インターネットサービスにおける認証はどう変わるのか――、ISRが「大手SNSの認証機能有償化」や「パスキー認証の拡大」などを解説

　株式会社インターナショナルシステムリサーチ（以下、ISR）は16日、「インターネットサービスにおける認証はどう変わるのか？～SNSで相次ぐ認証強化の有償提供から考える、今後の認証の変化～」をテーマにした記者説明会を開催した。今回の説明会では、SNSを運営するTwitterとMeta、大手2社の認証機能有償化の動向を取り上げつつ、今後のインターネットサービスにおける認証に対する意識の変化について紹介した。

　まず、SNSにおける認証機能の有償化への動きとして、米Twitterでは2月15日、テキストメッセージ／SMS方式の2要素認証を、3月20日から有料サービス「Twitter Blue」の一機能として提供することを発表した。「Twitter Blue」は、モバイル（iOS、Android）では月額11米ドル（1380円）、ウェブサイトでは月額8米ドル（980円）のプレミアムサブスクリプションサービスとなる。有償化した理由について、Twitterブログでは、「悪意のある業者によって電話番号ベースの2要素認証が悪用されるのを見てきた」としている。また、CEOのイーロン・マスク氏は、「Twitterは電話会社から偽の2要素認証のSMSメッセージで年間6000万ドルの詐欺を受けた」とツイートしている。

　FacebookとInstagramを提供するMetaは、月額制の「Meta Verified」を一部地域で試験的に導入することを発表した。「Meta Verified」では、政府発行IDによって本人であると確認がとれた場合、認証バッジが付与される。また、オンラインオーディエンスが増加している人々をターゲットにする可能性のあるなりすましに対して、積極的にアカウントを監視することで保護を強化するという。オーストラリアとニュージーランドでテストを開始しており、利用料金はモバイル（iOS、Android）が月額14.99米ドル、ウェブサイトが月額11.99米ドルとなる。

　こうした、SNSの認証機能有償化が与える影響について、ISR 代表取締役のメンデス・ラウル氏は、「お金を払ってでもセキュリティを強化したいユーザーは有償プランを利用する。しかし、お金を払ってまでセキュリティ強化の必要はないと考えるユーザーは無償のまま使い続け、セキュリティレベルが低下してしまう可能性がある。いずれにしても、SNS大手がセキュリティに関する取り組みや認証強化を発表することで、関心のないユーザーでも少なからずセキュリティに意識が向くようになる」としている。

インターナショナルシステムリサーチ 代表取締役のメンデス・ラウル氏

　一方、サービスを利用するユーザー側の環境にも、認証方法の変化が起こり始めている。Google、Apple、Microsoftは、2023年にかけて、FIDOアライアンスとWorld Wide Web Consortiumによって策定された共通のパスワードレスサインイン標準（パスキー認証）のサポートを拡大する計画を発表。国内でも、ヤフー「Yahoo! JAPAN ID」、KDDI「au ID」、NTTドコモ「dアカウント」と大手ベンダーがパスキー認証への対応を発表している。

　パスキー認証の特徴としては、FIDO2規格に基づいており、端末内蔵の生体認証器を利用して顔や指紋による認証を行うことが可能。また端末内部にあるセキュリティチップに認証資格情報が保存されるため、フィッシングなどによる認証情報の漏えいや窃取に耐性がある。利便性の面でも、同じOSを搭載する複数の端末で認証資格情報を同期できるため、端末ごとに認証資格情報を登録する必要がない。紛失や故障などによる端末買い替えの際にも、認証資格情報を再登録せずに利用が可能となる。

「CloudGate UNO」でのパスキーによる認証（PCの場合）

　「パスキー認証を利用することで、生体認証やPINを用いて端末のロックを解除するのと同じ動作で、アプリやWebサイトにログインすることができるようになる。また、生体認証などセキュリティ強度の高い認証方法によるログインがより身近なものになる。これによって、パスワードを使わない認証が普及し、一般的なものとして定着していく」との見解を示した。

「CloudGate UNO」でのパスキーによる認証（スマートフォンの場合）

　また説明会では、パスワード管理ツールを提供する米国企業が不正アクセスを受けた事件に関する最新情報についても報告した。この企業は昨年12月に、本稼働データのバックアップを保存するために使用しているクラウドベースのストレージサービスに第三者から不正アクセスがあったことを公表。これまでの調査で、侵入者は昨年8月のインシデントで盗まれた情報を使って、同社のバックアップ用クラウドデータベースから顧客の基本アカウント情報および関連メタデータを含む情報をコピーしていたことが判明していた。

　そして今回、3月1日に発表された声明では、昨年8月の1度目のインシデントと昨年11月の2度目のインシデントの間に、長期間の不正アクセスがあったことが判明。上級ITエンジニアの個人PCから侵入され、クラウドストレージ環境での偵察活動や情報の抜き取りなどの活動が行われていたことが新たに明らかになったという。

パスワード管理ツールへの不正アクセス事件で新たに明らかになったこと

　最後に、3月に米国バイデン政権から発表された「アメリカ国家サイバーセキュリティ戦略」について解説した。かつては資金力のある少数の国だけが利用できた攻撃的なハッキングツールやサービスは、外国の商用スパイウェアを含めて、現在では広く利用できるようになっている。こうした状況に対して、「アメリカ国家サイバーセキュリティ戦略」では、（1）重要インフラの防衛、（2）脅威要因の破壊と解体、（3）セキュリティと柔軟性を持つ市場力の形成、（4）柔軟性のある未来への投資、（5）国際的パートナーシップの構築――、の5つの柱を中心に、官民や国際的なパートナーとの協力体制の構築と強化を目指すとしている。

「アメリカ国家サイバーセキュリティ戦略」の概要

　ISRでは、このうちの第3の柱「セキュリティと柔軟性を持つ市場力の形成」に組み込まれていた項目「ソフトウェア製品およびサービスに対する責任を確立する法律を策定」に注目。「この法律が成立すれば、法律を順守する企業に対しては、連邦政府の購買力と助成金制度を利用して、セキュリティにインセンティブを与えることができる。一方で、サイバーセキュリティの義務を果たさない機関や請負業者に対しては民事訴訟を提起することが可能となる」とした。

　ラウル氏は、「今後ベンダーは、システムの設計、開発、運用をする時には、サイバー攻撃を受けることを前提にした『Security First』の考え方を取り入れることが重要になる。『アメリカ国家サイバーセキュリティ戦略』での法制度の動きにもあるように、これからのベンダーは、サイバー攻撃の被害が出た際に、その責任を厳しく追及されることになるだろう。しかし、ユーザー側もベンダーに責任を求めるばかりでなく、サービスを導入する際に、ユーザー自身でそのベンダーが『Security First』の考え方を持っているかどうかを見極める責任がある」との考えを述べた。