これからの「認証」の話をしよう
「これからの~」といいながら、いきなり古い話で申し訳ないが、1998年、インターネットが一般にも普及し始めた頃に、ネット恋愛をテーマとした『with love』というTVドラマが放映された。メールの誤送信から始まるラブストーリーだ。といっても、ここでネット恋愛論を展開するつもりはない。今回のテーマはタイトルの通り、「認証」だ。
■古き良きおおらかな時代
1998年といえばWindows98が発売された年だが、ドラマが放映された4月の時点ではまだWindows95の時代だった。ドラマの中で、何度もPCを起動する情景が映されていたが、ADSLも光回線もなかった当時、Windows95のスタートアップ画面が出た後、モデムの音とともにプロバイダーへ自動接続され、Webの閲覧やメールの送受信が可能となるまでの流れには、今となっては少し郷愁めいたものを感じてしまう。そしてその間、なんのセキュリティチェックも存在しないことにふと気づく。
そう、当時はパソコンの電源を入れるスキルがあれば、誰でもソーシャルエンジニアリング的な手法によって個人情報を簡単に盗めたし、身分を詐称して情報を発信することもできたわけだ(それが頻繁に行われていたかどうかは別として)。
事実、ドラマの中ではネット恋愛中の主人公たちの部屋を訪れた異性の友人が、勝手に2人のPCを起動してメールの送受信記録を見て嫉妬に駆られる。そして、差出人名を詐称して主人公の女性を呼び出したり、相手の男性がネットナンパ師だという偽情報を流したりする。ほぼ犯罪行為だが、そこはそれ、古き良きおおからな時代だったというべきか。
■昔のことと笑えるか?
いや、でもちょっと待てよ。ウチの父親は、今年PCを買い替えてようやく起動時にパスワード認証するようになったが、それまで使っていたWindowsXPでは認証画面は出ていなかった。ひょっとしたら、家庭内で利用されているPCというのは、未だにパスワード認証せずに使えるものも多いのかも知れない。すると、状況は98年当時と大して変わりはないともいえる。ウチの父親だって、Windows8で自動サインインする方法を知ったら、迷わず設定変更するだろう。
しかし、セキュリティに対する意識が98年当時と変わらないとしても、リスク自体は比較にならないくらい増大している。そして個人情報に対する意識だけは間違いなく高まっている。それにもかかわらず、ヒトはログインを嫌う。なぜなら、IDとパスワードを覚えなければならないからだ。セキュリティの観点から認証の重要性が認識されて久しいというのに、認証の利便性というものは、まったく進歩していないように思えてならない。つまり、相も変わらずIDとパスワードだ。
ネット上には次から次へと便利なサービスが立ち上がっている。そしてそれを利用するデバイスも、PCやタブレット、スマートフォンと、個人でいくつも所有するようになってきた。すると当然、その都度必要なIDとパスワードのセットは増加していく。多くの場合、ヒトは楽するためにこれらのモノを使いたいのだ。それなのに、これらを使うためには、面倒なIDとパスワードが必要だという。これは何かのブラックジョークだろうか?
■ユーザーの心の叫び
だから結局は、ユーザーは楽をすることを考える。IDもパスワードも、同じものを使い回そう。ブラウザに記憶させよう。自動化させられるものはみんな、自動化させてしまおう。そのためのIT機器だろう?
新しいサービスに登録する際には「他のシステムと同じパスワードは避けてください」「電話番号や生年月日などはやめましょう」などというが、そんなにいくつものパスワードなど、記憶できないし、そもそも思いつきもしない。「あれはダメ、これもダメ。大文字と小文字と数字を混ぜましょう。」って、これはイジメか?
いやいや、それだけでは終わらない。さらに信じられないことに、同じシステムやサービスでも、パスワードを定期的に変更しろと言って来るやつがある。しかも、以前に使用したパスワードは使えないという。なってこった。オレはパスワード管理がやりたくてたくさんのシステムやサービスを使っているわけじゃないんだぞ!
■認証も、再発明が必要だ
このように、IDパスワードによる認証は、すでにもう我々のキャパをはるかにオーバーしてしまっている。「入れるのが面倒くさい」とか「覚えきれない」という時点で、すでにそこにセキュリティ上の重大な欠陥が露呈しているのだ。
もちろん、IDパスワード以外の認証方式がまったくないわけではない。これまでにも、指紋認証機能が装備されたPCやUSBのデバイスなどは多く出ている。しかし、一般的な個人ユーザーに普及しているかといえば、残念ながらそうとは言えないのが現状だ。また、それに対応したシステムも、個人向けのものはあまり話題にならない。
たとえPCにそのような機能がついていたとしても、自宅のPCでそれを使っているヒトは少ない。なぜなら、説明書を読んでまでその機能を使いたいと思うような魅力を感じないからだ。デバイスのロックを解除するためだけに、そんな面倒な説明書を読む気になどならない。それが一般的なユーザーの正直な気持ちだろう。
そんな中、次世代のiPhoneは指紋認証が可能となるかも知れないという情報も流れている。もしそうだとして、それが活用されるかどうかは、それがどれだけ簡単に、そしてどれだけ多くの利便性をユーザーに与えてくれるかにかかっている。繰り返すが、単なるデバイスロックの解除だけではユーザーは食いつかないだろう。そこにどんな付加価値を与えられるか。
現在のユーザーの声に耳を傾ければ、その方向性は自ずと見えて来る。つまり、IDパスワード管理地獄からユーザーを解放することだ。シングルサインオンをどれだけスマートにできるか。ここらでそろそろ、そういう方向で認証というものも再発明が必要なのではないだろうか。「○○の再発明」はAppleの専売特許ではない。Appleが再発明するまで手をこまねいて待っている必要はない。我々エンジニアは、これからの「認証」の話を、真剣にしなければならない。
10年後、システムやサービスを利用する度にパスワードを入力している古い(2013年の)映像を見て、「うわぁ、ここでまたパスワード入れてるよ!」と笑いのネタにできるような世界を目指そう。
For every engineer, with love.