パスワードや暗証番号の作り方と未来予想図：萩原栄幸の情報セキュリティ相談室（3/3 ページ）

[萩原栄幸，ITmedia]

「あなたがそこにいる」という意味

　パスワードとは、言ってみれば「あなたがそこにいる」「顔が一致している」という情報の代わりなのかもしれない。そう考えた矢先に、英国でネットワーク化されたごみ箱がスマートフォンを追跡しているというニュースを耳にした。

　ニュースサイトなどによれば、ロンドンに設置されているリサイクルボックスのうち、12カ所に追跡装置が設置されていて、スマートフォンの動きや機種、向かう先、速度などが記録されていたという。実に50万台以上が監視されていたようだ。一部記事ではスマートフォンのこうした情報から人間の行動を分析し、マーケティング的なアプローチが可能なデータベースが作成されるだろうと解説している。

　全体的に否定的見解が多いが、筆者は現在の技術でここまで簡単にスマ―フォンをトレースできるなら――例えばこの技術とPayPalのサービスが有機的につながる――個人が意識することなく「本人である」ということを自動的に証明できる方法が実現するだろうと感じた（あくまで論理の問題で法的や倫理上は考慮していない）。これが素晴らしいと考えるか、恐ろしいと考えるかは、やや難しい……。

　パスワードが「次善の策」として生まれた技術とするなら、今後はSquareやPayPalのような方法にとって代わるかもしれない。数十年後の若者にとってパスワードは、既に“博物館行き”の技術となっているだろう。その時には、現実社会だろうとネット世界だろうとシームレスに、個人の認証が自動的に行われる。買い物をする時に必要なクレジットやデビットカードも不要で、単なる決済方法の「手段」として選択できる程度の差でしかなくなっているのかもしれない。

　一見するとバラ色の未来だが、このシステムに侵入すれば、何でもできてしまう。それこそ、映画で見たような脅威の世界が現実の姿になる。それでも大部分の人間は、このシステムがガチガチにセキュリティの壁で守られ、「よもや突破されるはずなどない」と信じて疑わないのかもしれない。

　我々は、好むと好まざるとに関わらず、現状では「パスワード」という極めて脆弱な「文字列」を本人認証の1つとして使い、生活している。情報セキュリティの基本である「自分の身は自分で守る」に立って考えるなら、少なくとも悪さを行う側の人間が「この人物は狙えない」と思わせることが最善の防御である。

　だからこそ、パスワードの文字列は4桁よりも8桁、そして12桁、15桁と多い方が狙われにくい。狙われたところで解読は困難であり、悪さを行う側の人間が諦めてしまう確率は高い。1段階の認証よりも多段階の認証の方が遥かに突破は難しい。文字列も辞書に掲載されているものよりはランダムな方が困難だ。こういう基本的な事実を一つひとつ積み重ね、防御すべきものと、そうしなくてもいいものを区別し、管理する。そして、万一漏えいした場合でも、被害を最小化し、全体が浸水することのないように工夫していかなければならない。

　これまで筆者が述べてきたことは、さまざまなシナリオの1つに過ぎない。筆者が勧めた方法を許容できないという人もいるだろうし、それは当然だと思う。ただ、そろそろ「パスワードの神話」から脱却し、真剣にその崩壊の現実を受け止めるべき時期に来ているのは間違いない。その状況の中で賢く工夫しなければならないのである。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。