全3779文字
PR

 2020年になって立て続けに同じ問題をテーマにした複数のイベントを取材した。同じ問題とは、誰もが必ず使っている重要なものでありながら管理が行き届かずリテラシーも広まらずに数多くのセキュリティー事故の原因になっているものだ。

 それが何かお分かりだろうか。IDに関わる問題だ。パソコンやモバイル機器、WebサイトをはじめとするIT関連の製品やサービスを利用するには誰もがIDを取得してパスワードを設定している。しかし多くの人が膨大な数のIDとパスワードを取得して管理が行き届かず、同じIDとパスワードの組み合わせを使い回してしまって不正アクセスの温床になっている。

 IDは人や物などを特定する手段だ。どんなにITが発達しても、利用者が間違いなく本人なのかどうかを確実に確認できる仕組みは欠かせない。しかもIDを認証する仕組みはITを提供する側も利用する側も、ある程度理解していなければ他人が利用者になりすましてしまうといった様々なリスクをもたらす。人だけでなく物やデータを特定するにもIDが必要だ。

 こうしたIDの認証技術を実装する際に国際的に広く参照されているルールがある。米国立標準技術研究所(NIST)が公表している「電子的認証に関するガイドライン(NIST SP 800-63-3)」である。

 日本でも民間団体や日本政府が国内向けに翻訳しており、ガイドラインとして誰でも無料で参照できる。ところが、このガイドラインが企業のIT技術者の間にあまり知られていないという現実があるようだ。

ベンダーに足りなかった「IDリテラシー」

 2020年1月にID認証技術の最新動向を紹介するイベント「OpenID Summit Tokyo 2020」が都内で開かれた。このイベントに満塩尚史政府CIO補佐官が「OpenID Connectを活用したgBizID(法人共通認証基盤)の現状と今後の展望」という演題で登壇した。

「OpenID Summit Tokyo 2020」で講演する満塩尚史政府CIO補佐官
「OpenID Summit Tokyo 2020」で講演する満塩尚史政府CIO補佐官
[画像のクリックで拡大表示]

 gBizID(GビズID)は経済産業省が整備した法人向け認証サービスである。OpenID Connectは米アマゾン・ドット・コムや米マイクロソフトのほか日本でもヤフーなどが採用している認証プロトコルで、これらのIDとパスワードを使って他のID受け入れ事業者であるネットサービスにもログインできる。シングルサインオンとも呼ばれる。