パスワード認証はどのように変わるのか

サイバートラストと大日本印刷。「認証」分野のエキスパート二人が、ネット社会の現状と未来像を自由に語る。はたしてパスワード認証はなくなるのか。これからの認証技術はどのように変わっていくか。

「グローバル認証局」の信頼性

佐藤：今回は認証についてお聞かせいただければと思います。パスワードに関しては他の方々から、脆弱性のあるサイトから盗まれたパスワードが使われてしまう、パスワードリスト攻撃の手口が紹介されました。しかし、それを防ぐためにコストをかけてセキュリティを強化すべきサイトと、被害を受けるサイトは別である事を忘れてはいけません。これは IoT 機器であっても全く同じ図式です。
この課題を解消しようと「生体認証」や「パズル認証」、「ワンタイムパスワード」など、コストとリスクのバランスを考えたさまざまな認証技術が出てきています。私自身は、主にコストの問題から、パスワードはまだまだ生き残ると考えています。松本さんは認証という行為を、どのようなものと捉えていますか。

松本：端的に言えば、認証とは、それが正しいのかを確かめる行為です。例えば私は佐藤さんの事をよく知っているので、見ただけで佐藤さんだと分かります。しかしマスクとサングラスをして、本当に佐藤さんなのか分からない時は、名前を尋ねたり、声色を確かめたりする事で 「この人は間違いなく佐藤さんだ」と判断します。これが認証です。
認証には何種類かあって、現在のような二者の間で行う認証を「オーセンティケーション(Authentication)」と言います。別のケースとして、「佐藤さんは転職したという噂を聞いたけど、まだこの会社にいますか」と佐藤さんの同僚に聞く事があります。つまり、私は佐藤さんの事は知っているけれども、自分が信用している第三者の情報と照合して確かめる訳です。これを「サーティフィケーション(Certification)」と言います。

佐藤：御社では、まさに信頼性が重要な認証局のサービスを二十年近く提供していますね。

松本：弊社は、現在の例えで言うと「多くの方に信頼していただける第三者」を目指しています。多くの利用者の方々の信用があってこそ成り立つものなので、内部不正や大きな事故を起こさないように、常に注意して仕事をしています。

佐藤：御社は国内では数少ないグローバル認証局を運営していますが、認証局を簡単に説明するとどういったものでしょうか。

松本：とても単純に言うと、「少し」セキュリティレベルの高いデータセンターです。この「少し」というのがポイントです。認証局にとって、最も大事なものは認証局自身の秘密鍵です。これが窃取される事は当社にとって致命的ですし、攻撃者もそれを目指して侵入を試みます。侵入の方法はネットワーク越しだったり、人が物理的に侵入したり、色々と想定されますが、どの方法でも目標へたどり着くまでに果てしない時間がかかるように設計されています。これが一般的なデータセンターと違うところです。

佐藤：認証局は、主導している企業や団体があるのでしょうか。それとも公的機関でしょうか。

松本：認証局のビジネスは、ほとんどが民間主導です。民間でルールを作り、各社相互に切磋琢磨しています。また国際的な、セキュリティのレベルや発行する証明書のフォーマットをあわせるため、「ウェブトラスト(WebTrust)」という規格で監査を受ける必要があります。この規格は、アメリカ公認会計士協会とカナダ勅許職業会計士協会が共同開発したものです。

佐藤：認証局では、どのような視点で審査されるのですか。

松本：ISMS ^※と言われているものをフレームワークとしていて、セキュリティマネジメントがきちんとできているかが重視されます。また、サイバー的な侵入だけでなく物理的な侵入にも備えているか、万一事故が起きた場合の復旧策がすべてマニュアル化されているかなども審査されます。会社経営の継続性なども要件に入っていることも特徴的です。

佐藤：御社では、内部犯行に対しどのような対策を行っていますか。

松本：詳しい内容は公表できませんが、一つの作業を複数人数で行う事で相互に監視する事や、秘密事項を何人かに分割し、そのうちの数人が集まらないと実行できない「秘密分散」などのルールを決めています。割印のようなものですね。更に、秘密分散した人たちが結託する事もリスクとして想定しているので、その確率を考慮して人数を決めています。

佐藤：人が人を認証する訳ですね。

松本：システム運用や情報セキュリティは、よく、「技術」「運用」「組織」「人」の4カテゴリで考えられますが、弊社では「組織」と「人」を重要視しています。たとえば勤続年数に関わる規定もあり、新入社員がいきなり重要なシステムを担当する事がないようにしています。知らない人が目の前にいたら、その事自体がインシデントだと判断できるようにするためです。

