[RSA Security 2002開催]
セキュリティ、プライバシー、利便性が個人情報管理のキー

2002/5/30

米RSAのジム・ビゾス氏  米国で初回のカンファレンスが開かれた1991年当時、RSAのCEOを務めていた。当時、社員は6名、参加者は60人だったという。米ベリサインを立ち上げた人物でもある
 RSAセキュリティが中心となって開催するセキュリティカンファレンス「RSA Conference 2002」が5月29日、開幕した。セキュリティ関連のイベントとしては世界最大級の規模を誇る同イベント、今回が日本では初開催となる。初日の基調講演に登場した米RSAセキュリティ チェアマン兼RSA Conference チェアマンのジム・ビゾス(Jim Bidzos)氏は、「日本は技術的にパイオニアだった」と過去形で述べ、「ECの普及などで再びリーダーシップを発揮することを期待する」とあいさつした。

 初日の基調講演は、昨年9月11日の米国多発テロ事件で再確認されたセキュリティの重要性、および情報セキュリティにおける課題、そして、アイデンティティ・マネジメント(個人情報管理)の展望がメインのテーマ。ここでは、アイデンティティ・マネジメントに関して、米RSAセキュリティ マーケティング、セールス、コーポレート・ディベロップメント担当シニア・バイスプレジデント スコット・シュネル(Scott Schnell)氏の講演を紹介する。

 インターネットが個人の生活に普及しつつある中、さらなる浸透のために解決すべき課題が、アイデンティティ・マネジメントといえる。アプリケーションやサイト間を移動するたびに、ユーザーIDやパスワードの入力を要求される現在の状態は、決して使い勝手が良いとはいえない。その一方で、インターネットを利用した詐欺事件などは急増しており、得にオークションやISPで発生するケースが多く報告されている。このようなことはエンドユーザーの意識にも影響を与えており、懸念事項のトップ3は、セキュリティ、プライバシーそして利便性という。

米RSA スコット・シュネル氏 「アイデンティティ・マネジメントは、どのセグメントでも無関係ではない問題」

 さらには、次世代のアプリケーションであるWebサービス対応のアプリケーションの提供が本格化した場合、認証関連で普及が阻害されるということも考えられる。だが、ユーザーのプライバシー保護懸念の声も考慮しなければならない。この課題には、業界全体、場合によっては政府も巻き込んだ形で取り組み、より良いモデルを見出していかねばならない。

 「アイデンティティ・マネジメントはインターネットの次の大きなチャレンジ。ソフトウェア開発者、セキュリティのエキスパート、企業の経営陣、そしてユーザー、すべてが関心を払わなければならない課題だ」とシュネル氏は言う。

 アイデンティティ・マネジメントのアプローチとしてはこれまで、2つのモデルが存在した。1つ目が“サイロモデル(Silos Model)”と呼ばれる企業や組織が独自に行うモデル。実装が容易で管理もシンプルなため、現在最も利用されているモデルであるが、ユーザーにとって不便であるだけでなく、ビジネスの面から見ても、新規顧客へのアプローチやクロス・セルの機会がない、などの欠点がある。

 2つ目が“閉鎖型コミュニティ(Closed Community)”。特定の目的のために複数の企業や団体が仮想のコミュニティを形成し、その中でシングル・サインオンを実現するというモデルだ。銀行のATMが良い例だ。インターネットでも、SSL Server Certificateの発行など、このモデルを利用したものが登場している。情報共有によるビジネス機会の向上や管理コストの削減などのメリットはあるものの、ユーザーは、情報が共有されていることに対しては懸念を抱きつつ、コミュニティ外では、相変わらず複数のユーザーID、パスワードを使い分けるという不便さを感じている。

 現在、これらのメリット/デメリットを改善し、さらに改善、進化させるため、エンドユーザーが1回の登録で、1つのオンラインIDとパスワードを持つシングル・サインオンを実現するアーキテクチャ構築の試みが始まっている。マイクロソフトが.NET構想の中で進めている「Passport」と、サン・マイクロシステムズなどの業界団体が進めている「Liberty Alliance」の2つだ。両方とも、Webサービスの普及と促進を最大の目的としたもので、目指すモデルはほぼ同じものだ。同氏はこれを、“連合、連邦”という意味のFederateを用い“フェデレーテッドモデル(Federated Model)”と呼び、その課題を次のように語った。

 「ビジネスの観点からは、どんな情報をどうやって、いつ共有するのかのルール作り、情報ブローカーにいくら払うか、発行や管理などのリスクをどう管理するかなど。技術の面では、オープン性・拡張性を実現するプラットフォームの構築およびサポート、複数デバイスへの対応など」。これらに加え、ポリシー面でも、各ユーザー情報の保護や情報開示の必要性について、確立していく項目があると同氏は続ける。

 同氏は最大のデメリットを、パートナー間の協力体制と見る。そして、「シングル・サインオンが実現すれば、ユーザーの“エクスペリエンス”が拡大し、ビジネスの面でも多大なビジネスチャンスをもたらすことは間違いないが、ビジネス、技術、ポリシーの3つの課題が、セキュリティ、プライバシー、利便性の3つの観点から十分に設計・実行される必要がある」と述べた。

 マイクロソフトやサンが推進していることもあり、アイデンティティ・マネジメントの方向性は、“フェデレーテッドモデル”に決まったといっても間違いはないだろう。インフラで必要となる暗号、認証、電子署名などの技術を提供するRSAにとっては、新たなビジネスとなる。RSAは現在、.NET、Liberty Allianceの両プロジェクトに参画しており、基盤技術を提供しつつ、共同でトランザクションの完全性を目指していくという。

 シュネル氏は、「優れた技術と製品、この分野におけるリーダーシップ、世界規模での展開が弊社の強み。だが、戦略はあくまでもパートナーシップ。パートナーとともにデバイスおよびユーザーの認証およびパーソナライズされたアイデンティティ・マネジメントを実現していく」と述べ、締めくくった。

(編集局 末岡洋子)

[関連リンク]
RSAセキュリティ

[関連記事]
意識の格差が指摘されるセキュリティ対策 (@ITNews)
Passportが目指すのは独占ではなく協調モデル (@ITNews)
"自由"を掲げ、MSに対抗するSun ONE (@ITNews)
求められるオンラインでの個人情報保護対策 (@ITNews)
RSAが携帯機器向けの暗号化ツール (@ITNews)
医療のネットワーク化実現に向け、RSAとインテックが提携 (@ITNews)
RSAとオープンループ、共同で暗号ソリューション提供へ (@ITNews)
スマートカード対応のワンタイム認証ソフト、RSAから (@ITNews)

 

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)