Digital Identity.　デジタル世界の本人確認

デジタル世界に求められる証明書のあり方とは？

　音楽・出版物・お金・コミュニケーション…、私たちにとって身近なモノが次々とデジタル化され、店舗での対面販売も減り、デジタル世界だけで物事が完結するケースが増えてきています。書籍を例にあげると、以前は書店に足を運び、本を手にとって中身を確認し、レジで現金を支払っていましたが、最近では、インターネット上で欲しい書籍を検索、サンプルページなどで中身を確認し、クレジットカード番号を入力。その書籍自体も電子出版物なのでiPodやkindleで読む、などです。（日本国内の電子出版市場は前年対比27.1％増の1,909億円⁽¹⁾）

　そんなデジタル化が進んでいる現代においても、いまだに運転免許証やパスポートなどで本人確認している状況は旧態依然としているのかもしれません。銀行での口座開設と、飲食店で飲酒できる年齢確認の身分証明が同じである必要はなく、手持ちのスマートフォンなどで、必要な情報のみ相手に渡せることが求められているのではないでしょうか。

　Digital Identityは、“デジタル情報として統一的に管理された、人・デバイス・サービス等についての属性情報の集合”(情報処理推進機構:IPA)と定義されています。World Economic Forumが発行した『A blueprint for Digital Identity』というレポートでは、この属性情報は以下のように分類されます。

　Digital Identityは誰が収集・管理する情報かによって、その活用範囲は異なります。World Economic Forumは同レポートにおいて、金融機関はDigital Identityによって、物理的な証明書より多くのプロセスを合理化、金融サービスのプロセスを改善できる可能性があると述べています。

(1) 出版科学研究所　出版月報 2017年 1月号

銀行のDigital Identity活用例

　Digital Identityは、人・デバイス・サービス等、属性情報の集合であるため、収集する情報の信頼性、情報管理ポリシーなどは高い水準が求められます。より厳しい本人確認プロセスを設けている金融機関への期待は大きいと思われます。

　イギリス・ロンドンに本拠を置くBarclaysは、2016年に利用者が英国政府のオンラインサービスにアクセスできるようにするサービス「Barclays Identity Service」を開始しました。このサービスは、英国政府が主導する、英国市民がオンライン上で自分が誰であるかを証明するための新しい方法である「GOV.UK Verify」プログラムの認定事業者にBarclaysが選ばれたことによるものです。「Barclays Identity Service」は、英国市民が利用することができ、利用するためには英国のパスポート、英国の運転免許証および銀行口座の提示が必要です。登録が完了すると、「GOV.UK Verify」から、ユーザ名、パスワード、携帯電話だけで、税金の払い戻し請求や運転記録の確認など英国政府のサービスを利用できます。これは、金融機関がDigital Identityを管理し、他の事業者と連携した一例といえるでしょう。

　しかし、金融機関各社が独自にDigital Identityを提供すると、金融機関ごとに提携先が違うので、利用者は使う対象ごとにDigital Identityを持たなければならず、利便性は下がります。これは管理母体が金融機関ではない場合も同じです。これを解決するには、政府、金融機関、ITベンダー、その他の当事者間で連携し、新しい仕組みを作ることが必要となります。

　そんな折、登場したのがブロックチェーンです。ブロックチェーンは、参加者間で正しい情報を検証できる仕組みを備えており、情報の改ざんも難しいとされています。管理母体が1つではないので、1つのDigital Identityで複数の事業者を跨いで使うことができ、利便性も高まります。2015年創業のShoCardはブロックチェーンを活用したDigital Identityの先駆け的存在です。利用者は本人確認に必要な個人情報等をShoCardのアプリを利用して読み取ります。これらの個人情報は個人の端末に暗号化して保存されるので、外部に公開されることはありません。読み取った情報からハッシュ関数⁽²⁾、デジタル署名などを用いて作成したデータをブロックチェーン上に保存・管理するという仕組みで、ハッシュ関数の持つ“作成されたデータから原文を推定することは困難“という性質から、ブロックチェーン上に保存されたデータから個人情報が推測されるという心配はありません。事業者は、利用者の個人情報を独自に管理せずに本人確認を行うことができるのです。昨年はSITA⁽³⁾と空港での本人確認を安全・便利に行うデモンストレーションで注目を集めました⁽⁴⁾。このようにShoCardやGemに代表されるような、ブロックチェーン関連スタートアップが次々とDigital Identityへ取り組んでいます。

(2) ドキュメントや数字などの文字列原文から一定長の疑似乱数を生成する演算手法
(3) 航空輸送業界向けのIT・通信サービスを提供する業界団体
(4) https://www.sita.aero/pressroom/news-releases/sita-explores-travel-identity-of-the-future

パスワードは安全?!