佐藤：認証する対象には人やモノ、データなどがあると思いますが、どのような用途で使われているのでしょうか。

松本：まずは、モノに対して、使用者が間違いなく自分である事を信じてもらうための認証についてお話します。IT の世界では当初から認証が必要とされていましたが、以前はパソコンを起動したときのログインに使われる位でした。
それが今はどんどん用途が広がっていて、例えばパソコンであれば、本体を起動した時、ネットワークに接続する時、メールを受信する時などに認証が必要になりました。次はモノのセキュリティに広がり、例えばスマホを使う時、自分の顔を使ってログインしますね。これは、スマホを落としたとき拾った人に使われるかもしれないという可能性に対して、適切なレベルの煩雑さの認証を課していると言えます。

佐藤：データの認証についてはいかがでしょうか。私はデータの改ざん防止でよく使われるのがハッシュを使う方法だと思います。文書作成時のハッシュ値と、そのファイルを利用しようとしている時のハッシュ値を比較して、変化が無いので改ざんされていないと判断する方法です。技術的にも手軽なので広く使われていますね。

松本：電子証明書を利用した電子署名という方法もあります。書類が完成したら署名を付け、その書類がいつ作られたものであるかを保証するという方法です。ハッシュも電子署名も、データの完全性を確認するためのものと言えます。
実はこういった認証の技術は以前からあったのですが、なかなか普及しませんでした。しかし、今は社会全体の電子化が進み、作ったデータが正しいと確認する事が必要な時代になったように思います。

佐藤：そのモノが、正当なモノであるかを確認する認証もありますね。

松本：ドローンに識別番号の発信を義務付けるという話もあります。事故を起こしたドローンを操縦していたのが誰かがわからないのは問題ですから、今飛んでいるものが、予め登録されている識別番号と利用者であると識別するために使う事になると思います。

「パスワード」の課題と未来

佐藤：パスワードは現状広く使われていて、運用コストが低いというメリットもあります。その一方で、FIDO に代表される生体認証等、パスワードレスな認証方式が次々に登場しています。それらを踏まえて、認証が今抱えている課題や将来の展望についてお聞かせください。

松本：今最も重要なキーワードは多要素認証だと思います。一つを盗まれても、もう一つがないと成立しないというものです。認証方法はおおむね三種類あり、パスワードなどの「記憶」、バイオメトリクスなどの「生体」、トークンなどの「所持」に分類されます。目下の課題は要素の種類が少ない事です。例えば所持に分類されるマイナンバーカードであるとか、それぞれで使えるものが増えるといいと思います。今の生体認証の主流は、顔と指紋ですが、網膜や虹彩を利用した認証など、認証に利用することのできる顔のパーツにはいろいろな種類があります。

佐藤：生体認証は最も期待されていると思いますが、最大の弱点は簡単に交換できない事だと思います。パスワードは流出しても変更する事ができますが、例えば指紋認証ではそうはいきません。もしもセキュリティ事故で指何本分かの精密な指紋データが漏えいしてしまうと、照合に使えなくなってしまう可能性があります。指の数には限りがあるので、いつかは使えなくなってしまう可能性がありますが、この辺りはどうお考えでしょうか。

松本：生体認証は精度を上げる事も課題ですが、実装の方法にひと工夫が必要だったのではと考えてしまいます。例えば指紋の模様をそのまま使わずに、登録した時刻など別のものを掛け合せて、その時にしか生成できない認証の鍵データを作るような工夫をしていれば、現在言われているような問題は減らせたように思います。

佐藤：そのような「ワンタイムの生体認証」のようなやり方は、既に実現されているのですか。

松本：いいえ、広く使われる認証技術としては聞いた事はないですね。あれば凄く良いと思うのですが。とはいえ、まったく新しい要素が登場する可能性もあります。例えば、今は GPS の精度がとても良くなったので、多要素認証の一つとして「位置情報」がつかえるようになるかもしれません。そうすれば、あるファイルを開くには特定のエリアに入っている必要があるとか、東京にいるはずの佐藤さんが、海外でファイルを開こうとしたら検知するといった事ができるようになるでしょう。認証という行為が無くならない限り、認証技術はこれからも向上していくと思います。

佐藤：パスワードの弱点は何なのでしょうか。

松本：最大の弱点は、使っているのが本当に本人なのか保証できない事です。システム側からすると、正しい ID とパスワードを入力してきたら、それが攻撃者だろうが本人だろうが正しいと判断します。パスワードは本人しか知らないという前提のもとに認証が成り立っているの ですが、パスワードに人格を含む本人性が本当にあるとは言えません。

佐藤：ID にはメールアドレスを使うものが多く、パスワードは使い回しが多い事も問題ですね。使い回しされたパスワードがセキュリティの弱いサイトから奪われて、別のサイトで不正アクセスに使われる事も問題になっています。

