最も重要かつ最も盗まれやすい、デジタル世界の「アイデンティティ」

5月12日より開催されている「RSA Conference 2005 Japan」初日の基調講演には、かつて米政府でサイバースペース安全保障担当特別補佐官を務めたリチャード・クラーク氏が登場した。

[高橋睦美，ITmedia]

　「アイデンティティはサイバースペースの世界で最も重要なものであり、同時に最も盗まれやすいもの。このアイデンティティを守っていかなければならない」――。

　5月12日、13日の両日にわたり、セキュリティに特化したカンファレンス「RSA Conference 2005 Japan」が開催されている。かつて米政府でサイバースペース安全保障担当特別補佐官を務めたリチャード・クラーク氏（Good Harbor Consultingチェアマン）は初日の基調講演でこのように述べ、アイデンティティ盗難の危険性を重ねて警告した。

　現実の世界では、自分がいったい何者かを示すには、名前や肩書きなどいくつかの方法ある。しかし、サイバースペースではそれはただの「文字列」「数字の羅列」に過ぎないとクラーク氏は言う。

　そして、数字の羅列に過ぎない「このアイデンティティがもし盗まれてしまえば、他人があなたになりすましてお金や株のやり取り、果ては犯罪行為などをやりかねない。しかしその責任はあなたにかかってくる。そういった行為を行うのは『彼ら』ではなく『あなた』だからだ」（同氏）。

2年前のRSA Conference Tokyoにも来日したリチャード・クラーク氏

　だが残念ながら、アイデンティティをめぐる状況はますます危険になっているという。従来より存在したワームやウイルス、DDoS攻撃といった脅威に代わり、スパムやSPIM、フィッシング、ファーミングといった第3世代の攻撃が増加している。

　「こうした第3世代の攻撃ツールはすべて、犯罪や不正行為を目的に、アイデンティティの盗難を狙ったものだ」とクラーク氏。しかも、いわゆるアンダーグラウンドの世界では大量の盗まれたアイデンティティが流通し、安価に取引されているという。

　危機にさらされているアイデンティティを守るには、ではどうすればいいのか。クラーク氏は、政府による標準策定、企業によるアクセス制御といった対策に加え、二要素認証が重要だとした。現に米国政府では職員に二要素認証を行うよう定めたほか、香港、シンガポール、あるいはオンラインサービスなどでも二要素認証導入が広がっているという。

　「一意の文字列に過ぎないアイデンティティが持つ意味は大きくなっている。政府と企業、個人がそれぞれ対策に取り組まなければならない」（同氏）。

失われた信頼を取り戻せ

　続いて基調講演に登場したのは、米RSA Securityの社長兼CEOを務めるアート・コビエロ氏だ。同氏は「残念ながらこの1年で、ネットワークにおける信頼が失われ、われわれは後退した」と指摘。こうした懸念を払拭し、失墜した信頼を取り戻すためにはアイデンティティと認証が鍵になると述べた。

　コビエロ氏によると、人類は昔から「その人は何者なのか」を証明し、確認するために苦労してきたという。周りの人々の記憶に頼らざるを得ない時代から、特徴の羅列、写真、さらには身体的な特徴やDNAと徐々に道具立てを進化させながら、現実の世界での「認証」を実現させようとしてきた。

　そして今、デジタルの世界でも同じようにアイデンティティと認証が求められるようになっている。「われわれは安全で、使いやすく、しかも管理しやすい、デジタルの時代に向けたアイデンティティと認証のシステムを開発していかなければならない」（コビエロ氏）。

認証システムを実現していくには、社会的／文化的需要や予期しない事態への備えといった要素も重要だと述べたコビエロ氏

　現実の世界においてさえ、すべての要求に答えられるような完璧な認証方法は存在しない。同じようにデジタルの世界においても、「ワンタイムパスワードトークンやICカード、電子証明書、バイオメトリック認証……こういった手法をありとあらゆる条件に応じて使い分けていくべきだ」とコビエロ氏。「堅牢で信頼できるデジタルアイデンティティを実現するには、単一のアプローチではなく根気が必要だ」とした。

　同時に、今後予想されるいくつかのトレンドとして、「デバイス認証や双方向認証、『本人しか知らないこと』を用いる認証、さらにはRDIFやPDA端末を用いるワイヤレス認証といった動きが考えられるだろう」とも述べている。