説明資料
個人認証につきまとう皮肉な現実


泥棒が増えてきたようなので表玄関の錠前を頑丈なものに取り替えようと思う。業者いわく、新しい錠前は非常に破りにくく作ってあるので家人でも時々開けることができないことがあるが、その時は同居人を待てば良い、同居人がいなければ表玄関が頑丈になったのだから裏口を開けておけば良い、と言う。さて、どんな生活が待っているのだろう?情報セキュリティの世界でも同じようなことが起こっているが、こちらはもう少し見えにくい。

電子的本人確認のベーシック手法として一般に文字系パスワードが使われているが、殆どのケースで容易に思い出せるということを優先して他人の類推容易なものが使われてしまうため、社会全体としての実効セキュリティは極めて低いのが現状であるとの認識から出発し、セキュリティレベルを向上させるためには

A パスワードの厳格な管理を徹底する
B 世界に一つしかない本人の肉体を照合データにする
C 特定の所持物を保有していない人物を排除する
D 以上を組合せる

が有効であるとされている。

しかし運用場面での実態は、セキュリティ向上の意図が空回りして逆にセキュリティを崩壊させるというパラドックスに陥り上記の全てが成立していない。これは以下のような簡単な論理の積み重ねで解明できる。


A パスワードのパラドックス

本人に関連する文字化できる客観的なデータは盗用され易い 
    → 無機質にする・文字数を増やす・頻繁に変更する
    →  セキュリティは上がるはず
 実際:若く記憶力の良い一部の人では有効、しかし多数の人のメモ携帯・貼出し誘発 
 複数パスワードを同時要求されると → ほぼ全ての人で、セキュリティ崩壊へ

試行錯誤を許すといつかはセキュリティを破られる
    → 何度かの入力ミスでアクセス拒否(いわゆる3回ルール)
    →  セキュリティは上がるはず
 実際:本人であるのに拒否されれば業務不能に陥る 
    → 絶対に間違わない=他人の類推容易なデータ使用/メモ携帯・貼出し 
    → セキュリティ崩壊へ

結果: 例えば企業内では、権限の小さな若い社員の間ではパスワードによるセキュリティをそれなりに保ち得るのに対して、機密データを握っている高齢の役員・部長クラスではセキュリティがボロボロという現実。

B 指紋など生体照合のパラドックス

パスワードは余りに脆弱 
    → この肉体は世界に一つしかない → 生体照合を使う
    →  セキュリティは上がる筈
 実際:生体計測技術が原理的に抱えた「本人拒否」の存在 
    → 本人拒否=業務不能

*突然のケガも含めた本人拒否率が1/10,000の低価格生体認証装置があると仮定し、1000万台の携帯電話・携帯端末に搭載され各人が1日10回認証すると想定すると、一人のユーザーが作業不能に陥るのは3年に1回に過ぎないが全国では毎日1万人・年間300万人が業務不能を経験する。そのコストは?

 本人拒否=業務不能は避けたいと考える
    → 対策としてパスワードをOR方式で併用するのが一般的 
    → セキュリティはパスワード同等
  稀にしか使わないと考えるユーザーは絶対に忘れない(他人の類推容易)データ登録
    或いはメモ携帯・貼出し 
    → セキュリティ崩壊へ

*この問題については2002年4月に経済産業省情報セキュリティ政策室が警鐘を出している。
但し、管理者が常駐しパスワード併用禁止が実行可能な場面では生体認証は有効である。

*別に、TV放映でも実証された「肉体の複製は不可能だが肉体の特徴点の複製は可能」問題が存在。

C トークンなど所持物照合のパラドックス

特定の小物の非保持者排除・装着放置厳禁・パスワードAND併用による盗用対策 
    → セキュリティは上がる筈

 実際:紛失・置忘れ=業務不能

ガートナージャパンの調査によれば、日本のビジネスマンの15%が1年の間に何らかの携帯端末の紛失を経験している。このことから判断すると1人のモバイル・ユーザーが3年に一度くらいは個人認証用小物の紛失+置忘れをすると考えても無理は無いだろう。1人にとっては3年に1度のことであっても、全国に1000万のモバイル・ユーザーがいると想定すると毎日1万人・年間300万人が業務不能を経験する。そのコストは?

 置忘れを防止するよう努力する・努力させる 
    → 端末との同時盗難の可能性増大 
    → 端末と小物の同時盗難を避ける努力 → 置忘れの多発 → 最初に戻る
 このループからの脱却を図りたいと考える 
    → 何らかの文字系パスワードOR方式併用が一般的 
    → セキュリティはパスワード同等
 稀にしか使わないと考えるユーザーは絶対に忘れない(他人の類推容易)データ登録
  或いはメモ携帯・貼り出し
    → セキュリティ崩壊へ

但し、管理者が常駐しパスワード併用禁止が実行可能な場面では所持物認証は有効である。

D セキュリティを崩壊させかねない手段の間での複合化がセキュリティを上げることはありえない。AND複合は本人拒否・紛失・置忘れ=業務不能問題を悪化させるのみであり、OR複合導入は最低レベルへの帰着を意味し、そしてANDでもORでもない複合は考えられないから。


以上が本人認証に関わる情報セキュリティの実態であり、上述の通り既存技術はこうしたジレンマやパラドックスを原理的に打破することができない。

しかし、解決策が無いわけではない。「文字化できる客観的な本人関連データ」ではなく、「文字化困難で主観的で視覚的な昔の記憶」を認証データにすれば解決可能である。それが我々の提唱するニーモニック認証である。

2002年12月18日
株式会社ニーモニック セキュリティ
國米 仁
[ このウィンドウを閉じる ]