「識別、認証、許可」

no extension

セキュリティ・システムを組む際の肝は識別(identification),認証(authentication),許可(authorization)の3つを(設計概念上)きちんと分離し,かつそれらを上手く組み合わせることである。

この辺の話は Bruce Schneier さんの名著『セキュリティはなぜやぶられたのか(原著名 “Beyond Fear”)』の13章で詳しく解説されている。

photo
セキュリティはなぜやぶられたのか
ブルース・シュナイアー (著), 井口 耕二 (翻訳)
日経BP 2007-02-15
単行本
4822283100 (ASIN), 9784822283100 (EAN), 4822283100 (ISBN)
評価     

原書のタイトルが “Beyond Fear: Thinking Sensibly About Security in an Uncertain World” なのに対して日本語タイトルがどうしようもなくヘボいが中身は名著。とりあえず読んどきなはれ。ゼロ年代当時 9.11 およびその後の米国のセキュリティ政策と深く関連している内容なので,そのへんを加味して読むとよい。

reviewed by Spiegel on 2019-02-11 (powered by PA-APIv5)

これによると 識別・認証・許可 の各機能は以下の通り。

  • 識別: あなたは誰?
  • 認証: 証明しろ
  • 許可: この範囲のことはしてもよい

さらに言うと,コンピュータ・システムでは 識別・認証・許可 はそれぞれ「トークン(token)」として符号化されることが多く,これらトークンを認証(certification)する機能も要求される。

たとえば映画館の入場券は純粋に許可トークンである。 このトークンがあれば誰が入場しようと問題ない。 たとえそれが他者から奪い取ったものだとしても。

ライブチケットも同様に許可トークンだが,近年では転売屋対策で,「誰」が購入したものか特定するために識別トークンを兼ねていることが多い。 この場合,入場時にチケットを持っているのが本人かどうか証明する必要があるため何らかの認証トークンと紐付けることになる。

これで 識別・認証・許可 について何となくイメージできただろうか。 では本題へ。

昨今,「個人番号 (マイナンバー) 」が某日本政府の無茶振りによりまたぞろ話題になっているが,個人番号自体はただの識別トークンであり,それ単体では何も認証しないし何も許可されない。 個人番号はお役所などの窓口で提示することで(主にお役所側の都合で)各種業務フローを簡素化できると期待されている。 つまり個人番号と本人がセットになることではじめて認証も許可も機能し始めるのだ1

私も引っ越しをした時に個人番号カードを提示するだけで各種届け出を全部やってもらったので有り難かった記憶がある。 もっとも引っ越すたびに個人番号カードを書き換えないといけないので,利用者にとってホンマに便利か微妙なところであるが(笑)

その個人番号カードであるが,これには「利用者証明用電子証明書」が組み込まれている。 また希望者には住基ネットの「署名用電子証明書」を組み込むこともできる。 署名用電子証明書は,確定申告をネットで行う人にはおなじみのやつだ。 つまり「個人番号カード」のほうは認証トークンを兼ねているのである。 これは非常に重要な機能である。

署名用電子証明書はある程度長いパスワードで秘匿できるが2,利用者証明用電子証明書のほうは4桁の暗証番号のみでロックされている。 さらに言うと昨今では個人番号カードの3つの暗証番号を同一にするよう勧められるらしい。

認証トークンとしての個人番号カードが(住基周りを除いて)こんなに緩いのは「個人番号」自体が所詮はお役所サービスのためのシステムに過ぎないからだと認識しているのだが,どうだろう。

でも,ここで個人番号カードに健康保険証や運転免許証を統合し,これによって個人番号カード所持を事実上強制しようという動きがある。 健康保険や運転免許のシステムを個人番号の下に統合しようというのなら分かる(実装の仕方にもよるが)。 しかし個人番号カードは単なる情報(数字列)ではなく物理媒体であり,かつ行政サービス向けの重要な(割に運用の緩い)認証トークンである点が問題である。

私は個人番号カードは普段持ち歩かないようにしている(当然だよね)。 一方で持病持ちの私は健康保険証は肌身離さず持ち歩かざるを得ない。 運転免許証についても身分証明証代わりに持ち歩いている人もいればクルマのダッシュボードに入れっぱなしの人もいるだろう。 また紛失・盗難が起きた際のインパクトも「事後」の取り扱いも利用者およびサービスによって全く異なる。

たとえば個人番号カードに健康保険証を組み込んだ場合,個人番号カード紛失時の再取得に手間と時間がかかるし(平日に有給休暇を取ってお役所詣で),その上で健康保険証機能も再発行してもらわないといけない。 私のような持病持ちには無視できないインパクトだ。 年に1回利用するかしないか程度のお役所サービスのせいで日常的に使っているサービスが巻き添えになるのである。

まとめよう。

カード媒体は紛失・盗難リスクが高い。 付随するサービスによって扱いは異なるし,可能であれば「所持しない」のが最善と言える。 それを「お買い物ポイント」で釣って運用リスクやコストの高いものを所持させるとかどこの詐欺師かって感じだし,ましてや利用ドメインの異なるサービスを抱き合わせにしようとか鬼畜としか言いようがない。

できれば勘弁して欲しいところであるが,どうなるやら。

ブックマーク

  1. 個人番号は秘密情報ではないが重要な個人情報のひとつではある。個人番号がもたらすプライバシー上のリスクは当然あるが,この記事で書くとカオスになるので言及しない。 ↩︎

  2. 住基関連の機能を使う場合は専用の暗証番号でアンロックし,その上で署名のためのパスワードを入力する必要がある。つまり二重にロックされているわけだ。 ↩︎