ここから本文です

さらばパスワード、ガートナーが示す「認証」のこれから

8/13(月) 7:10配信

ビジネス+IT

 システムのユーザー認証で長年にわたり使われてきたパスワード。慣れ親しまれている半面で、いくつも覚えるのは難しく、厳格な意味で本人確認が難しいなど、認証手段としては欠点も多い。この弱点を克服し、さらなる認証強度とユーザーの利便性を高めるために注目を集めてる技術が指紋や光彩、音声などの生体認証だ。ガートナーでバイスプレジデントを務めるアント・アラン氏が、生体認証の優位性や利用動向を紹介するとともに、本格普及の条件を提示する。

【詳細な図や写真】従来型の認証手法は大きく3つある(出典:ガートナー)

●認証の理想からかけ離れたパスワード

 ITシステムの利用に欠かせない作業が、本人確認を通じて無用のトラブルを避けるためのユーザー認証である。そのために現時点で最も広く利用されているのが特定の文字列を用いたパスワード認証だ。

 ただし、「利用シーンを考えればパスワード認証は理想とはかけ離れていることは明らかだ」と強調するのは、ガートナーでバイスプレジデントを務めるアント・アラン氏である。その理由も納得のゆくところだ。

「今や1人が所有するアカウント数は平均で100を超えている。理屈でいえば、それらの個々にパスワードが設定されるべきだが、すべてを暗記するのは至難の業。結果、パスワードの使い回しにより認証強度が低下するとともに、サイバー攻撃が巧妙化によりパスワードの厳格管理も困難になっている。認証で目指すべきは、誰でも簡単に扱え、高い認証強度を保てること。対して、パスワード認証は人に優しくなくなく、認証強度の維持も困難という点で、決して満足できるものではないのだ」(アラン氏)

●従来型パスワードでは確実な本人確認は不可能

 アラン氏によるとパスワード認証の登場はMIT(マサチューセッツ工科大学)がタイムシェアリングシステムに採用した1961年にまでに遡る。以来、長らく指摘されてきた「無計画な侵入には有効だが、計画的な確信犯による侵入は防ぎきれない」欠点を補うべく、認証データの多様化、スマホやUSBデバイスが発行する証明用トークンなどを組み合わせた多要素認証を柱に進化を遂げてきた。


 その延長として、近年では認証時のユーザーのネットワーク情報やデバイスIDなどを本人確認の裏付けとして利用し、不正アクセスのリスクが高いと判断される場合にはパスワードが合致しても「秘密の質問」などで追加認証を行う「RBA(リスクベース認証)」もインターネットバンキングなどで一般的となった。

 だが、「それでもパスワード認証の根本的な問題、つまり、認証情報が本人に紐づいていることの証明が困難なことは依然として解決されないままだ」とアラン氏は不満を隠さない。

 RBAでの認証情報は、利便性の観点からデータ生成のための専用機器を一般的に必要としない。そのため、パスワードと普段利用している端末の双方を盗まれた場合、モバイル端末などで日常で気に場所を問わずアクセスしている場合には、悪意ある第三者の不正利用を食い止めることは現実的に極めて困難なのである。

1/2ページ

最終更新:8/13(月) 7:10
ビジネス+IT

記事提供社からのご案内(外部サイト)

ビジネス+IT

SBクリエイティブ

年2500本超のビジネス・IT系セミナー情報掲載
様々な著名人の話が生で聞ける!
500本超の独自記事も掲載!
他で読めないビジネスとITのヒントがここに。