小学生でも多要素認証の今、企業の認証／ID管理は使いにくい、不自由にもほどがある 未来は変容するのか：ITmedia Security Week 2024 冬

2024年2月27日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」の「多要素認証から始めるID管理・統制」ゾーンで、パロンゴ 取締役 兼 最高技術責任者 林達也氏が「デジタルアイデンティティー時代のID管理・認証/認可の変容と社会受容」と題して講演した。産官学でデジタルアイデンティティーをウオッチし、策定にまで関わる同氏が、ゼロトラスト時代に重要な認証、認可の現在を、「社会受容」というキーワードを絡めて解説するセッションだ。

[宮田健，＠IT]

スマートフォンがPCを超える時代、日本のデジタルIDはどうだ？

パロンゴ 取締役 兼 最高技術責任者 林達也氏

　林氏は冒頭、鍵となる現状として「スマートフォンがPCを超える世界になった」と話す。この概念は、特に現状のアイデンティティー（ID）管理を考える上で重要で、いわば「コンシューマーの世界が、エンタープライズの世界を超えた」とも考えられる。

　林氏はある架空のスタートアップ企業を想定して話を進める。そのスタートアップにおける業務は、コンシューマーでも利用が多い「Gmail」を活用していることから、当然のようにGoogleが提供するサービスをベースに、ほぼ全てSaaSで完結している。アカウント管理についてはGoogleアカウントを管理すればよい。クラウドをフル活用するので、ファイルサーバすらも存在しない。境界型セキュリティという概念はなく、「多要素認証が必要になったら、設定からオンにするだけ」という、ある意味理想の「ゼロトラストセキュリティ」環境が、創業時から活用できている。

　「では、なぜ、これがエンタープライズ（歴史のある企業／大企業）の世界ではできないのだろう？」と林氏は問い掛ける。

　「コンシューマーの世界がエンタープライズをはるかに超えている」とは、認証においては企業が多要素認証を徹底できない状況にいる中、小学生でも携帯ゲーム機を利用する上で多要素認証を使っているということだ。

認証における現実（林氏の講演資料から引用）

　デジタル環境は変容し続けている。自分の分身であるペルソナ／デジタルIDはSNSなどの各種サービスのアカウントとして顕現され、IDを分けてペルソナを分割することすら当たり前だ。本来、これは「エンタープライズ」の世界でも実現できる必要があるはずだ。

　「マトリックス組織では、担うべきロールが変化する。複数の組織をまたがって業務に携わることもある。社外のメンバーをチャネルに招待できる『Slackコネクト』や、Webミーティングのツールが多く受け入れられているのは、組織の境界に寄らない新しいID連携の姿、つまりCooperation IDが実現できているからだ」（林氏）

　この基本となっているのが、4分冊の文書「NIST SP800-63 "Digital Identity Guidelines"」だ。バージョン4（の2ndパブリックドラフト）が2024年春にアップデートされる予定の同文書では、新しく「Issuer, Holder, Verifier」を考慮したモデルの更新や、パスキーなどとして知られる「synched authenticators」、そして「digital wallets」（デジタルウォレット）の更新が加えられている。

　デジタル庁でも現在「DS-500 行政手続におけるオンラインによる本人確認の手法に関するガイドライン」を改訂作業中だ。「2022年度版の『改定に向けた中間とりまとめ』は、NIST SP800-63の論点整理としては非常にまとまっている」（林氏）

デジタル庁の取り組み（林氏の講演資料から引用）

• 参考：デジタル社会推進標準ガイドライン｜デジタル庁

世界のデジタルID最前線

　世界的にも、デジタルIDを取りまとめ、ガイドラインとしての施行を目指す動きは多い。林氏は、EU（欧州連合）においても「Electronic Identification, Authentication and Trust Services」（eIDAS） 2.0の動きがあることを紹介しつつ、デジタルIDに関して解説する。

　OECD（経済協力開発機構）の「Recommendation of the Council on the Governance of Digital Identity」（デジタルアイデンティティーのガバナンスに関する理事会勧告）では、デジタルIDについて「ユーザーに関する特徴、品質、特性、または主張を証明するために使用でき、必要な場合はそのユーザーの一意の識別をサポートできる、電子的に捕捉および保存された一連の属性および／またはクレデンシャルを指す」とし、採用国に対して「この勧告を政府のあらゆるレベルで普及させることを要請する」と述べている。これは日本も例外ではない。

OECDによる勧告（林氏の講演資料から引用）

• 参考：【6/19 22:00~】アイデンティティ夜話ーOECDデジタルアイデンティティガバナンス勧告を味わう - @_Nat Zone

デジタルアイデンティティーウォレット（DIW）に見る、パラダイムの変容

　このように、さまざまな国家や組織からデジタルIDに関する文書が公開されている。OECDの勧告に合わせ、OpenIDも2023年時点での情報を網羅した「Human-Centric Digital Identity：for Government Officials」を公開。林氏も「リリース時点でのデジタルIDにおける課題を網羅したとても良い資料だ」と推薦する。この中では、「eIDAS 2.0や米国のモバイル運転免許などが新たなパラダイムに含まれる」と表現されている。

　この背景には、ISO（国際標準化機構）における国際標準化や、EUにおけるデジタルアイデンティティーウォレット（DIW）など、さまざまな方面からデジタル版ウォレットが進められていることがある。「国策」としてのIDに加え、コンシューマーではスマートフォンのOSを作るGoogleやAppleによる実装、加えてOpenWallet Foundationなどによる実装なども登場している。

