著者: Xavier Plattard
(Atos社のWebアクセス管理責任者)
2030年のユーザ認証の将来展望
123456、qwerty、password、 iloveyou、princess,、dragon ...2019年に発表された 「ワーストパスワード」リストを見ると、多くのインターネットユーザがいまだにサイバーセキュリティ上、危険な状態にあり、現在の技術を過小に評価していないと考えざるをえません。幸いなことに、パスワード認証自体はますます減ってきています。本コラムでは、認証の将来展望について、未来のガジェットと機密性の問題を踏まえ予測します。
SNS、通販サイト、銀行・決済アプリなど、Web上では、必要なパスワードの数に圧倒され、数字と文字の組み合わせを管理することが非常に困難になっています。さらに、アプリ起動の仕組みも複雑になってきています。
「パスワードの最大の弱点は、増え続けるデジタルIDに関係しています。平均的なユーザは100のアカウントを所有し、 個々のアカウントについてパスワードを設定しています。」とAtos社のWebアクセス管理責任者、Xavier Plattard氏は述べています。
「簡単な解決策は、どのアカウントでも同じパスワードを使用することです。しかし、1システムの、たった1度の漏洩により、多くのアカウントが危険にさらされます」と、CLUSIF (フランス情報セキュリティクラブ)のメンバであるFranck Veysset氏は、ダークウェブ上に既に存在する同一のパスワードを使って数千のアカウントがハッキングされた某動画アプリの最近の事例を引き合いに出して警鐘しています。
パスワードの削減に向けて
数年前に一部のスマートフォンに導入された生体認証は、使いやすくなってきています。Appleの 「Face ID」 や 「Touch ID」「Windows Hello」 やサムスンの「Iris Scan」 を使えば、コードなしで端末のロックを解除することが当たり前となっています。しかし、目、指、顔、さらには声において、どこにいても楽々と自分自身を認識できる「100%パスワードのない未来」には、なかなか到来しません。
「Atos社では、近い将来においてパスワードが完全に消えることはないと予見しています。しかし、すでにパスワードの使用を大幅に削減できています。これは、セキュリティとユーザエクスペリエンスの両方の面でメリットがあります」とXavier Plattard氏は語り、同社が開発したシングルサインオン (SSO) 認証ソリューションであるEvidianについて次のように言及しています。
基本的な原則を以下で説明します。生体認証またはセキュリティキーと組み合わせて使用されるユニークで強力な認証が土台となります。これにより毎回ユーザ名とパスワードを入力することなく、アプリケーションへのアクセスが可能となります。
「つまり、パスワードはまだ存在しますが、パスワード・マネージャーによって管理されるようになりました。このパスワードマネージャは強力なパスワードを生成し、定期的かつ透過性をもって更新します。さらに、IDフェデレーションのメカニズムは、ユーザがアクセスを希望するすべてのアプリケーションの識別手段を提供し統合します。アカウント数が少なくなり、攻撃対象を減らすことが出来ます。」と言及しています。
今後、認証は複数のコンテキストで行われる
ハッキングのリスクを抑えるためには、セキュリティの層を増やすべきです。
「強力な認証は要素の組み合わせです」とXavier Plattard氏は強調しています。パスワードは、単独で使用すると問題が生じます。生体認証においても単独で使用すると問題があり、Chaos Computer ClubのハッカーであるJan Krissler氏は2014年に、記者会見で撮影したEU欧州委員会委員長の親指のHD画像を使い、指紋を再現したことで指紋認証の問題を明らかにしています。
「指紋は、どこかに残された痕跡からコピーするのが非常に簡単です。特にローエンドセンサの場合は顕著です。しかし、指の温度や酸素化などの要素を考慮した、より優れた技術が存在します」とFranckVeysset氏は言及しています。
いわゆる「多要素」認証は、知識要素 (パスワード) 、所有要素(スマートフォンでの認証「プッシュ」通知、ユビキー型セキュリティキーなど)、および固有要素 (バイオメトリクス) のうちの少なくとも二つの要素を組み合わせから構成されます。
