 |
| 元ホワイトハウス補佐官 Richard Clarke氏 |
「サイバースペースではユーザー名とパスワードがあなたそのもの。ユーザー名とパスワードを盗まれれば,他人が完全にあなたになりすますことができ,その行為の結果がすべてあなたの責任になる。最も重要でありながら,最も盗まれやすい」(Clarke氏)
従来のワームやウイルス,スパムといった攻撃と違い,新世代の攻撃の標的はID盗難に向けられているとClarke氏は指摘する。すなわちフィッシングやファーミング(関連記事)である。大量のIDが盗まれ,アンダーグラウンドのチャット・ルームなどでは1つのIDが1ドル以下で売買されているという。「ID盗用の被害は数億ドル,数十億ドルになりうる。企業の中にはサイバースペースでのビジネスを思いとどまるところもある」(Clarke氏)
Clarke氏は,パスワードは盗難に対してぜい弱であり,他の要素を併用した2ファクタの認証が必要と指摘した。「米国では政府が思い腰を上げた。『ホームランド・セキュリティ大統領令』にブッシュ大統領が署名したことにより政府の職員は二要素認証を義務付けられることになった。香港の銀行は二要素認証が必須になっている。米AOLはユーザーの求めがあればログオンする際に二要素認証証を行っている。また米E*TRADEでもユーザーの要望により二要素認証を提供している」(Clarke氏)
 |
| 米RSA Security CEO Art Coviello氏 |
「トークンなのか,ICカードなのか,デジタル証明書なのか,生体認証なのか,ワンタイム・パスワードなのか。答えは一つに絞るべきではない。コストや特性,利用する場面によって多様な技術が競い,イノベーションを促進すべき」(Coviello氏)。そして,望ましい認証技術に必要な要素は「『絶え間ない改善』と『社会的な受容』,『不測の事態への備え』」であるとした。
