− 第4回 −

認証技術最前線
〜確実な本人認証は技術運営により実現〜

　どこでもいつでもネットワークとの接続が可能となるユビキタス時代のシステム構築。これは、裏を返せば、どんなところから情報の漏洩やハッキングが起こるかわからない、ということを意味している。ユビキタス化にあたっては何よりセキュリティの確保が重要と常にいわれる所以だ。

　このセキュリティ確保の最初の一歩となるのが「本人認証」である。いかに高度な暗号技術を利用しようとも、多段階のファイヤーウォールを構築しようとも、そもそも最初の時点で「ネットワークに入ってはいけない人」を入れてしまっては何の安全性も保障されなくなる。

　上記の状況を背景として、これまで定番として使われてきたIDとパスワードの組み合わせによる本人確認に加え、より頑強で、かつ、便利な方法がないか、さまざまな研究が進んでいる。今回は、この本人確認の技術に焦点をあわせ、その最新動向を紹介していくこととしたい。

本人認証の3つのパターン

　ユビキタス化されたシステムが安全に稼動するためには、何よりもまず、「ネットワークへのアクセス権限を与えられた当人」かどうかを確実に認証するプロセスが必要である。

　このプロセスは、知識認証、所有物認証、生体認証の3つの手法によって実現が可能である。そこで、ここでは、まず、各手法の一つ一つの利点と欠点、そして適合する用途についてまとめてみることとする。

1） 知識認証

　知識認証とは、本人かどうかを判定するために、その本人しかもっていない「知識」を利用するもの。パスワード利用などが代表的な方式だ。これには、パスワードをあらかじめ決めておく「固定パスワード」方式と、パスワード利用時に毎回違うパスワードを生成して入力する「ワンタイムパスワード」方式の2つがある。

　固定パスワード方式は多くの人がパソコンの起動時やISPへの接続時に利用しているもっとも標準的な手法である。

　この方式の最大のメリットは導入のしやすさにある。特別なデバイスやソフトウェアのコンポーネントを利用せずとも、現状のシステムそのものが対応しているからだ。

　ただし、その分脆弱性も高い。特にパスワードが短い場合には、辞書攻撃や総当り攻撃と呼ばれるクラッキング手法（パスワードの組み合わせを自動生成して次々とアタックをしかける方法）によって破られてしまう可能性が非常に高い。

　これを防ぐために、ランダムに生成した数十桁以上のパスワード（パスフレーズと呼ぶ）を使う手法もある。しかし、この場合、頭の中にパスワードを覚えておくことができないため、「付箋紙」や「ノート」などにメモをしてしまうことになり、結果、盗み見など、別の意味での漏えいの危険性が高まってしまう。

　もうひとつのパスワードの手法、ワンタイムパスワード方式は、パスワードを生成するカード型電卓のような機器を使ってランダムにパスワードを生成。ネットワーク上で利用されるパスワードを毎回変更することで漏えいの危険を防ごうというものである。

　ただし、この方式では、そもそもの「ワンタイムパスワード発生機器」の利用者が本人かどうかの確認はできない。機器アクセスに際しては、固定パスワードを用いるか、あるいは、後述する所有物認証や生体認証の方法を使うことが必要となる。