PKI入門(2) 認証 - ユーザ認証 普及の本質(銀行のキャッシュカードなみ普及のためには) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.25(土)

PKI入門(2) 認証 - ユーザ認証 普及の本質(銀行のキャッシュカードなみ普及のためには)

特集 特集

●権利行使が重要

 住民票を使うことは多くないが、銀行のキャッシュカードでの現金引出しは、誰でもしばしばよく行う行為だ。もちろん、高齢者の方も、子供もよく使っている。キャッシュカードで現金を引き出す行為は、まさに、認証による権利行使である。銀行は、暗証番号をいれたキャッシュカードの保有者をキャッシュカードの正当な権利者と認めて、現金引出しに応じるのである。一般の人にとっては、機密情報の暗号化は、まず必要ではない。また、公文書の署名に匹敵するようなサーバ証明書、コードサイン証明書は普段は縁が少ない。しかし、自分の持っている権利を便利に行使できる認証システムならば、使い勝手がよければ、進んで使うものである。一部の人のみの利用に限定するならともかく、多くの人に提供するサービスとして提供することを目指すならば、意味ある権利行使のシステムを、使い勝手よく提供することが重要である。

 PKIによるユーザ認証は、本来は便利なはず。
 PKI公開鍵基盤は、サーバ証明書と同様に、個人に対しても証明書サービスを提供することができる。理論的な仕組みは、サーバ証明書と同じで、秘密鍵と公開鍵を作成して、秘密鍵を使っての署名を、認証局の認証ある公開鍵で、検証する。PKIの証明書は、ブラウザにいれておけば、銀行のキャッシュカードのように簡単なパスワードのみ認証になりIDの入力がいらない。本来ならば、使い勝手がよく便利な認証のはずである。オンラインショッピングのときにブラウザを開けて、注文ボタンを押すだけで注文できる便利さは、オンラインショッピングの経験者ならわかるだろう。なんども住所を入力するのはかなり面倒な作業だからだ。アマゾン( http://www.amazon.co.jp )では、既存の仕組みを使って、かなり使い勝手よく運用している。作業は、商品選択のクリックと、ID、パスワードの入力だけだ。住所などを毎回いれるという手間はない。

 銀行のキャッシュカードから見た認証のあり方を使って考察をすすめる。
 銀行のキャッシュカードは、ユーザから見れば、ATM(現金自動預金払出機)、キャッシュカード、暗証番号(PIN)の3種類の要素からなっている。もちろん、意味ある権利行使として、現金の引き出し、送金があるのは、当然だ。
権利行使に関してはのちほど述べる。

 PKIのサービスで対応するものを考えると、
ATM=>ブラウザ、もしくはPKIアプリケーション
キャッシュカード=>秘密鍵格納デバイス
暗証番号=>秘密鍵にかける暗証番号(PIN)

になる。おりにふれて、キャッシュカードとPKIのサービスを比較して説明してゆく。

 認証ソリューションでは、本人が苦痛なく認証システムを使えることが重要。 本来PKIによるユーザ認証は、ブラウザに秘密鍵を放り込めば、よいだけのはずで、もっと普及してもよさそうである。しかし、今日まで、実際にはなかなか普及してこなかった。オンラインバンキング、インターネット証券のサービスが提供された当初、PKIによるユーザ認証サービスしか提供しなかった会社があったが、ID、パスワードを使った認証に切り替えたり、併用するようにすぐ切り替わった。これは、セキュリティソリューションと認証ソリューションでは、大きく発想が異なる点が問題だったと私は思う。セキュリティソリューションでは、理論的にも高いレベルのセキュリティソリューションが重要とされるが、認証ソリューションでは、正当な権利を持っているものが苦痛なく使えることが重要である。銀行のキャッシュカードの使い方がわからなくて立ち往生している人がATMの前にいつもいたり、時々、キャッシュカードが認識されなくなったりしたら、多くのキャッシュカードユーザは、怒り、サービスの利用普及はすすまないだろう。


【執筆:武井明】

(詳しくはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec


《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第8回 「はした金」

  5. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第9回「勤怠簿」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  8. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  9. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×