数年でパスワードのない世界に――PayPal幹部が認証変革

　多くのユーザーは、クライアントPCやモバイル端末の画面に「ユーザー名」「パスワード」という言葉が現れると、思わず身構える。大文字／小文字を取り混ぜたアルファベットと数字を組み合わせたパスワードや、PIN（暗証番号）をさまざまなアカウントごとに思い出すのは、多くの人にとって容易ではない。一方、指紋のような固有の識別子を使って本人認証ができるとしたら、どうだろうか。

　米PayPalの最高情報セキュリティ責任者（CISO）で、公認情報セキュリティマネジャー（CISM）とセキュリティプロフェッショナル認定（CISSP）の資格を持つマイケル・バレット氏は、2013年5月上旬に米国ラスベガスで開催された「Interop」の基調講演で、よく使われる弱いパスワードを多数紹介した。

　パスワードがない世界は想像し難いかもしれないが、インターネットはこうした方向に向かっていると同氏は述べる。「パスワードは面倒であり、ユーザーや企業、組織、エコシステムにとってうまく機能していない」と、バレット氏は語る。

※関連記事：FacebookやTwitterを危険にする「パスワード使い回し」
→ http://techtarget.itmedia.co.jp/tt/news/1209/27/news07.html

　2000年代初頭には、ユーザーが覚えていなければならないユーザー名とパスワードの組み合わせは4つか5つくらいだっただろう。しかし今では、平均的なユーザーがビジネス用と個人用に25個のアカウントを持っていると、バレット氏は述べる。

　銀行やオンラインショッピングなど一部のWebサイトは、セキュリティ強化を目的に、文字と数字を組み合わせた高度なパスワードを要求するようになり、ユーザーはパスワード認証プロセスに不満を抱くようになっている。「アカウントから締め出された経験は誰もが持っている。ユーザーは満足していない」（バレット氏）

　非営利団体のFIDO（Fast Identity Online）Allianceは、ユーザーが多数のID／パスワードを作成し、思い出さなければならない問題と、認証方式間の相互運用性の欠如を解決することを目的に2012年に設立され、オンライン認証方法の変革を目指している。

　FIDO Allianceは、「パスワードはもはやユーザーにとって十分に機能しておらず、インターネットの発展を阻害し始めている」と主張している。「ユーザーがユニークなパスワードを選んだと思っても、多くの場合、それは弱いパスワードであり、しかもユーザーはこうしたパスワードをできるだけ使い回そうとする」と指摘するバレット氏は、FIDO Allianceの代表も務める。

　業界はもっと強力なユーザー認証方法を必要としている。ただし、その認証方法がユーザーの負担になってはならない。「安全でなければならないが、できるだけ簡単であることも必要だ」とバレット氏は説明する。

●ユーザー名とパスワードを根絶せよ

　モバイル端末の広範な普及に伴い、より良い認証ソリューションが求められている。専門家は、この課題の答えは1つではないという認識に達している。

　FIDO Allianceは、バイオメトリクス認証技術などの採用により、ユーザー名とパスワードに頼らない代替認証アプローチに取り組んでいる。このアプローチでは、ユーザー端末にソフトウェアをダウンロードする必要がある。このソフトウェアにより、端末自体を識別し、FIDOのプロトコルをPayPalのようなサードパーティーのサーバに送信することで、ユーザー認証が行われる仕組みだとバレット氏は説明する。

※関連記事：Androidを指で守る、「指紋認証」はスマートフォンの必需品となるか
→ http://techtarget.itmedia.co.jp/tt/news/1304/05/news03.html

　「ユーザーがFIDOのアプローチに沿ったWebサイトを訪問すると、サイト側は、ユーザー端末が応答可能なFIDOクライアントを搭載しているかどうかを確認し、その端末が登録ユーザーによって使われているかどうかを認識できる」とバレット氏。こうしてユーザー認証において、厄介なパスワードが不要になる。

　米Appleは2012年に、指紋認証技術を手掛ける米AuthenTecを買収しており、これを受けて、Appleが指紋リーダー搭載の新型スマートフォンを2013年に投入するとのうわさが流れた（参考：iPadに指紋センサー？　Appleも参加するハードウェアセキュリティの新潮流）。

　また、網膜スキャンも、登録ユーザーの識別に利用することが可能だ。「スマートフォンのフロントカメラは、目の高画質な写真を撮るのに十分なほど性能が上がっている。顔認証にも対応できる」（バレット氏）

　どのような技術的選択肢を用意するとしても、「FIDO Allianceはユーザー名、パスワード、PINを、数年以内に地球上から完全に一掃するつもりだ」とバレット氏は語った。

　「2014年には、FIDOの技術に対応した端末が市場に登場するだろう」（同氏）