英国政府通信本部(GCHQ)の一部である英国国家サイバーセキュリティセンター(NCSC)が、2025年の年次レビューを発表した。その提言の中心にデジタルアイデンティティの問題が位置づけられている。彼らは私の見解からも正しく、「堅牢なデジタルアイデンティティは多くの要素が絡み合う長期的な課題である」と指摘している。確かにその通りだが、私たち(社会全体)がこの難題に取り組まなければ、安全、セキュリティ、そして繁栄を致命的に損なうことになるだろう。
デジタルアイデンティティはセキュリティを意味する
この難題の一つの側面が認証であり、この点で我々英国人はある程度楽観視できると思う。NSCCは政府およびFIDOアライアンスと協力し、公共・民間セクター全体で「パスキー」の採用を促進している。パスキー(すでに広く使用されている)に馴染みがない方のために説明すると、例えば新しいデバイスでGoogleアカウントにサインインしたい場合を想像してほしい。パスワードを入力する代わりに、パスキーを使えばすでに認証済みのデバイス(例:スマートフォン)でアカウントにログインできる。パスワードを覚える必要がなく、あなたのスマートフォンを持っていない他人があなたになりすましてログインすることもできない。
FIDOアライアンスはLiminalのデジタルアイデンティティ専門家と協力して、パスキーインデックスを作成し、パスキーの影響を追跡している。AmazonやGoogleからTikTokやTargetまで主要サービスプロバイダーのデータによると、参加企業全体のユーザーアカウントの93%がパスキーサインインに対応しているという。そのうち約3分の1がパスキーを登録しており、全サインインの4分の1がパスキーを使用して完了している。パスキーサインインは平均わずか8.5秒で完了し、30秒以上かかるメール認証やSMSコードなどの従来の方法より73%速い。また成功率は93%で、従来のアプローチの63%と比較して、ログイン失敗が少なく、サービスプロバイダーはログイン関連のヘルプデスク問い合わせが5分の1に減少したと報告しており、これは間違いなく収益にも影響している。
(これが、一例としてマイクロソフトがパスワードの廃止を推進している理由だ。同社は顧客にパスキーの使用を奨励し、すべての新規アカウントをデフォルトでパスワードレスにしている。Microsoft Authenticatorからパスワード管理機能を削除し、パスキー保存オプションを残している)
技術にそれほど興味がない方はこの段落を読む必要はないが、興味のある方のために説明すると:パスキーは公開鍵・秘密鍵のペアという形で実際の暗号技術を使用している。ユーザーがアカウントのパスキーを設定する際、秘密鍵を生成してデバイスに安全に保存し、サービス側は公開鍵を受け取る。この暗号化プロセスにより、秘密鍵はデバイスのセキュリティストレージから外部に出ることがないため、傍受されたり、推測されたり、盗まれたりすることがなく、パスワードよりも安全になる。パスキーの採用を加速することで、あらゆるセクターでパスワードや、テキストメッセージで送信されるワンタイムパスワード(OTP)などの脆弱な多要素認証から、より安全で標準的かつシームレスな方法へと移行できる。
テキストメッセージは特に問題であり、これは決して新しい意見ではない。GSMAのセキュリティグループ責任者だったチャールズ・ブルックソン氏が、SMSは実質的にセキュリティがまったくないと指摘したことを覚えている。このリンク先のブログ投稿は2008年のものであり、記憶が正しければ、その頃に私は2007年のある記事を引用したプレゼンテーションを行い、利便性にもかかわらず、安全な取引のためにSMSを大量に使用することは賢明でない可能性があることを説明した。それは20年前のことだった。
10年前、米国商務省の国立標準技術研究所(NIST)は、デジタル認証ガイドライン(2016年7月)を発表し、アウトオブバンド(OOB)テキストメッセージングについて次のように述べている:
SMSを使用したOOBは非推奨であり、このガイダンスの将来のリリースでは許可されなくなる。
「非推奨(deprecated)」が何を意味するのか確認するために調べてみた。一般的な不承認以外の意味があると思ったからだ。辞書によると、次のような意味だ:「(主にソフトウェア機能について)使用可能だが、時代遅れとみなされ、避けるべきもの。通常、より優れたものに取って代わられたため:この機能は非推奨であり、後のバージョンでは削除される」。
デジタルアイデンティティはプライバシーを意味する
パスワードも認証用テキストメッセージもなくす。これについては皆同意できると思う。実際、多くの金融サービス機関はアプリ内プッシュ通知やアプリ内確認に移行し始めており、これはうまく機能している。しかし、標準化された汎用ソリューションでさらに進化する時が来ている。例えば、NSCCレポートは、彼らが「新しい」暗号技術(私が「実証済みの」暗号技術と呼ぶもの)の能力も強調している。これにより市民や顧客は、自分自身に関する他の属性を不必要に明かすことなく、サービスの利用資格を安全に証明できる。
彼らが意味しているのは、もちろん個人を特定できる情報(PII)ではなく、資格情報を提示する能力だ。これにより、ほとんどの取引を識別からオーソリゼーション(認可)へとシフトできる。これはオンライン取引の基本的な変化であり、長い間待ち望まれていたものだ。これは「自己主権型アイデンティティ(SSI)」の提唱者たちが求めてきたことであり、しばらく前からそうだ。彼らの見解では、個人の手に個人データを置くことで、SSIは何十ものパスワードやアカウントを管理しなければならない消費者のフラストレーションを軽減する可能性がある。これらのアカウントは中央集権的なデータベースに保存されており、データがどのように保存、共有、収益化されているかについてほとんど透明性がない。
私は最大限のSSIについては懐疑的だ。なぜなら、ほとんどの人(例えば私)はアイデンティティを自分で管理するために必要な持続的な能力を欠いていると思うからだ。しかし、規制された機関が顧客に代わってアイデンティティを管理する形の管理型SSIは非常に理にかなっていると思う。何よりも、もし私がiPhoneを車の上に置き忘れて、それが道路に落ちた後に車で轢いてしまった場合(実際に私の友人に最近起きたことだ)、銀行の安全な保管場所からアイデンティティを取り戻せるようにしたい。一つ一つ再構築する必要はない。
