サービスのデジタル化を支える個人認証の現状とこれから【第74回】

分散時代には自らが認証のコントロール権を持つ

　今後、「Web3.0」と呼ばれる分散の時代には、自らがコントロール権を持ってアイデンティティを管理し本人認証をする仕組みが必要になってくる。「自己主権型アイデンティティ（SSI：Self Sovereign Identity）」が、それで、ブロックチェーンを活用し分散認証を実現する。ログインの認証にとどまらず、本人としての認証や資格の有無など広い認証に使える。三菱UFJ信託銀行などによる1つのIDで複数サービスを利用できる共通インフラの構築は、その実現に向けた動きの1つだ。

　Web技術の標準化団体であるW3C（World Wide Consortium）が2022年7月に勧告した標準では、個人が自分自身の識別子である「分散型ID（DID： Decentralized Identifiers）」が、ブロックチェーン上に保存されアイデンティティ管理の基盤になる。証明書は「Verifiable Credentials（VC）」と呼ばれ、個人情報としてDIDに紐付けられる。DIDとVCは、「分散型公開鍵基盤（DPKI：Decentralized Public Key Infrastructure）」で管理する。

　DPKIは、ブロックチェーン上に保存され、特定の管理者なしで、個人情報の安全性を確保する。デジタル化された証明書をデジタルワレット（財布）で持ち運び、証明書の必要な部分を使って認証する方式が実現すれば、個人情報を特定の企業に預けなくても複数のサービスを利用できるようになる。

パスワードレスの時代が来るまでは対応策を怠らない

　認証は厳しくすればするほど使いにくくなり、使いやすくすればサイバー攻撃の対象になりかねない。SSOのようにパスワードレスで強固なセキュリティを実現できることが望ましい。SSOやFIDO2、そして新しい自己主権型等の認証の仕組みができあがれば、パスワードを覚える必要が減り、自身のデバイスを保持していればアクセスできる時代が到来しようとしている。

　しかし、すべてのサービスや新しい認証方式に対応するには時間がかかる。IDとパスワードに対し、どのような攻撃があるのかの動向を理解したうえで、IDとパスワードの管理を強固にすることがデジタル化社会への対応では重要だ。サービス提供者は、セキュリティ要件やアプリケーションに応じて、適切な認証方法を選択したり、認証技術を組み合わせて対応したりする必要がある。