イベント / EVENT

平成25年度 第3回 Q&A

第3回 2013年8月28日(水)

ネットの上の"あなた"~ 安全・便利な本人認証と個人識別の今 ~
岡村 久道 (国立情報学研究所 学術認証推進室 特任教授)

講演当日に頂いたご質問への回答(全17件)

※回答が可能な質問のみ掲載しています。

私を特定するのにユーザ/パスワード以外の方法は、何かありませんか?特にWebサービスで。定期的にパスワードを変えるのは20~30もパスワードを持っているのでしんどいです。

Webサイト毎に異なるアカウントを一つに統合する仕組みが、まさに今回ご紹介したシングルサインオン技術を利用したID連携です。SAMLやOpenIDによるWebサービス間のID連携が広まれば、覚えておくパスワードの数は少なくなります。パスワード以外の方法になったとしても、ID連携が進まなければ、それぞれのWebサービス毎に何かを用意したり、生体情報を登録したりする手間が残ります。

SSO便利で、何かサービスに登録するとき、Twitter連携、facebook, Google アカウント認証がないと面倒なので使わなくなっているほどです。でも、上のSSOが全部、外国の一企業が運営していることが気がかりです。国や研究機関がかかわった方がなんとなく安心するのですが、そのような公的機関の動きはあるのでしょうか?あるようでしたら公的機関の運用がはやらない理由はどこにあるとお考えですか?無いようでしたら、SSOがより安心できるようになるために必要なことについてお考えございましたら教えてください。

Yahoo! Japanは、ID連携の最新技術であるOpenID Connectの採用にも積極に取り組んでいて、アカウント管理も日本で独立しているようです。公的機関としては、マイナンバー制度に関連して検討が進められているようですが、まだ時間がかかりそうです。また、公的機関が定めたルールに基づいて、認定を受けた民間企業に登録したアカウントを活用する制度が米国などで始まっていますが、日本においても同様の制度の検討が始められています。SSOを安心して利用するためには、第三者機関による評価が重要であり、上記の「ルール」はそのためのものです。

「安全な10のパスワード」というのが発表されていたのを見ましたが、そういうものが公開されると逆に危険になってしまうのではないでしょうか?

そのような発表は、簡単なパスワードは危険だということを、多くの人に知ってもらうための教育的な狙いもあります。パスワードの作り方のアイデアは、そのまま使うのではなく、自分なりにアレンジすることが重要です。数字や記号を混ぜるのは、総当たり攻撃や辞書攻撃で簡単に破られないようにするための工夫です。空白文字を混ぜるのも一つのアイデアだと思います。

公的な機関がSSOサービスを提供する可能性はありますか?住基ナンバーなどがあるのですから。OPEN IDなども。
プロバイダへのログイン情報では実現できないのでしょうか。

マイナンバー制度に関連して検討が行われているようです。公的機関のサービスを利用するためのマイポータルと呼ばれているものができれば、それにアクセスするためのアカウントが提供されることになると思われますが、そのアカウントで民間のサービスにもSSOできるようになるかは不明です。逆に、民間のIDを利用して、上記のマイポータルにアクセスするような仕組みは、民間IDの第三者評価の制度ができれば、可能になるのではないかと思われます。

何をきっかけで、なりすまされた事が判るのでしょうか。

Webサービスの一部には、前回のログイン時間等を表示するようになっているものがあり、毎回きちんと確認することで、自分以外の人がログインしていないか確かめることができます。また、ログインしたことを携帯メール等に通知するものもあります。
暗号技術の話題であれば、電子署名の偽造の困難さによって、なりすましが検出できます(秘密鍵を知っている人でなければ計算が困難、という仕組みを利用)。

企業内において、多要素認証の実例を教えてほしい。

「多要素認証」でWeb検索すると、様々な製品が見つかります。例えば、ワンタイムパスワードを利用するための計算機を利用するものや、数字や文字でなく図形を選ぶもの(毎回、並びが変わる)、携帯電話と組み合わせて認証するもの(ログインしようとすると、電話がかかってきて、プッシュトーンで応答する、など)があります。

認証サービスIDPへ一元管理することにより、サイトサービスSPから情報がもれたか判断できるのでしょうか。各サイトサービスごとに個人が管理している場合には、どのサイト(メール)サービスから情報がもれたかは判断できるが、IDPに託した場合、どうなるのか。却って安全性が欠けてしまうような気もする。よほどの技術安全性を確保したIDPでないと心配だと思います。

サービスごとに、登録する情報を少しずつ変えておくことで、どのサービスから情報が漏れたか知ることができるわけですが、これと同様の仕組みは、ID連携においても必要になってくるだろうと思います。ただ、これも、個人が密かにやる分には良いのですが、仕組みを統一してしまうと、仕掛けが見破られてしまうので、難しいところです。

メールで暗号化通信が普及しない要因をどう考えますか?私が使っても、相手は平文(プレーン)で送信してきて、それもフル引用したもので送ってくることが全員といっていいなどの有り様です。

何か大きな事件が起こらないと、意識は変わらないのかもしれませんが、そもそも情報リテラシー教育が不足していることも事実だと思います。暗号するしないに関わらず、不必要なフル引用も避けるべき、という作法も少数派になりつつあるように思います。

盗職やなりすましを防止するためにメールを暗号化して送受信するにはどうすればよいでしょうか。具体的にどこで暗号キーや公開キーを取得して、メールソフトにどのようにセットすればよいのか?送信相手ごとにキーを取得する必要があるのでしょうか?

