Appleでサインイン

　本連載「サイバーセキュリティ2029」はタイトルにあるように「近未来のITを守るためにいまできること」を考えていきたいと思います。特にセキュリティにおいては1年後を想像することも難しく、その意味では大仰なタイトルにしてしまったことを反省しているのですが、近未来に実現されていることを希望することは自由です。おそらく多くの方に取って、すぐにでも実現してほしいことは「パスワードをなんとかする」ことではないでしょうか。 筆者が利用しているパスワード管理ツール「1Password」でパスワードを自動生成した例。十分な長さであるため記号や数字などを入れなくても強い 　言葉にはしていないと思いますが、私たちを取りまくパスワードはもはや破たんしているといっていいでしょう。私もいろいろなコラムで「パスワードを使い回すことはやめましょう」と言い続けています。しかしその実、世間ではパスワード使い回しに起因する攻撃が成功してしまい、新たな被害者が生まれています。「安易なパスワードを使い回すことは自己責任だ」というのは簡単ですが、未来の世界ではこの悩みが解消されているはずだと、私は信じています。 　そこで、今回はパスワードにまつわる「今日からできること」を考えていきたいと思います。パスワードの使い回しをしないという理想を、極力手をわずらわせることなく実現する方法はあるのでしょうか？

「生体認証こそゴール」？

　「パスワードをなくす」という話題では、その解決方法の一つとして「生体認証」が取り上げられます。これまではハイセキュリティが必要なエリアのために、一部のPCベンダーがオプションでデバイスを用意していたような認証方法ですが、いまでは手元にあるスマートフォンに内蔵され、多くの人が既に活用しているのではないかと思います。 　生体認証は、確かに非常に強力な仕組みといえるでしょう。コンシューマー向け製品では指紋認証、顔認証ともにそれなりの精度で本人を認証可能です。グミで指紋をコピーするなど突破する方法もそれなりに存在しますが、1日に何度も画面ロックを解除するという方に取って、もはやなくてはならない機能といえます。 　しかし、この生体認証があればパスワードをなくせるかというとちょっと微妙です。というのも、生体認証が強力なのは、成り済ましができないこと。つまり「本人ですら替えが効かない」点にあります。そのため、これそのものをパスワード情報として使うことは、二度とパスワードが変更できないことと同様になってしまいます。これでは困りますよね。 　そこで、多くの場合、生体認証は「デバイス単体の認証器として活用し、セキュリティチップとの通信を認可する」という使い方をしている例が多いです。よく顔認証が怖いといわれるのは「顔の写真が収集されるので、情報漏えいしたら怖い」という誤解がありますが、ほとんどの生体認証は特徴点だけを記録し、その情報もデバイス内に閉じ込めています。この仕組みをうまく使ったものは既に実用化されており、Yahoo!やLINEはFIDO 2.0仕様に沿った「パスワードのいらないログイン」を実現しています。 ・ヤフーが推進する「パスワードレス」その進捗と今後の展望 - Corporate Blog - ヤフー ・4500万人のユーザーに“パスワード”をやめさせたい――ヤフーが進める「もっと安全で簡単な認証」とは（ITmedia エンタープライズ）