パスワード認証から脱却すべき理由

2019年12月16日

Password-based authentication has become unwieldy, insecure and is the cause of most data breaches

パスワードベースの認証は安全性に欠け、実用的でないばかりかデータ漏洩の主な原因となっています。 Image: TheDigitalWay from Pixabay

Parker Crockford

Director of Policy & Strategic Accounts, Onfido

パスワードの生みの親が、次の段階へ進むべき時がきたと述べたのは、おそらく的を射ていたのでしょう。1960年代にコンピューターのパスワードを初めて発明したフェルナンド・コルバト氏は、パスワードをめぐる状況はもはや「悪夢」と化した、と4年前に話しています。パスワードの発明時にはインターネットでの使用が想定されていなかったことや、データ漏洩がデジタルの時代にもたらした影響、そして昨今のプライバシー意識の高まりを考慮すれば、変革が必要なのは明らかです。

パスワードは、かつては最も信頼できるセキュリティ対策のひとつでしたが、ここ10年で、ひとりの人が第三者にさらすデジタルフットプリントの平均数は益々多くなってきました。今や、平均的な消費者は、191組以上のユーザー名とパスワードの組み合わせを管理。人々が、さまざまなサービスの本人確認に、同一のパスワードや配列を使い回ししているのはほぼ間違いないでしょう。

パスワードの問題点

昨今のデータ漏洩のほとんどは、盗まれたパスワードによるもの。サービス利用に必要な個人情報や認証情報を含む何ギガバイトものデータが、デジタルプラットフォーム上に蓄積されている中で、ハッカーの侵入は以前よりずっと簡単になっています。銀行口座やウーバーのアカウント等へのログインに必要な認証情報が、今や「ダークウェブ」上でたった7ドルで売られているのです。暗証番号やパスワード、パスフレーズ、その他何であれ、覚えておく必要があるものを用いるナレッジベース認証は、利用者にとっての頭痛の種であるだけでなく、システムの維持にも莫大なコストがかかります。サイバー攻撃対策費用を除いたパスワード管理のコストだけでも、例えば従業員がパスワードでのログインに失敗した際にIT部門への問い合わせ等で失う時間の機会費用は、1件あたり70ドルに上ります。また、ヘルプデスクへの問い合わせは、最大50％がパスワードの再設定に関するもので、コストはかさむ一方です。

How to make life even easier for cybercriminals

サイバー犯罪者が喜ぶパスワードの数々 Image: Statista / SplashData

パスワードはただ管理しにくいだけでなく、不便で安全性に欠け、費用も高額。ガートナーは、2022年までに大企業の60％と中規模企業の全てにおいて、パスワードの使用が半減されると予測しています。一体どうすれば、そのような未来が実現できるのでしょうか？

プライバシー強化認証技術

パスワードに頼らないマーケットと、利用者が最終的に自身のデータを管理できる環境を作るため、いくつかの取り組みが既に始まっています。政府による初めての大規模な取り組みとしては、EU一般データ保護規則（GDPR）と、カリフォルニア州プライバシー権施行法が挙げられます。

消費者は「無料」のサービスに慣れきっていますが、そういったサービスは、結局は利用者自身のデータを明白な同意や通知なしに売り渡すことで成り立っています。しかし、利用者の抗議の動きは広がり始めています。例えば、イリノイ州ではフェイスブックに対する集団訴訟が起き、スウェーデンでは、顔認識技術を不適切に使用していた学校に対しデータ保護局がGDPRに基づく国内初の罰金を課しました。

こうした新たな法律の規定を満たすには、商品やサービスは、プライバシーを重視した設計や利用者に向けた徹底的な透明性を確保しなければなりません。そのように設計されたサービスなら、生体認証を信頼できる方法で組み込むこともできるでしょう。しかし、利用者側が提示した情報を、企業がきちんと照合できるかというのが問題です。解決策のひとつは、利用者が持つ政府発行IDをスキャンし、確認された属性を顔の類似度と合わせてチェックするというものです。

皆で取り組むべき課題

確認された属性へのアクセスを可能にするには、政府と民間の両方が重要な役割を担っています。2018年には、ベター・アイデンティティ・コーリションが報告書を発行し、信頼できる政府機関が保有している属性データへのアクセスを可能にするように呼びかけました。EUのeIDAS(イーアーイダス)規則や、汎カナダ・トラストフレームワーク、オーストラリアのトラステッド・デジタルアイデンティティ・フレームワーク等、各国の政府が、リモートでの本人確認をどうやって行うかという問題に対しさまざまな取り組みを行っています。

パスワードのいらない世界を実現するためには、利用者自身がデータを管理できることが必須です。そのような環境が整えば、インターネットのグローバル・スタンダードを策定するワールド・ワイド・ウェブ・コンソーシアムや、パスワードに代わるデジタル認証を推進する業界団体、FIDO（ファイド）アライアンスなどが取り組む、端末からリアルタイムで属性を読み取る認証システムによって、利用者が、リモートでより安全な本人確認を行えるようになるでしょう。

パスワードのいらない未来は、もうすぐそこです。2020年も技術の進化は続くでしょうが、リアルタイム認証の信頼性を上げつつパスワードへの依存を終わらせるという、ふたつの目標の間の隔たりを埋めるために、今行動する必要があります。そのためには、利用者が自身のデータの用途について知り、データを保護することができる、より信頼性が高く、安全で、便利なユーザーエクスペリエンスを提供すること。そして、大規模な分散型ネットワークへのアクセスを可能にして、デジタルアイデンティティへの企業の信頼を高めることが求められます。そうすれば、かつてないユーザーエクスペリエンスに、信頼できるレベルの相互運用性を確保しつつ、利用者が異なるデジタルサービスをリアルタイムでより簡単に利用できるようなデジタルプラットフォームが実用化されるでしょう。191個のデジタルアカウントの管理もたやすいこととなり、デジタルアイデンティティの管理権は個人の手に戻るのです。