パスワードの危険性を指摘するRSA幹部、今後の認証技術を語る

　米EMC セキュリティ部門RSAのテクノロジー担当シニアディレクター Kayvan Alikhani（ケイバン・アリカーニ）氏は、同社のアイデンティティ戦略を主に担当する人物だ。現在の役職に就く以前は、さまざまな認証技術を提供していたPassBanの最高経営責任者を務めており、RSAがPassBanを買収したことを機にRSAに参画している。

　Alikhani氏はパスワードの危険性を主張しており、パスワードに代わる認証技術の普及を推進している。パスワードの課題はどこにあるのか。また、パスワードに代わる認証技術として適切なものはどういったものなのか。Alikhani氏に聞いた。

米EMC セキュリティ部門RSA テクノロジー担当シニアディレクター Kayvan Alikhani氏

パスワードの代わりになるものを探していた

――RSAが買収したPassBanは、どのような技術を提供していたのですか？

　PassBanでは、ユーザー認証がもっと便利で簡単になることを目的に、パスワードの代わりになるものを探していました。特にタブレットやスマートフォンで複雑なパスワードを入力するのは面倒ですからね。そこでPassBanでは、認証方法を12種類用意し、ユーザーが好きな方法で認証できるソリューションを提供したのです。その認証方法とは、顔や声などの生体認証から、ジェスチャー、ジオロケーションなどさまざまです。また、RSAトークンもサポートし、ワンタイムパスワードも利用できるようにしていました。RSAに買収されたのは、創業して約1年半後の2013年7月のことです。

――RSAに買収された後、PassBanの技術はどのようにインテグレーションされていったのでしょうか。

　まず、12種類あった認証方法ですが、ユーザーが混乱しないよう数を減らしていきました。現在サポートしている認証方法は、ジェスチャー、生体認証、ジオロケーション、ワンタイムパスワード、アウトバウンド通知があります。アウトバウンド通知とは、さまざまなサービスにログインしようとする際、モバイルデバイスにセキュアメッセージが送られ、ユーザーがそのメッセージに対して認証ボタンを押すことでサービスにログインできるという仕組みです。または、メッセージが送られてきた際、特定の方法でデバイスを動かすことによってログインするという方法もあります。いずれにしても、この手法はSMSなどのメッセージよりも簡単で安全です。SMSは透明性の高いテキスト形式ですし、フィッシングも簡単です。一方、われわれが提供しているアウトバウンド通知は、すべて暗号化されています。

　今後は、また少しずつ認証方法を増やすかもしれません。例えばFIDOです。2012年のPassBanの創業時には、FIDOはまだ数社がアライアンスを組んでいる程度でしたが、今ではRSAはもちろんのこと、Microsoft、Google、Intel、PayPal、NTTドコモなど、さまざまな大手企業が加入しているほか、すでにFIDOベースのソリューションも登場しています。勢いもありますし、今後FIDOは重要な認証方法のひとつとなるでしょう。

認証情報はサーバーではなくデバイス側にある

――FIDOの何がいいのか、教えていただけますか。

　現在のパスワードベースの認証の仕組みは、ユーザーが入力したパスワードがサーバーに送られ、サーバー上でパスワードを照合するようになっています。さまざまなサーバーが不正アクセスされていることを考えると、これは大きな問題です。攻撃者にとっては、山のような数の認証情報がサーバーというひとつの便利な場所に集約されていることになるのですから。

　一方FIDOは、デバイスの信頼性で認証する仕組みで、認証情報はサーバーではなくデバイス側にあります。つまり、デバイスとユーザーの間で認証がとれると、デバイスがサーバーに対してこのユーザーはアクセスを許可できる人物だと伝えるのです。その際、サーバーに認証情報が送られることはありません。信頼されたデバイスが適切なユーザーであることを認証したという前提で、アクセスを許可するのです。

　この手法だと、攻撃者がサーバーを攻撃しても、サーバーには認証情報が存在しないため被害は限定的です。これまでは1億のパスワードを盗もうと思えば1億個のパスワードが詰まったサーバーを狙って攻撃すればよかったのが、これからは1億個のパスワードを盗むには1億個のデバイスを物理的に盗まなくてはいけなくなるのです。また、ユーザー側にしても、デバイスは個人が所有しているものですから、認証情報をサーバーに送る必要がないことでプライバシーを保てます。ユーザーが利用するサービスは、デバイスを介してのみユーザーとつながりを持てることになるのです。

すぐにパスワードがなくなることはないが…

――通常のパスワード認証は、今後なくなるのでしょうか。

　パスワードは、サーバーで管理されていて危険性が高いことは先ほどお話しした通りですが、フィッシング被害に遭いやすいことや、ユーザーが同じパスワードを複数のサイトで使い回しているといった問題もあります。多くのサイトは強固なパスワードを必要としていませんし、パスワードの保護も十分にできていないと感じています。

　ただ、パスワードをなくすための準備はまだ整っていないため、すぐにパスワードがなくなることはないでしょう。そのため、何らかの二要素認証を取り入れるべきだと考えています。ワンタイムパスワードや生体認証、FIDOなど、二要素認証のための技術はすでに数多く存在しているのですから。

――モバイルセキュリティ分野に長年携わっていらっしゃいますが、この分野で今後どのようなことが起こると考えますか。

　ネイティブで生体認証に対応したデバイスがどんどん出てくるでしょう。OEMで顔認証対応デバイスを提供している企業はすでにありますし、赤外線センサーを搭載することで虹彩認識ができるデバイスを開発中の企業も出てきています。虹彩認識は、指紋認証よりも正確でなりすましも難しいとされている技術です。ただ、そのようなデバイスを作るにはコストもかかりますし、ユーザーも認証のために目をセンサーに近づける必要があり、あまり便利ではありません。一方、指紋認証は、デバイスへの搭載コストも低く簡単であることはもちろん、電子機器デバイスが存在するよりも古くから使われてきた方法でなじみもあるため、普及しているのです。

　このほか、目の血管のパターンを認識する技術も登場しています。PassBanが2012年に創業したころには難しい技術でしたが、カメラの解像度もどんどん向上するなどデバイスがパワフルになるにつれ、さまざまな認証方法が可能となってきています。

　今後は、使いやすく正確で、なりすましが難しいといった特徴を持つ認証方法が普及してくるでしょう。そうなれば、パスワードの必要性も下がると考えています。