松本：世間で広くパスワードが使われ始めたのは、銀行の ATM で使う暗証番号だったと思います。今はとても多くのシステムやサービスでパスワードを必要とするようになってしまったので、ユーザーはどうしても覚えやすいものを選択しがちです。また、パスワードは 8 桁以上というイメージが一般的だと思いますが、コンピューターの性能がどんどん向上しているので、この 1 ～ 2 年でいえば、8 桁ではまったく足りなくなっています。だからといって長くすれば覚えられなくなるので、将来的にはパスワードで十分とは言っていられなくなると思います。

佐藤：ある心理学者によると、人間が短期記憶で覚えられるのはせいぜい、5 ～ 9 桁だそうです。ID とパスワードを使う機会がこれだけ増えれば、使い回さないように言っても無理があるしょう。 パスワードはもう限界だという声はもう何年も前から色々な所で言われています。それでも廃止できない理由は、パスワード程に便利な認証技術を、まだ実現できていない事があると思います。

松本：技術そのものに加えて、コストも問題ですね。だから、パスワードで十分なのであればパスワードを使うのもいいと思います。ただし、認証に対して投資する余裕があるとか、投資してでも守りたいものがある場合は、パスワード単体で使うべきではありません。

認証のエキスパートが使う「最強のパスワード」

佐藤：パスワードを使った認証は非常に広く使われています。工夫で切り抜ける事はできないのでしょうか。

松本：運用のやり方の一つとして、「記憶させない」という方法もあります。たとえば、でたらめに打ったテキストをパスワードにして、紙に書いて封筒に入れ、次に使うときは必ず開ける。これも攻撃者に盗まれないパスワードのあり方の一つです。ただし、機密性の高いシステムには有効だと思いますが、日常生活では使えません。やはり攻撃者のレベルに合わせた方策が必要なのだと思います。

佐藤：いろいろな課題はありますし、生体認証を使えば利便性も出てくると思いますが、パスワードが使いやすい場面もまだまだあるように思います。実際、外部に繋がない環境であるほどパスワードに頼らざるを得ないという実情があります。例えばネットワーク管理者は何百台というサーバーを管理する場合がありますが、セキュリティ上、サーバーと外部ネットワークとの直接接続を禁止している上に、サーバールーム内ではスマートフォンの利用も禁止している事が多いのです。
そうした環境のサーバー室では、スマホのワンタイムパスワードアプリや、PCのパスワード管理ソフトのような便利なツールが使えません。最も機密性が問われる場所にも係わらず、管理者が脆弱なパスワードを使っているケースは案外多いのではないでしょうか。

佐藤：パスワードが使われるケースはまだあります。たとえば iPhone の Face ID に失敗したときも、結局パスワードを求められます。

松本：実は今、パスワードを解析するようなクラッカー（攻撃者）は少なくなっています。その一方で、認証に成功した後のセッションを盗む、入力したキーを盗む、チャレンジレスポンスを盗むといった攻撃が増えています。だからと言って、パスワードはどうでも良い訳ではありません。クラッカーが狙うのはお金やシステムといった、パスワードの先にあるものだからです。つまりパスワードは、自分を守るために必要なのです。ユーザーは、自身がコントロールできるパスワードだけでも自分で守ってもらいたいと思います。

佐藤：漏洩したパスワードのリストを見ると、「123456」のような単純なものが毎年ランクインしています。その意味ではユーザー側の問題も大きいのではないでしょうか。

松本：システム管理者にお願いしたいのは、利便性を落としてでも守りたい資産があるのならば、三回間違えたら少しの間、操作できなくするようなロックアウトの機能を必ず設けて下さいという事です。そうすれば、何百何千というパスワードを連続試行するような、辞書攻撃は出来なくなります。正規のユーザーにとっては、パスワードを忘れたり間違えたりした時に不便だと思いますが、資産を守るためには、そういった対策があっても良いのではないでしょうか。

佐藤：パスワードを登録するときに辞書でチェックすべきだと、NIST（アメリカ国立標準技術研究所）が言っていますね。多くのシステムでは、パスワードに生年月日を登録させないようなチェックはしていますが、例えば「123456」とか「football」といった単純なパスワードを登録出来てしまうことも多くあります。これはシステムを運営する企業側の問題だと思います。

佐藤：ユーザー側も脆弱なパスワードを使わないように努力すべきです。強いパスワードにするために最も重要な事は、自身の個人情報を使わない事です。例えば生年月日や住所は会員証を作ったり、SNS のプロフィールに書いていたりするものです。あるいは「誕生日おめでとう」と友達が SNS でコメントしているかも知れません。攻撃者はこの事をよく知っていて、予め攻撃対象の個人情報を調べてから不正アクセスをしてくる事もあるのです。

