わたしは誰ですか? – 情報セキュリティから見た個人認証

「われ思う、故にわれ有り」。パスカルの言葉である。
疑い抜いた果てに、自分がここに居ることだけは疑いようのないことであった、よってわたしはここに居る、 といったことである。
しかし、情報セキュリティの世界では「わたしはここにいる」と自己主張しても認めてはもらえない。
では、どのようにして「われ有り」と証明したら良いのだろう?

運転免許証、知人による検証、家族の誕生日をそらで言える、など、
本人しか持たないものを持っている、本人と同じ外観を持っている、本人と同じ知識を持っている、
これらのことにより証明するのが情報セキュリティにおける個人認証であり、 「本当に当人であることを検証する」ことである。
今回は、良い認証とは何かを考えてみる。

あなたはあなたですか?

「個人認証」とか構えなくても、普段からわれわれは認証作業を行っている。
筆者の上司(この時点ではそう思われる人物)が会社に来て、席について、 おもむろに鞄を開けて仕事を開始したと考えよう。
さて、これから仕事の話をこの人物としなくてはならない。 その話には他社には秘密にすべき内容が含まれている。
情報セキュリティの観点からはここで個人認証を行い、 上司当人であること検証した上で話を始めなければならない。
しかし、通常、そんな作業をする人物はいない。 それは意識せずとも認証作業を行っており、検証が済んだという認識があるからである。

一般的には以下の情報などに基いて認証(というよりは識別)を行っている。

  • 前に見たときと大幅に外見が変っていない
  • いつもの鞄を持っている
  • 声も確かに本人のようだ

社会的常識ではこれで十分でも、変装を施し、 声色までも模写できる秘密工作員に対処することはできない(*1)。

では、どうしたら良いのだろう?

(*1) 工作員が変装をする可能性は低いだろうが、
声色を倣ねて音声電話経由で機密情報を聞き出すテクニックは Social Engineering Attack と呼ばれ、
米国企業では実際に対処が行われているほどポピュラーなものである

認証作業を確実に行なう場合には三つの What を元にして行う。

“What you have, what you know, what you are.” (Who you are
ではない)

具体的にいうと、「持ち物」、「知識」、「身体的特徴」になる。 「持ち物」というのは ID カード類、 「知識」というのはパスワード、
「身体的特徴」というのは顔、体型のことである。 われわれは、日常生活の中で、無意識の内に、この三つの What
を使いわけて個人を特定している。

良い認証

通常は、業務上の特別な必要でも無いかぎり、このいずれか一つで認証を済ませてしまうことがほとんであると言える。
オフィスに入るときには ID カードを用い、計算機にログインするときはパスワードを入力し、
機密情報を話し合うときには外見情報を記憶の中のものと検証することにより。

一つの情報に基く認証は、良いものとは言えないが、 この国は平和な国であり、無意識の信用にもとづく生活をしているわれわれは、
それでも十分と感じていると思われる。
筆者は情報セキュリティという、「人を見たら泥棒と思え」をモットーとする因果な商売をしている都合上、
会話の中で巧みに相手の「知識」を探って認証を行うことのが習慣になっている(*2)。
この場合、「身体的特徴」により半分くらい相手を認証し、「知識」を検証することで、 一応の認証作業を終えるという作業になる。

情報セキュリティの世界では、三つの What のうち、少なくとも二つを検証しないかぎりは、 「良い認証」ではないと言われている。
もちろん、重要な機密情報を扱う場合には三つの検証を行うことが要求される。

(*2) 情報セキュリティ専門家としては初級レベル。
エレベーターには乗らないと言いだすと中級レベル。 上級レベルについてはいずれ。

疑えど疑えど

いったん疑いだすと、認証はどこまで行っても安心できない。
当人以外に知り得ないパスフレーズ(*3)で暗号化された指紋情報を書き込んだ顔写真入りのスマートカードを各個人に配布し、
指紋スキャン装置とパスフレーズ入力デバイス、復号装置を組み込んだスマートカードリーダーを
、装置の扱いに十分習熟し、全職員の顔、かたちを熟知した、絶対に嘘をつかない人物に扱わせることにより、
情報セキュリティから見て最高に近いレベルの認証が実施できるが、正直やり過ぎであろう
(一昔前では、このような体制は冗談に近いものであったが、現在では、現実的なコストで導入できる)。

認証の概念がわかりやすいせいもあって、 高度な認証を導入することで情報セキュリティを強化しようと考えられることが多いようだが、
本来、認証というものは情報セキュリティを守る上での一つの手法に過ぎない。
被認証者、つまりは利用者が過剰と感じるような認証システムが導入されることになった時には、
情報システム自体を見直すことが先決である。

「良い認証」とは負担にならずに情報セキュリティを補完するものであって
認証に関する正しい知識を提供せずに、厳しい認証システムを導入しても、 被認証者に強圧的な印象を与えるだけになりがちである。
まず、情報セキュリティの基本について教育を行い、 なぜ個人認証が必要とされるのかを理解してもらうことから始めなくてはならない。

昨今、情報セキュリティがブームである。 各種の生体認証装置が従来に比べて驚くほど安価に導入できるようになっている。
筆者としても個人認証には生体認証装置が最適であると考えている(*4)。 しかし、まだまだ馴染みの薄いものであることも確かだ。
導入に際しては、本当にそれだけの認証が必要なのか?他のセキュリティでカバーできないのか?
など、情報セキュリティシステムとしてのバランスを考えた上で決断をするように心がけることをお勧めする。

(*3) パスワードは 8 から 12
文字未満のものを指し、 それ以上の長さを持つものは(より安全という意味を込めて)パスフレーズと呼ばれる。

(*4)
映画のようで見栄を貼れるという効果も有り。