ゼロトラスト、Digital Identity Wallet、Passkey――“デジタルアイデンティティー”の歴史と最新動向：ITmedia Security Week 2022 冬

2022年11月に開催された「ITmedia Security Week 2022 冬」の「クラウド＆ゼロトラスト」ゾーンにおいて、パロンゴ 取締役 兼 最高技術責任者／LocationMind 取締役の林達也氏が「加熱する変容：デジタルアイデンティティー時代の基礎と次世代動向」と題して基調講演に登壇した。林氏がこれまで追いかけ続けてきたデジタル世界におけるアイデンティティーと、その変容について解説し、デジタルアイデンティティーの最新動向を紹介するセッションとなった。

[宮田健，＠IT]

デジタルアイデンティティー、そのアプローチは

パロンゴ 取締役 兼 最高技術責任者／LocationMind 取締役 林達也氏

　冒頭、林氏は「われわれはデジタルアイデンティティーの時代に至っている」と述べる。ゼロトラストの世界においてデジタルアイデンティティーは重要であり、今まさに大きく変容しようとしている。その変容を捉えることも重要だ。

　まずはアプローチとして、現状を把握することから林氏は始めた。西部開拓時代のイメージを掲出しつつ、「サイバー空間においては攻撃者優位性が高く、自己防衛が必要で治安維持力が低い、“未成熟な世界”にわれわれはいる」と話す。

　2013年、Googleのエリック・サック氏は、「セキュリティの専門スタッフが100人以下のサービスに自分のパスワードを預けるなど、ばかげている」といったコメントを残したことを林氏は引用する。「100人のセキュリティ専門スタッフは中央省庁にもいない。2013年からは技術も変化しているので、必ずしもこの発言は正とは限らない。しかし、2013年から今に至るまで、われわれはどのくらい問題を解決してきたかというと、なかなか厳しい問い掛けだ」（林氏）

　これまで何が獲得できたのか？　そこからファクトを積み上げていこう。

　攻撃者とわれわれとの関係は、昔からわれわれが後手に回らざるを得ないという現実があり、それは今も変化はない。対処するためのリソースもなく、攻撃者優位の状況で最善手を打つ必要があった。その前提を考えると、「『境界型防御』は効果的であり、低コストの手法として、当時のアプローチとしては最善手だったのではないか」と林氏。その上でゼロトラストという手法が注目されている理由について「状況が変わってきたからだと、私自身は考えている」と説明する。

　2014年にGoogleは「Beyond Corp」を発表し、2020年には米国国立標準技術研究所（NIST）がNIST SP800-207「ゼロトラスト・アーキテクチャ」を公開している。これらは内容こそ異なるものの、新たなネットワークアーキテクチャとしての基準の一つとなるものだ。それを受け、2020年には日本においても「政府情報システムにおけるゼロトラスト適用に向けた考え方」を発表。2022年にはデジタル庁による「ゼロトラストアーキテクチャ適用方針」といった資料が公開されている。

　ゼロトラストの意味として、「性善説から性悪説へ」と表現されることが多いが、林氏はこれを否定する。「ゼロトラストとは『ゼロからトラストを構築する』こと、何もないところからどうやって信頼を構築していくかだ」

　ただし、そこには割り切りも必要だ。例えばサーバを構築するにしても、そのサーバの構成要素であるCPUなどのシリコンは暗黙の信頼として考えざるを得ない。それを踏まえつつ、「本質論としてレベルとアセスメントを精緻化し、管理と制御の高精細化を目指すことこそが、ゼロトラストの本質ではないか」と林氏は考えている。

林氏が考えるゼロトラストの本質論（林氏の講演資料から引用）

　「技術の進化によって『妥協の境界防御から高精細のゼロトラストへ』の移行が可能になった。これができるようになったのはすごく重要だと個人的には考えている。できるようになったのなら、やれることをやりましょう、というシンプルな話だ」（林氏）

　そうなると、アプローチも変わってくる。実社会においては「隣の芝生」はほとんど見えず、特にセキュリティとなるとそれを知られないようにしている面もある。自分の立ち位置が正しいかどうかの正確な答えは誰も持っていない。それは特に、コロナ禍で進んだテレワークをはじめとするサイバー空間も同様だ。

　「しかし、コロナ禍という難局でも、私たちはデジタルの力を急激に推進できた。われわれ人類はこれまでも、常に『環境』を制御しようとしてきた。セキュリティに限った話ではなく、ワークプレースが急速にデジタルになって接続される中で、この『環境』を精緻に制御する必要がある」（林氏）

