新型コロナウイルスの感染拡大により、この1年で多くの企業が従業員の働き方を変化させる傍ら、事業自体も新しい生活様式に適合したデジタル・オンラインのチャネルに活路を見いだすところも増えています。社会におけるやりとりが非対面中心に変化していく中で、顔を直接確認できない従業員や顧客を「本人」だと確認し、必要なものを提供するために、デジタルアイデンティティの重要性が高まっています。
本記事では、デジタルアイデンティティの概念、デジタル・オンラインのサービス(以下サービス)でのアカウント登録、ログイン等の機能を利用する際に本人であることを確認するための認証について、昨今の技術動向を踏まえながら解説していきます[1]。
[1] 本記事で取り上げる顧客のIDやアカウント管理はCIAM(Customer Identity and Access Management)とされ、ゼロトラストアーキテクチャーやリモートワークにおけるセキュリティ向上の要となる従業員のIDやアカウント管理の基盤はEIAM(Enterprise Identity and Access Management)として一般には区別されています。
アイデンティティとデジタルアイデンティティ
デジタルアイデンティティの概念を理解するため、アイデンティティとは何かを説明します。「アイデンティティ」とは、ラテン語で「同一」を意味する”idem”という単語を語源とし、一般的には人物の身元とも訳されます。そして、「アイデンティティ」は氏名、年齢、性別、住所、国籍、電話番号、メールアドレス、職業、勤務先、身長、顔、指紋、趣味嗜好等の多種多様な属性の組み合わせから成り立ち、個人は自らが持つ属性から異なる一部を抽出して別々のアイデンティティを保持することも、逆に異なる個人が同じ属性を持って同一のアイデンティティを保持することもできます[2]。
例えば、オーダーメードの衣服の注文では個人が氏名や連絡先の他に、身長や身体的特徴といった属性から成り立つアイデンティティを保持します。一方で、同じ個人が履歴書を記入する際には、氏名、住所、連絡先、性別、学歴、職務経歴といった属性から構成される別のアイデンティティを持ちえます。
そして、デジタルアイデンティティとは、これらの属性の情報が電子化され、現実社会における「実体としての人」をデジタル社会における「データとしての人」として存在させるものです。この後に解説するサービス上でのデジタルアイデンティティの作成とは、正確なアイデンティティのデータ、すなわち属性情報をサービスにおいて顧客に登録してもらうところから始まります。
個人が持つ属性から異なる一部の属性(アイデンティティ)が電子化され、
現実社会における「実体としての人」をデジタル社会における「データとしての人」
(デジタルアイデンティティ)として存在させる
[2] ISO/IEC 24760-1 “IT Security and Privacy — A framework for identity management — Part 1: Terminology and concepts”
サービス利用開始時の本人確認
多くのサービスの利用開始時には、一般的にメールアドレスに始まり、氏名、住所、電話番号等の情報を入力してもらいます。利用開始時の一連の手続きは、その実施者が現実社会において存在する顧客本人であることを確認してサービス上でデジタルアイデンティティを生成するためと、さらには当該利用者に対してデジタルアイデンティティの内容をもとに適切なサービスを提供するために行われます。
現実社会では、「顧客本人であることの確認」とは、例えば第三者がある個人になりすましてその個人の属性を登録したり、顧客本人だが実際に持っている属性とは異なる属性を登録したり、さらには現実には存在しない架空の人物として属性を登録したりしてくることへの対策です。
デジタルアイデンティティの場合、簡単な確認手段しては、メールアドレスという属性が入力された際に、サービス側からそのメールアドレス宛にURL付きのメールを送信し、そのURLにアクセスがされたらメールアドレスが持たれている属性として確認でき、デジタルアイデンティティの一属性としてメールアドレスを登録するものが挙げられます。
ただし、メールアドレスやSMSを受信できる電話番号は大量に生成することが可能なため、メールやSMSの確認だけでは悪意者によって複数の架空の人物としての属性登録とアカウント作成ができてしまいます。また、属性の種類によっては同じ値を別の人物が持っていることもあります。
一人の人物が複数持ちえるメールやSMSの属性の確認だけでは、
悪意者によって複数のデジタルアイデンティティが同じサービス上で生成されうる
そのため、サービス内容が重要で、利用開始時に現実社会における顧客本人であることの確認を強固にしたい場合は、顧客がそれぞれの属性の種類で一つしか値を持ちえない複数の種類の属性を組み合わせて、詐称することが困難な方法で検証する必要があります。
これらの例としては、発行元によって正しい属性が記載されている公的身分証を物理的に持っていることや、載っている顔写真と顧客を見比べて一致すると判断した場合に、現実社会における顧客本人だと判断することが挙げられます。
身分証との確認および記載されている属性の取得は対面で実施することもできますが、オンラインの場合は、eKYC(electronic Know Your Customer)というソリューションもあります。身分証明書を用いての本人確認をより強固に行う場合には、身分証明書自体の真贋性(しんがんせい)の検証に加えて、発行元に対して記載されている属性の情報を照会するといった方法もあります。
発行元によって正しい属性が記載されている公的身分証を
正当に保持していることを確認した上で、
記載されている属性を取得してデジタルアイデンティティを生成する
このように強固に属性の確認を行っても、現実社会の顧客が持つ属性が変化することがあることにも留意する必要があります。個人が一つしか値を持ちえず変化することがない属性としては生年月日や出生地がある一方で、住所や電話番号は何らかの機会によって変わることがあり得ます。このため、特に変化しうる属性についてはサービス利用開始時だけでなくその後も継続的に確認を行う方法を検討するのも良いかもしれません。