　オンラインバンキングのようなインターネット上のサービスを利用する際、「ユーザーネーム/パスワード」による認証が一般的です。

　IPAの「オンライン本人認証方式の実態調査報告書」⁽⁵⁾によると、約7割の利用者が、安全なパスワードは「英字（大文字、小文字含む）、数字、記号を組み合わせた文字列であること」、「名前や誕生日など推測されやすい文字列を使わないこと」、と認識していますが、実態は、このようにパスワードを設定しているのは13％、パスワード使い回しは半数以上でした。

　米Keeper Security社が1月に公開した”2016年に不正アクセスの被害により公になった1,000万件のパスワードの中で、よく使われていたパスワードリスト⁽⁶⁾”のうち、17%が「123456」でした。また、上位15件のうち7件のパスワードが6文字以下。容易に推測できるパスワードにする利用者にも問題はあるが、それを許容するサービス事業者側にも問題がある、と同資料で指摘されています。

　安全なパスワードを設定すれば問題ないかというとそうではありません。昨年、世間を騒がせた米Yahoo社の大規模な情報漏洩のようにアカウント情報を盗まれる事件や、ブルートフォース攻撃⁽⁷⁾やパスワードリスト攻撃⁽⁸⁾のようなパスワードによる認証を対象とした攻撃は後を絶ちません。不正送金や成りすましの被害を防ぐには、パスワードよりも強固で安全な認証が必要なのです。

(5) https://www.ipa.go.jp/files/000040778.pdf
(6) https://keepersecurity.com/public/Most-Common-Passwords-of-2016-Keeper-Security-Study.pdf
(7) 理論的にありうるパターン全てを入力しログインを試みる攻撃
(8) 事前に入手したIDとパスワードといった情報のリストを利用してログインを試みる攻撃

『Lock Down Your Login』キャンペーン

　こうした状況を鑑み、ホワイトハウスとthe National Cyber Security Alliance(NCSA)は2016年9月、GoogleやVISA、Wells Fargoといった大手IT・金融機関等35社以上と協力し、「オンライン認証」に対する国民意識を高めるキャンペーン『Lock Down Your Login』⁽⁹⁾を立ち上げました。

　同キャンペーンサイトによると、アメリカでは2秒に1回成りすましの被害が起きているにもかかわらず、アメリカ国民の72%は「ユーザーネーム」と「パスワード」のみの認証で安全と信じています。そんなアメリカ国民に対して『Lock Down Your Login』では、「パスワード」以外の強固な認証方法を推奨しており、協力企業のサービス利用方法を紹介しています。

　ここでの強固な認証とは、生体認証や多要素認証⁽¹⁰⁾などを指しています。モバイルバンキングアプリにおいてはBank of Americaの指紋認証⁽¹¹⁾や、Wells Fargoの眼球（血管）認証⁽¹²⁾など、ここ数年で金融機関の生体認証活用が広がっています。

　ここまで見てきたように、Digital Identityの活用や生体認証など新しい技術によって、本人確認のやり方が徐々に変わってきています。Digital Identityの活用範囲は自国内だけにとどまらず、世界共通の証明書として活用できる可能性も秘めています。近い将来、パスポートいらずで海外に行ける日が来るかもしれません。

(9) https://www.lockdownyourlogin.com/
(10) 利用者の本人認証時、複数の要素を用いて確認すること
(11) http://newsroom.bankofamerica.com/press-releases/consumer-banking/bank-america-introduces-fingerprint-and-touch-id-sign-its-mobile-ban
(12) https://www.americanbanker.com/news/wells-fargo-to-launch-eyeprint-id-this-year

関連キーワードで検索

さらに読む