− 第4回 −

認証技術最前線
〜確実な本人認証は技術運営により実現〜

個人認証技術の活用の方向性

個人認証技術の比較

　いままで述べてきたように、個人認証の技術にはそれぞれ一長一短があり、「これをいれれば全て安全」といったものがあるわけではない。各々の技術は、どこまでいっても要素に過ぎず、回答そのものではない。

　生体認証、知識認証、所有物認証それぞれの特徴をよく理解し、場面に応じて適切な使い分けを行っていくこと、そして複数の認証技術を組み合わせることこそが、これからのセキュリティ確保において、もっとも必要な姿勢である。

　上記のためにまず必要なのは、対象（システムや情報）を守るのに、どの程度の強度のセキュリティが求められているのか、という判断だ。

　たとえば、一見脆弱にみえる固定パスワード方式の知識認証も、さほど秘匿性の高くない情報をテンポラリーに防護する、といった状況であれば、利用に問題があるわけではない。柔軟性やコストの安さという観点から言えば、ケースによっては、推奨されるソリューションになる可能性も高い。

　これに対し、十分なコストをかけても非常にセキュリティレベルの高いシステムを構築しなければならないケースもある。企業間の取引やオンラインショッピング、オンラインバンキングなどの決済系のシステムはこの代表例であろう。

　このような際には、知識認証だけではなく、所有物認証、生体認証といったデバイスを検討することが求められることになる。銀行カードやクレジットカードのICカード化の流れは、まさに、こうした要求に沿ったものである。

　また、各技術を組み合わせることでセキュリティの強度を上げることも可能である。

　所有物認証の際に問題点として指摘した紛失や盗難問題も、生体認証を組み合わせることにより本人以外に使えなくすることで、一定の解決が可能である。すでに発売が開始されている指紋認証機能付きのPCのキーボードや携帯電話などはこの好例。

　生体認証の機器が普及し、価格が低下していくに連れ、こうした事例は増えていくことになるだろう。

　加えて、現在、専門家の間で共通した見解となっているのは、「セキュリティはテクノロジーだけで守れるものではない」というセオリーだ。

　どのようなセキュリティシステムを導入するにしても、企業内の情報管理のポリシー、リスク発生時の情報共有フローと意思決定フローなどを総合的に組織に「導入（インストール）」しなければ、結局はどこかに「人的な穴」があく。このことは、近年マスコミを騒がせている個人情報漏洩事件のほとんどが「内部犯行」を起因としていることが如実に物語っている。

　技術面だけではなく、マネジメント面を含めた総合的なセキュリティ体制の構築の方法論としては、2001年に、ISMS（Information Security Management System）適合性評価制度が、経済産業省により、創設されている。

　本稿で述べてきた個々の認証技術も、システムとして実現される際には、ISMSに代表されるような全体のセキュリティマネジメントの中に位置づけられ、組み合わされていく必要がある。ISMSは、第三者機関評価による認定制度となっているので、この認定を得ることを目的として全体計画や体制づくりを行っていく、というのも、ひとつの方法だろう。

　これからのSEがシステム提案を行う場合、技術だけのプランニングでは最終判断をくだす経営層を動かすことはできない。最大のアピールポイントとなるのは、ISMS認定制度などの実情を踏まえつつ、自社の経営、ビジネスにどこまで踏み込んで「セキュリティ・マネジメント」を語れるかどうか、だ。先端の個人認証技術をフォローしつつ、組織面、マネジメント面、コスト面をどう組み入れ「経営判断」にあった各種技術の組み合わせを設計していくか。これこそがユビキタス時代のセキュリティ開発に求められていることなのだ。

(2004年4月5日公開)