電子メールの暗号化の仕組みとしては、PGPやS/MIMEなどがあります。PGPは自分でキーを生成します。S/MIMEの場合は、個人証明書を提供する業者から取得する必要がありますが、無料で発行しているところがあります(ComodoやStartComなど)。設定の方法は、それぞれのメールソフトの説明書を参照してください。ご指摘のように、暗号化したメールを送る場合は、まず相手の公開鍵証明書が必要になるので、先に、相手から署名付きのメールを送ってもらうなりして、入手しておく必要があります。

P5 4(否認)の説明がなかった。

否認の説明は省略してしまいましたが、否認は第3者による介入ではなく、通信する二者の間における話になります。Aさんは、Bさんにメールを送ったけれど、後になって、Aさんが、「自分は送っていない。きっと誰かが成りすましたのだ。」と嘘をついたとします(これを否認と言います)。でも、メールにAさんの電子署名がついていれば、成りすましではないことがないことが確認できます。

学生さんが就職サイトや、就活のために企業サイトへアクセスする場合、本日伺ったシステムはゲートを高めているのでしょうか。

ひやかしで就活する学生を排除する効果はあるかもしれません(笑)。逆に、就活サイトで大学のIDが利用できるようになれば、大学として学生の身分を保障したアクセスが可能になるので、学生の自己申告でなく、確実な在学情報が入手できるようになるでしょう。ID連携によって、大学と企業とかもうちょっと密な関係になれると良いかもしれません。

個人認証は、技術的にはどの様な方向に進んでいくのでしょうか。iD+Pinは永遠とは思えないですが。

ID+PINで十分なサービスはたくさんあるので、ID+PINがなくなることはないだろうと思います。しかし、ID+PINより厳密な個人認証を必要とするサービスも、今後増えてくるので、高度な認証方式も普及するなかで使い分けで共存していくのではないかと思っています。

パスワード管理ソフト(サイト)と認証サービス(Idp)との違いは何ですか?信用できるサイトだから安全でしょうか?

一見、同じように見えますが、パスワード管理ソフト(サイト)は、それぞれのサイトにパスワードを送ることになるので、どこかで、パスワードの漏洩が発生する可能性が残ります。一方、認証サービスは、それぞれのサイトにパスワードを送るわけではないので、その部分において原理的にパスワードの漏洩は発生しません(IdPだけでパスワードをしっかり守れば良いことになります)。パスワード漏洩対策を行うべき範囲が局所化できる、という点において、認証サービスの方が優れています。さらに、この認証サービスがどの程度しっかりパスワードを管理しているかを評価することが、信頼につながります。

SSO技術において Idp-SPの認証、承認は公開鍵暗号を利用しているのでしょうか。

その通りです。IdPはSPにパスワードを送る代わりに、認証に成功したという事実を、IdPの持つ鍵で電子署名を付けてSPに送ります。これにより、SPは、確かにIdPにおいて認証が成功した利用者であることが確認できるのです。

配布資料 P4インターネット上のセキュリティ脅威において4(否認)とありますが、1)これは正規ユーザが正しい手続きでアクセスしているにも関わらずロックアウトされてしまう状態のことでしょうか。 2) 1)のとおりであるならば、インターネット上のフリーサービスなどにおいて、"否認"が発生するような場合の対処、対策、制度化などについての現状をお教えください。

否認については、10番目の質問の回答をご覧ください。ご質問のロックアウト否認とは違う話になります。たとえば、サービス利用時の契約(約款など)の話だとすると、確かにその点も問題があるように思います。約款をよく読めば書いてあるかもしれないけれど、誰もが隅々までしっかり理解できないようなものを提示され同意したよねと言われても、不合理なものが含まれていれば無効である、といった議論もあるようです。

生体認証(指紋等)がネットワークになぜ普及しないのか。(これにより犯罪は相当に防げる)

普及させるためには、それにかかる費用も含めた検討が必要になります。指紋認証デバイスは随分安くなってきているようなので、ID連携システムのIdPが指紋認証デバイスをサポートするようになれば、普及が進むかもしれません。スマートフォンの指紋認証機能と連携するというのが一つの方法でしょうか。

パスワードは利用者に「記憶させる」べき情報ではない。(利用者が気づかなくても ネットワーク側で保護すべきである(郵便のように)。

郵便は、受取人が本人かどうかをある程度確認するサービスは提供していますが、差出人が本人であるかどうかを確認する手段は持っていません。パスワードは、差出人が本人であることを確認する手段でもあるわけですが、確かに「パスワード」である必要はなく、生体認証でも構わないでしょう。ただし、寝ている間に指紋を利用されたりする可能性もあるので、本人の意思によること(本人性)を確認する何らかの手段は必要になるだろうと思います。

shimin 2013-qa_3 page2525

注目コンテンツ / SPECIAL