また、サービス利用開始のユーザビリティを向上させるため顧客による入力の手間を省かせ、他社のサービスから属性の情報を取り込んでもらう機能を提供することもありますが、結果として不正確な属性によるデジタルアイデンティティの作成につながることがあり得ます。前述した属性の検証が他社サービス側で正確に行われていなかったり、この後に説明する認証に不備があり他人がなりすまして属性の情報を他社サービスから取り込んだりするリスクも存在します。そのため、属性を取り込む元のサービス自体についても、属性の検証強度や認証強度などの側面を含めて慎重に確認することが望ましいです。
属性の情報が検証され、デジタルアイデンティティがサービス上で作成されると、それに応じて適切な内容のサービスを提供します。年齢や居住地によって閲覧できるコンテンツを制限したり、契約の内容という属性を踏まえて提供するサービスを変えたりするといったことが挙げられます。
同一人物であることの確認
前述のプロセスを経てサービス上に顧客のデジタルアイデンティティを確立させましたが、次に顧客がアクセスしたときにその顧客が以前アイデンティティの登録を行った際と同一人物であることを確認するために認証が行われます。
認証と聞くとパスワードを思い浮かべる方が大半だと思われますが、パスワードもデジタルアイデンティティの一部です。認証とはデジタルアイデンティティがデジタル社会での「人」と正しい組み合わせであることを確認するということです。
簡単に説明すると、パスワードによる認証はパスワードというデジタルアイデンティティの一属性を当該の顧客のみが知っているという前提のもと、入力された一属性があらかじめ登録されている一属性と一致するかを確認しているということです。
そのため、パスワードがフィッシングサイトで盗み取られたり、使いまわしをしていた他サービスから流出したりすれば、顧客のみが知っているという前提が崩れて他人がその属性を入力し、デジタル社会での「人」になりすませます。
サービスにおいて慎重に確立された顧客のデジタルアイデンティティが、その中の少しばかりの属性だけで用いられると考えてみると、第三者が顧客になりすます可能性を低減するためには複雑なパスワードを他サービスとは使いまわさずに設定させる重要性が理解できます。
しかし、今度はフィッシングサイト等でパスワードが盗まれた場合も想定する必要が出てきます。ここで、認証に用いるデジタルアイデンティティの属性を、情報セキュリティにおける一般的な観点である知識、所持、生体の三要素から見てみましょう。
多要素認証を導入する際のポイントと注目技術
パスワードは顧客のみが知っている属性、つまり知識による認証です。もう一つは顧客のみが特定の物を所持しているという属性、所持による認証です。最後は顧客自身の生体的特徴という属性、生体による認証です。これらの異なる要素の属性を重ねて用いることで、サービスにアクセスしてきたのが顧客本人であることを判定できる可能性を高めるのが多要素認証です。
認証の種類と方法例
|
認証の種類 |
認証方法例 |
|
知識認証 |
パスワード、暗証番号、秘密の質問の答え |
|
所持認証 |
SMSやトークンのワンタイムパスワード、セキュリティキー |
|
生体認証 |
指紋、静脈、顔 |
デジタルアイデンティティのなりすましのリスクを低減するためには多要素認証を導入することが理想ですが、顧客にとってはサービス利用のたびに複雑な操作を行う必要があり、ユーザビリティを低下させてしまうことも考えられます。そのため、サービスの内容によってリスクを判定し、許容して知識認証だけで利用させることや、なりすまされた際のリスクが高いと判断すれば多要素認証を必須とするように使い分けることもあります。ただし、これでは部分的になりすましが起こったり、ユーザビリティが低下したりします。
なりすましの可能性を低減しつつ、ユーザビリティを低下させない多要素認証の技術として着目されているのがFIDO(Fast IDentity Online)です。FIDOはUSBポートに挿したりNFCで接続したりするセキュリティキーのほか、世間で用いられている多くのスマートフォンやPCが、顧客が保持している認証器として所持認証の要素となります。
加えて指紋といった生体認証や暗証番号といった知識認証が組み合わさって認証器内部で認証されることにより、多要素認証が実現されます。さらに、FIDOでは生体認証や知識認証のデータ、つまり第三者に盗み取られると再利用されるデジタルアイデンティの属性そのものはインターネット上でやり取りされることは無く、通信経路上で認証情報が盗み取られて悪意者によってなりすまされるリスクも低減されます。
また、サービスへの認証にSNS等のソーシャルログインを提供するケースもありますが、この注意点についても記します。ソーシャルログインとは顧客に外部のSNS等にログインしてもらい、SNS等側からログインされている情報という顧客のデジタルアイデンティティの一属性を自サービス側で確認することで認証の代替とするものです。
SNS等にログインするだけで複数のサービスにアクセスできるという点でユーザビリティが向上するというのは顧客と企業の双方にメリットがあるように聞こえます。しかし、元となるSNS等の認証の強度が弱く、第三者がなりすましてSNS等にログインできれば、結果としてSNS等から不正確なデジタルアイデンティティで自サービスへのアクセスを許してしまうリスクがあることには注意すべきです。
おわりに
デジタル社会での「人」を形作るデジタルアイデンティティを念頭に置き、顧客が本人であることを確認して安全なサービスを構築することは、デジタル・オンラインで事業を展開するにあたって避けて通ることはできません。
当社ではデジタルアイデンティティを軸に、顧客向けのサービスにおいて安全かつ安心に活用していくためのソリューションを多数ご用意しております。ニューノーマルな社会において、顧客のユーザビリティも意識しながらより安全なサービス提供にご協力させていただきますので、お気軽にご相談ください。
■おすすめの関連記事
顧客向けID&アクセス管理(CIAM)システムがもたらす新しい顧客体験
CIAM(顧客ID&アクセス管理)製品の選定で欠かせない「3つのポイント」とは?
