Auf einen Blick
パスワードに代わる「パスキー」は顔認証などでログインを簡略化し、フィッシング詐欺にも強い。しかし、アカウント登録時の「身元確認」にはマイナンバーカードなどが不可欠。この二つが揃って初めてデジタル社会の安全が守られる。
KI-generierte Zusammenfassung
Warum es wichtig ist
パスワードだけでは本人確認が困難になり、高度な詐欺手法が横行する中で、より安全で簡単な認証方法が求められている。
インターネットの世界で「私は登録ユーザーです」と証明するのは簡単なことではありません。これをクリアしようとしたのが、あなただけしか知らないはずの「パスワード」でした。
しかし、もはやパスワードだけで本人を確認することは不可能です。パスワードだけでなく、スマホに送られる認証コード(多要素認証に使う確認コード)などすらも、背後でリアルタイムに盗み取る高度な詐欺手法が当たり前のように使われており、従来の対策は攻略されつつあります。
Webサイトであなたがあなたであることを証明する、「当人認証」の最新の方法は、最新の方法は「パスキー」でしょう。日々のスマートフォン利用で何度も実行される「ログイン」を、より簡単に、よりスピーディーに実行するための技術です。パスキーを使えば、面倒なパスワード入力の代わりに、顔認証や指紋認証、あるいは端末の暗証番号(PIN)をスマホに設定するだけでログインが完了します。
「生体情報をインターネットに送信するなんて危ないのでは」と思うかもしれませんが、心配ありません。背景には「公開鍵暗号方式」という非常に強固な数学的仕組みが使われています。あなたの顔や指紋のデータ、そしてログインのための「秘密の鍵」はスマホの安全な領域(セキュアエレメント)から一切外に出ません。スマホ自体が「世界に一つだけの物理的な鍵」になり、持ち主の生体認証でその鍵が開く、と考えてください。
パスキーは指定された本物のドメイン(URL)のサイトとしかやり取りをしないため、人間がだまされて偽サイトを開いてしまっても、スマホが自動で偽物だと見破るため、だまされて鍵を渡してしまうことがありません。フィッシング詐欺に対して非常に強力な盾になります。
パスキー(およびそのベースとなっている技術であるFIDO2)は、あなたが誰であるかを非対面でも証明できる、優れた技術です。しかし、本人確認はそれだけでは足りません。
もう一つの課題「あなたはどこの誰?」
もう1つの重要な課題が、「そもそも、そのアカウントに登録された氏名や生年月日は、実在する本人のものか」という「身元確認」です。最初にアカウントを作った人が、他人の名前を騙(かた)る偽物だったら、どれだけ強固なパスキーを使っていても「偽物の本人」が守られるだけになってしまいます。警察官っぽい制服を着ていても、中身が偽者かもしれないのと同じです。
これはさらに難しいものです。ここまでのものが必要なサービスとしては、リアルと強くひも付くもの、例えば携帯電話事業者や証券会社、銀行などが挙げられるでしょう。ログインのたびに設定する必要はありませんが、初回登録時には身元確認をしっかりやらなければなりません。身元確認がきちんとできていても、当人認証がなければ見知らぬ誰かのアカウントとなってしまいます。この2つがそろってこそ、デジタル社会の安全を守ることができるのです。
私たちがそんなことを証明できるのでしょうか。対面であれば自動車運転免許証を出すことが多いと思いますが、非対面ではどうでしょうか。実は、多くの人がこれを実現するデバイスを持っています。それこそが「マイナンバーカード」です。ここにはパスキーでも触れたセキュアエレメントが含まれ、公開鍵暗号方式の暗号鍵が含まれています。それを、対面で(市役所で)身元確認の上で渡していますので、「マイナンバーカードのチップにアクセスできる情報を持つ、マイナンバーカードそのものを所持している人」という形で身元確認と当人認証を実現しています。なかなかそう認識している人は少ないと思いますが、実はマイナンバーカードとは面白いデバイスなんですね。
2つの車輪が揃って、初めて安全になる
この点について、デジタル庁の資料でも詳しく説明されています。このような性質を持つものですので、マイナンバーカードの受渡しや、証明書の書き換えというのは、そう簡単に非対面では実現してはならないのです。
つまり一言で本人確認といっても、主に日々のログイン時に必要となる「今操作しているのは登録した本人か」をシステムで確認する当人認証と、初回登録時に必要となる「あなたはどこの誰か」を公的機関が証明する身元確認に分けられます。もし警察から連絡があったとしても、それは悪意ある者かもしれません。もしかしたら、未来の世界では本物の警察かどうかを判別するための電子的な署名確認方法が出てくるかもしれませんね。
最近では、野村證券やみずほ証券などがパスキーを新規登録する際にマイナンバーカードによる本人確認(身元確認)を必須とする事例が出てきました。「身元確認」と「当人認証」を技術で実現する動きといえるでしょう。
対面ですら本物か見抜くのが難しくなった時代、ネット上ではなおさらです。フィッシングや詐欺が当たり前となっている世界で身を守るためには、焦らせる攻撃者の狙いに乗らないよう、「一度立ち止まって確認する」意識が重要です。
手続きが増えて一見面倒に思えるかもしれませんが、これら最新の技術は全て「あなた」を守るために用意されたステップです。安全の裏側にある仕組みを知り、ぜひ賢く味方に付けてみてください。
Worauf zu achten ist
KI-Ausblick — Möglichkeiten, keine Fakten
パスキーとマイナンバーカード連携が、金融サービスを中心に標準的な認証方法になる。
Wahrscheinlich · Mittelfristig
Offene Fragen
- マイナンバーカード以外の身元確認手段は?
- パスキー普及の障壁は何か?