例えば、生体認証と心拍数検出を使用するNymiブレスレットとEvidian Enterprise Access Managementソリューションを組み合わせた事例があります。
「この継続的な生体認証は、従業員が手袋やマスクなどの衣服を着用する場合など、特定のケースで特に有用な柔軟なソリューションを提供します。ブレスレットはBluetooth技術を使用して接続するデバイスによって検出されるため、近接係数も存在し 柔軟に活用できます。この方法は高価ですが非常に信頼できます」ととXavier Plattard氏は説明し断言しています。このタイプのデバイスは、それほど技術革新を必要としないので、普及する可能性があります。例えばアクティブに位置情報を送信するブレスレットと組み合わせるだけで認証レベルは向上します。
今後ますます重要になると予想されるもう1つのパラメーターは、ユーザの行動です。「認証は、ディープラーニングアルゴリズムのおかげで、インターネットユーザのネットサーフィンの習慣性をますます考慮しています。ここでいう習慣性とは、ユーザが接続する時間と場所、最も頻繁に訪れるサイト、SNSへの投稿頻度などについてです。これらの要素はすべて、本人であることの証明にもなります。まだその段階には至っていませんが、研究段階において、機密性の高いリソースや特殊なリソースにアクセスするケースがあります。例えば、新しい受取人への銀行送金が発生するのような、いわゆるステップアップ認証という過程において、入力速度と入力ミスに基づいてユーザを特定しようとしています。」と、Xavier Plattard氏は説明しています。
親指の指紋につながる先は
非常に機密性の高い生体認証データの利用が増加しているのですが、十分に注意が必要です。「パスワードは変えられるが、顔は変えられない...」とCNILの技術専門部門のエンジニアであるFélicienValet氏は言及しています。生体認証によって、私たちの生理学的および解剖学的特性はそれ自体が認証となり、もはや仲介を必要としません。
セキュリティ技術の専門家であるAyse Ceyhan氏は記事の中で、「生体要素はオブジェクト化され、コンピュータと自然のパラメータに縮小されたものとなり、デジタルコードに変換されます。」と述べています。「個人的な観点からすると衝撃的なことではありません。人々は常に声や歩き方や顔で認識されてきています。」とTelecom SudParis(※1)の調査部長Bernadette Forizzi氏は論じています。
さらに気になるのは、アルゴリズムに絶対的な自信を持っていることです。間違いを犯すこともあります。注意と述べましたのは、これらの絶対的自信が内包するミスについてであり、その問題に対処するためには、対抗する権限と規制機関を持つことが不可欠です。
FélicienValet氏が指摘するように、「生体認証データベースの実装を必要とする公的な分野で展開されている顔認証とは異なり、生体認証(パスワードの置き換えまたは補完)では、データをスマートフォンのローカルに保存し、ユーザがデータを制御できるようにしています」。また2015年にAppleの特許が「クラウドを介したデジタル生体データの同期」の可能性について明らかにしています。
将来の認証の課題が、セキュリティの精度ではなく、透明性、つまり本人が本当に本人であることの証明とその共有方法であるとしたら何をすればいいのでしょうか。
※1:Telecom SudParisは、フランスでエンジニアリングの学位を授与する高等教育および研究のフランスのトップエンジニアリングスクールの1つである。情報通信技術および技術のスキルと、経済、社会、環境分野の専門知識を持つエンジニアを輩出している。
著者:Xavier Plattard
Atos社のWebアクセス管理責任者
2017年以来、Xavier氏はEvidianのWeb Access Managerの提供を担当するProduct and Presalesチームを率いている。Xavier氏のミッションには、製品戦略を定義し、プロモーションおよび販売活動のためにビジネス・ユニットと協力することが含まれる。それ以前には、フランスのAIX社 Competency Center責任者やテキサス州オースティンのIBM Bull代表などを歴任しており、CentraleSupélecを卒業している。
出典元:Atos社グローバルサイトブログ(Atos社に許可を得て、弊社にて和訳しております。)
NTTコムウェアは、Atos社と戦略的協業契約を締結しております。