DIWの背景（林氏の講演資料から引用）

　さまざまな実装があることから、「DIW」という用語に関して現時点では、暗号資産で使われている「ウォレット」とは全く別物という以外は、単一の明確な定義がない。そのため、林氏は自身が注目するポイントを挙げるにとどめている。特に、デジタルIDにおいて選択した情報のみを開示できるかどうか、対面においてどうデジタル証明（書）を“検証”するか、スマートフォンが普及した時代における証明の在り方、そしてユーザー中心のデジタルIDをどう作り出すかを挙げた。

林氏が注目するポイント（林氏の講演資料から引用）

「パスキー」に見る、技術の変容

　加えて、既に見えている“未来”もある。パスワードのない世界を目指し、普及が進む「パスキー」だ。FIDO Allianceが標準化した技術「FIDO 2.0」をベースにしたアプローチながら、FIDO 2.0において重要視していた、耐タンパ性のあるハードウェアの中で守るべき秘密鍵を、利便性を考えてクラウドで同期させることで普及した。

　FIDO Japanによるセミナーでは、「パスキーの導入によってログイン関連の問い合わせやコールセンター入電数が3割減少した」「フィッシング耐性のある認証方法をユーザーに案内したことで、フィッシング詐欺の認知数がなくなった」といった報告が相次いでいるという。パスキーは利用者に受容されただけでなく、採用した企業にも大きなメリットがあることが分かる。

　ただし、林氏は「パスキーがエンタープライズで有効活用されるタイミングは、“本丸”であるWindowsにおける本格対応だろう」と予想する。現時点では『Windows 11 22H2/23H2』で対応されており、「企業における本格採用はこのバージョンが浸透してからとなるだろう。なお、ベースとなっているFIDO 2.0は既に『Windows Hello』で対応済みで、親和性は高い。おそらくデフォルト実装されるだろう『Windows 12』が本命ではないだろうか」。

Windowsのパスキー対応状況（林氏の講演資料から引用）

われわれは今後どう変容していくのか

　DIW、パスキーという技術は、われわれにどう変容を促していくのだろうか。

　どちらもプラットフォーマーが強い技術領域であり、スマートフォンベースで浸透が進みつつある。「DIWはデバイスによる耐タンパ性を踏まえた安全管理を目指し、パスキーはパスワードの代替として、市場原理を基に安全性を向上させることになるだろう」と林氏は指摘する。

DIW、パスキーのポジションは（林氏の講演資料から引用）

　そして林氏は、デジタルIDの課題について、技術ではなく「多様性」の観点で考える。

　「例えば、スタートアップAとスタートアップBで取締役をしながら、個人会社Cで代表取締役をしつつ、経済産業省とデジタル庁で働き、慶應義塾大学大学院で大学院生をする人物のアカウントはどうあるべきか？　そういう人は“ここ”に存在するわけだが（編集注：林氏本人のこと）、アカウント管理はできていない。2024年の日本において、デジタルID的には“破滅”している」（林氏）

　今後、終身雇用制からジョブ型雇用に移行するには、多様性の課題もクリアにしなければならない。

多様性をどう確保するか（林氏の講演資料から引用）

　これまでは、ID管理のシステムはエンタープライズ分野が先行していた。しかしいつの間にか、アプリケーションサービスがオンラインで提供され、今やマジョリティーはコンシューマーサービスの世界からやってくる状況にまでなった。

　厳格なエンタープライズの世界は、不自由なぐらい管理が行き届いていたが、「今では不自由だけが残ってしまった。端的にいえば『使いにくい』」と林氏は指摘する。多要素認証が受け入れられた背景には、あまりにも多くの被害があった、コンシューマーの世界における慣習、つまり認証するたびに課金されるSMS認証がある（エンタープライズでは、このような慣習があり得なかった）。コンシューマーの世界では、使いやすさを追求するので、FIDO 2.0における厳格な鍵管理を捨ててまで、パスワードよりも圧倒的に安全なパスキーが受け入れられた。ある意味、無理やり社会受容があったといえよう。

　「広くITの世界を見れば、ID管理こそが、一番のオンプレミスの権化になるかもしれない。いまだに新規の、オンプレミス版Active Directoryが構築されてしまう。これが最後の牙城ではないか」と林氏は指摘する。

検討すべき課題、そしてどう未来に進むべきか

　新しい変容を、いかにして社会受容させるか。デジタルID普及における大きな課題だ。検討すべき課題要素として、林氏は「スマートフォンが普及し、全員がそのデバイスを持っている」と仮定してよいのかどうか、そしてデジタルの“ウォレット”をどう捉えるかの2点に集約する。そこでは、フィッシング耐性のある多要素認証の手法や、公私を含めた複雑なIDフェデレーション、加えてBYOD（Bring your own device）などについても考える必要がある。

　林氏は、デジタルID普及に必要なもの、足りないものを整理する。デジタル社会実現のためのベストプラクティスを作成、共有するには、日本だけでは難しく、国際的なクロスボーダーは必須だ。加えて、コンシューマーにおいては社会受容されつつある新しい認証の在り方を、エンタープライズ分野でどう受け入れるかも考える必要がある。

　これらの課題に関して林氏は「1年で変わることはできないが、10年はかけられない」とタイムリミットを意識する。「ここ2〜3年で、デファクトスタンダードが決まるのではないだろうか」（林氏）

デジタルID時代に足りないもの（林氏の講演資料から引用）

　「現時点ではベストプラクティスはまだない。だから、作る。今は社会がデジタルファーストになる時代の最先端。手を動かすのも大事だが、頭を使い、べき論を考えていく必要があるだろう。エンタープライズの世界においても、コンシューマーで起きたような変容を受け入れられるようにしていかねばならない」（林氏）

新しい波が来るのは確実。未来は変容するのか？（林氏の講演資料から引用）