強いパスワードの作り方としては、自分の長期記憶の中にあるものを"タネ"にする事も有効だと思います。自分が好きな歌や、昔に覚えた円周率の 3.14 とか元素記号でも構いません。例えば、自分の小学校の校歌の一フレーズなどをコアキーワードにして、「最初にアットマーク、最後にサービス名の一部をつける」という自分だけのルールを作ります。これだけでパスワードは劇的に強化されます。繰り返しになりますが、ポイントは SNS にも書いていない、誰も知らないコアキーワードを使う事です。

松本：面白いですね。パスワードはどうしても名詞や単語が多いのですが、佐藤さんのパスワード作成法は、もう文章のようです。

佐藤：最近はパスワードではなくて、パスフレーズにすべきと言われていますね。例えばいくつかの単語、例えば「horse, carrot, eat」を頭の中で「馬がニンジンを食べる」とイメージで覚えて、パスフレーズを「horsecarroteat」とする。こういった、イメージでしっかり覚えられるものをコアキーワードにするような方法が米国で推奨され始めています。企業側のパスワード管理についても、推奨される方法が変わってきています。以前は最少文字数の制限がありましたが、今は上限を外す事が推奨されています。何十文字もあるようなパス フレーズを推奨するようになってきたので、それを登録できるようにして下さいという事なのだと思います。

松本：こういった工夫は、自分を守るためにも必要ですね。

佐藤：ただ、ユーザーが自分のパスワードを守っていても、セッションを取られてしまう可能性もありますので、アンチウイルス対策も重要です。しかし、ユーザーが自分を守る事と、企業が自分のサイトを守るのは別の話ですね。

松本：その通りです。企業側も、脆弱性の診断を定期的に受けるとか、擬似攻撃をかけて侵入されない事を確かめるといった努力が必要です。

佐藤：管理者権限を乗っ取られる事件も最近は多いようですが、多くの場合、管理者アクセスは ID とパスワードで、多要素認証が使われていないようです。管理者権限こそ、もっと強固に守られるべきではないでしょうか。

松本：一方で、大手のサービスでも SSO（シングルサインオン）を強化していく流れがあります。とても便利なのが代理認証です。これは、「正しいユーザーである」と最初に認証できれば、個別のサービスで使うパスワードは代理認証する側が入力してくれるので、例え 100 桁に設定してもユーザーは覚えている必要がないというものです。この仕組みは iPhone の iOS でも使われています。最初に Face ID を使って、確実に自分ですと保証されれば、あとはその中で高セキュリティの認証を実現できる。最初の一つめだけは ID とパスワード以外のものを使わなければなりませんが、その後は ID とパスワードで認証するという方式です。

佐藤：しかし、デバイスの認証を強固にしても破られてしまうリスクはあるので、まずは多要素認証で防御を強くする事が重要ではないでしょうか。そして仮に防御を突破された場合でも、迅速に検知する、防御と検知の両方を強化する事が必要なのだと思います。

「認証」とはアカウントに命を与える行為

佐藤：AI、IoT と、新しい技術が続々と出てくる中で、認証は将来どのように使われていくのでしょうか。

松本：現在の顔認証は、カメラを使って本人を識別しているだけです。これが、たとえばセンサーをたくさん搭載したロボットになれば、きつい言い方をしている人は怒っているとロボットが認識してその人を避ける、やさしくしゃべると喜んでいると認識して近づいてくるなど、識別結果によってロボットの振る舞いを変えるような事ができると思います。

佐藤：パスワードを使った認証は情報の一つだけを取って判断しているわけですが、AI が普及すれば、もっといろいろな要素を使って、"その人らしさ"を限りなく追求できる。そうすると、デジタルよりもアナログ的な認証が求められてくるのではないでしょうか。

松本：認証は 0（ゼロ）か 1 というデジタルですが、認証の要素がたくさんある事によって本人らしくなっているので、確かにアナログに近づいているのだろうと思います。

佐藤：これからの認証は、いろいろな要素を加味して限りなく"本人らしさ"を追求する事になるのでしょうか。

松本：そもそも認証の目的の一つは、バーチャルの自分であるアカウントというものに命を与える行為です。だから、そこに本人性を求めるという考え方は正しいと思います。

※ 本記事の内容は 2020 年 1 月 取材時のものであり、組織名や役職等は取材時点のものを掲載しております。

本記事に関連するリンク

• サイバートラスト 電子認証センター
• サイバートラスト 電子認証局サービス
• 大日本印刷株式会社のセキュリティコラム一覧