthn¹”という仕様があるのですが、それを「パスキー」と呼ぶと「ワード（言葉）がキー（鍵）になるんだ」というように、非常によく理解してもらえるんです。そういう意味では、世の中を変えていくときに、人が自然に理解できるようなワードを使っていくことが大事だということを実感しています。