全2209文字
PR

 オンラインサービスの利用者を認証する仕組みは今や誰もが必ず使う基礎技術である。ところが「ドコモ口座」や「7pay」などで相次いだセキュリティー事故の要因になっている。問題を解決する決め手はあるのか、専門家に対策を聞いた。

米ガイドラインを日本も踏襲

 デジタル化が進むほどITサービスの利用者が間違いなく本人なのかを確認する認証の仕組みの必要性は高まる。利用者を識別するID(識別子)や認証技術について、専門家や技術者は国際的に広く参照されているルールを踏まえている。米国立標準技術研究所(NIST)が策定した「電子的認証に関するガイドライン(NIST SP 800-63-3)」である。

 NISTガイドラインは、米政府機関が本人確認や認証を担うシステムを構築する際の実装方法をまとめたもの。米国と日本とでは制度や企業サービスに異なる部分はあるものの、参考にすべき点が多い。

 実際にNISTガイドラインを日本の複数のガイドラインが踏襲している。具体的には、経済産業省が2020年4月に公表した企業向けガイドライン「オンラインサービスにおける身元確認手法の整理に関する検討報告書」や、各府省情報化統括責任者(CIO)連絡会議が2019年2月に行政機関向けに公表した「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」である。

 後者の「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」は、行政機関だけではなく企業も参考にできる。オンラインサービスで利用者を認証する際に想定されるリスクのレベルについて、判定方法を詳しく図解しているためだ。

 例えば身元確認の保証レベルを選択するには「利用者に金銭的被害を与える」「利用者の個人情報などの機微な情報が漏洩する」といったリスクを基に判断している。当人認証の保証レベルの判定方法についても同様に図解している。行政機関を企業に、国民を利用者に置き換えれば判断しやすいだろう。

身元確認保証レベル(IAL(Identity Assurance Level))の選択
身元確認保証レベル(IAL(Identity Assurance Level))の選択
(出所:各府省情報化統括責任者(CIO)連絡会議「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」)
[画像のクリックで拡大表示]

事故多発の背景にあるもの

 ここで1つ疑問が湧く。企業がオンラインで提供するサービスのほとんどが本人認証やID管理の技術を使っていて、参考になるガイドラインも多数ある。にもかかわらず、必要なレベルの実装ができずにセキュリティー事故が相次いだ。なぜなのだろうか。