「環境」を精緻に制御する（林氏の講演資料から引用）

　では、どう制御していくか。それこそがセキュリティにつながる重要な要素だ。デジタルにおいてはさまざまなセンサーを用い、従業員の行動を細かく把握することが技術的には可能だ。ネットワーク通信を全てダンプし、怪しい挙動を統合的に検出できるだろう。それは個人のプライバシーの侵害にもつながり、近づいてはならない領域もある。課題も多く、禁忌もあり簡単ではない――。それが“Beyond”であり、ゼロトラストの本質だ。

業界の変容は

　デジタルアイデンティティー時代では、自分のペルソナとなるアイデンティティーが複数存在し、使い分けることで組織を渡り歩くこととなる。NIST SP800-63「デジタルアイデンティティーガイドライン」は調達標準を定義するドキュメントだ。「アイデンティティーの世界では非常に重要なものだ」と林氏は述べる。「相手が見えない前提で、相手のアイデンティティーをどう認証するか」は大きな課題だ。

　デジタル社会においては、KYC（Know Your Customer）起因の課題が増加していく。「デジタル時代においてはスケーラビリティがあり、何らかのミスが発生した場合に一瞬で被害が広がってしまう。KYCが単体事業として成立しているように、自分が『自分だ』と証明するには、ことあるごとに本人確認のプロセスが必要となる。間もなく公開されるNIST SP800-63-4のドラフトの内容によっては、本人確認のプロセスの見直しも必要かもしれない」（林氏）

アイデンティティー証明／KYC関係の国内活動（林氏の講演資料から引用）

技術の変容

　林氏は技術的な部分のアップデートとして、今注目している「デジタルアイデンティティーウォレット」（Digital Identity Wallet：DIW）を取り上げる。注意点としては、いわゆる暗号資産で使われる「Wallet」とは別物ということだ。物理的な財布に運転免許証や保険証、さらには鍵を入れる習慣に由来するものだという。

　これはスマートフォンベンダーも注目する技術で、AppleのiOSでは「ウォレット」、Androidであれば「Google Wallet」として実装が進んでいる。Appleは米国の特定の州でデジタルな運転免許証、モバイルドライバーズライセンス（mDL）の配布を試行している。mDLは国際標準化も進んでおり、民間を交えたコンソーシアムも活動が活発化している

DIWの動き（林氏の講演資料から引用）

　DIWで林氏が注目しているのは、「選択的属性、情報開示の方法」や「対面でのデジタル証明書の検証方法」といった4つのポイントだ。

DIWでの注目ポイント（林氏の講演資料から引用）

　例えば、DIWとして画面を見せられたとしても、それが偽物や、他人のスクリーンショットを表示しているだけかもしれない。情報を開示したくない項目を隠せる実装が重要なのにもかかわらず、実現できていない場合も多いという。検証が可能となれば、国境でのボーダーコントロールでも活用が進む可能性がある。さらには、ユーザーが中心となるデジタルアイデンティティーの世界づくりも重要だ。

　林氏はもう1つ、今注目が集まる技術として「Passkey」を紹介する。これはAppleやGoogle、Microsoftなどが取り組む技術で、パスワードに頼らず公開鍵暗号をベースとした認証を、より使いやすくインプリメントしたものだ。FIDOアライアンスによって標準化されており、クラウドでも同期できるアプローチをとっている。

　DIWとPasskeyは共にプラットフォーマーが強い技術領域といえる。スマートフォンを利用したDIWは、デバイスの対タンパ性に頼りつつ、安全な鍵管理や情報管理を実現し、多機能化を目指している。

　Passkeyは「サービスレイヤー、アプリケーションレイヤーで、いかにパスワードの代替として安全にするか」というアプローチで考えられている。新たな技術が登場することで、デジタルアイデンティティーの世界は広がりつつあるのだ。

　林氏はさらに先を見据えた動向として、「Decentralized Identifiers」（DIDs）のv1.0や「Verifiable Credentials Data Model」のv1.1などにも触れる。デジタルアイデンティティー時代の次世代動向として、「社会は新しい試行錯誤を始めている。標準技術やガイドラインにも、コロナ禍におけるフィードバックが行われ、その試行錯誤で次世代が決まっていくだろう」と述べる。

　「地球規模でさまざまな領域が相互に影響しつつ、デジタル社会化が進んでいる。デジタルアイデンティティーがプラットフォーマーに握られたままでいいのかという議論はあるが、少なくともどういう技術が使われているのか、キャッチアップしていく必要がある。社会がデジタルファーストに向かう今、まだベストプラクティスはない。デジタルアイデンティティーをわれわれがどう捉えていくか、それがわれわれに求められる重要なファクターだと思い、今回の講演内容を作った。お聞きになった方々の意見も、Twitterなどに頂ければうれしい」（林氏）

講演のまとめ（林氏の講演資料から引用）