識別・認証・認可の違い—板倉征男・外川政夫『ネット社会と本人認証』
この記事では、書籍『ネット社会と本人認証』をレビューします。インターネット上の契約当事者が意図する相手かどうかを確かめる手段としての「本人認証」を、識別、認証、認可といったプロセスに細かく分けて解説します。
ネットの「認証」を基礎から学ぶ
取引や契約を行う場面において、
- 相手が意図した本人であるかを確かめる
- 自分が本人であることを相手に証明する
ことは、詐欺やなりすまし等のトラブルが発生するリスクを最小化し、後の責任の追求をしやすくするための重要なプロセスです。
契約書面に押印し、それを店頭や訪問先などで対面で取り交わすプロセスを踏んだ場合、五感で感得できる情報が豊富にあるため(例:紙・朱肉の触感、押印や署名をする人の表情や手の動き、会話内容や声色など)、わざわざ相手に身分証明書等を出させてチェックしなくとも、何か異常があれば気づける手がかりがたくさんあります。
一方、オンラインで取り交わす契約においては、通信回線を通して感得できる情報量が制限されることで、詐欺やなりすましを狙う悪意者を見破ることが難しくなる ケースがあります。そのため、取引や契約の内容によっては、相手方が目当ての本人であるかを事前に確認する「認証」プロセスが重要となります。
今後、マイナンバーカードの普及により、特に重要な影響を及ぼすオンラインサービスや電子商取引では、これを用いて「電子認証」が行われるケースが増えていくことも想定されます。(関連記事:電子認証とは—電子認証基盤の全体像とマイナンバー制度)。
本書は、そうしたインターネット取引において重要性が高まる「認証」全般に関する知識を、広範囲・網羅的に学ぶのに最適な学術書です。
まず「個人を識別」し、次に「本人であることを認証」し、「アクセス権を認可」する
本書の特徴は、
- 識別
- 認証
- 認可
といった、一見すると誰にとっても自明な日本語のように見えて、その意味を自分で説明しようとするとつまずきがちな 基礎的なセキュリティ概念と用語法を抑えることをおろそかにせず、JISハンドブックやISO等の定義も引用しながら、丁寧に紐解いていく点にあります。
識別(Identification)
辞書的には「みわけること」(広辞苑第7版)のように自明な言葉に見えて、実は多くの情報セキュリティ関連書でも説明に苦慮しているのがこの「識別(Identification)」です。
JISハンドブックでは、「識別情報」とは「利用者を識別するためにデータ処理システムが利用する文字列またはパターン」であると、循環参照的な説明にとどまっています。バイオメトリック認証を対象とするISO SC37では、「識別とはシステムに提示された本人の特徴を示す情報とあらかじめシステムに登録された情報を1対nで比較し、設定したしきい値上の最も近いものを探すこと」と定義されているようです。
要は、ある個人とその他の人とを違う主体として一意に区別できる状態にすること をいいます。
区別の手法としては、あらかじめ「登録(Registration)されたIDと本人のIDを照合してマッチングを取ること、1対nの照合処理をすること」が基本となります。
認証(Authentication)
識別された者が本当にその人であるかを確認すること を、認証(Authentication)といいます。日本語以上に英語にそのニュアンスが強く現れているとおり、真正性・正当性を問うプロセスです。
JISハンドブックでは、「身元の認証」を「データ処理システムがエンティティを認識するため試験を行うこと」と定義しています。
本書では、
- 識別の段階では、1対nの照合にとどまるのに対し
- 認証の段階では、1対1の確認を行う
点に着目して説明されています。
認可(Authorization)
こうした識別と認証のプロセスをクリアした結果として、その利用者個人にシステムへのアクセス権を付与するなど、何らかの権利を与えること を、 認可(Authorization)といいます。
これらの識別→認証→認可一連のプロセスをわかりやすく図示したものが、本書32ページに示されています。本書はこのような図表での整理が豊富に掲載されていて、難しい概念の理解を助けてくれます。
パスワード認証とPKIの比較
認証技術を学ぶ初学者が必ずと言っていいほどつまずくポイントであり、苦手意識が生まれがちなのが、公開鍵暗号技術を利用したPKI認証の仕組みについての理解です。
情報セキュリティ関連書では「アリスとボブが……」で始まる解説が典型的です。本書にも「アリスとボブ」的典型解説もあるにはあるのですが、そうした技術的な説明を始める前に、PKI方式を採用するとどんなにいいことがあるかについて、パスワード方式との比較で理解させることに力点 が置かれています。
36ページでは、以下のようなシンプルな表で比較整理してみせることで、「認証情報」と「検証情報」に同じパラメータを用いることとなるパスワード認証方式の弱点を浮き立たせています。
| 方式 | 認証情報 | 検証情報 | 認証安全性 | 暗号通信 |
|---|---|---|---|---|
| パスワード認証 | パスワード | パスワード | 低 | 必須 |
| PKI認証 | 秘密鍵 | 電子署名データ(公開鍵利用) | 高 | 不要 |
さらに、以下引用にあるような説明と組み合わせると、苦手意識を抱いていた方も、PKI方式採用の必要性とパスワード方式との本質的な違いが腹落ちするのではないでしょうか。
ほとんどの不正行為の根源は、パスワードという秘密鍵の送付や取り扱いから生まれていることから考えれば、いかなる状態でも一切秘密鍵を手元から離さないで本人認証ができる PKI認証方式がいかに画期的であるかが分かります。 (P39)
2010年8月刊行のため少し古い記述もあるものの、情報セキュリティ系の書籍にありがちな専門誌の特集記事を再加工して出版した書籍と違う、地に足のついた文献をお探しの方に推薦します。
(橋詰)
