セミナーレポート

WEBのログイン、利便性と安全性

国立情報学研究所の市民講座「ネット上の“あなた”」を取材

2013/9/24

 ビジネスパーソンが持つID、パスワードは、一体どれだけあるだろう。2013年8月28日、国立情報学研究所主催で行われた「市民講座」では、シングル・サイン・オンなど、WEBサービスを安心して利用できる本人認証のための仕組み作りについて講演が行われた。

パスワードと本人認証を解説する
国立情報研究所の中村氏
パスワードと本人認証を解説する国立情報研究所の中村氏

サービスの乱立と認証


 登壇した国立情報学研究所学術認証推進室の中村素典教授は、これまでの認証の流れについて解説。「操作する人が、サービスやリソースにアクセスする権限を持つことを証明するため」と、現状のWEBサービスで、入力が当たり前になっているパスワード入力の目的を改めて確認した。


 一方、サービスの電子化拡大に伴い、大学内だけでも「メールアドレス」「履修登録」など、同一組織内で提供されるそれぞれのオンラインサービスに、別個のパスワードが必要になってきた。この煩雑さを軽減するため、同一ドメイン内で共通のIDデータベースを作り、それぞれのWEBサービスを紐づける認証統合が行われるようになった。


 認証統合によって、同一のIDとパスワードだけで様々なWEBサービスにアクセスが可能になる。ただ、WEBサービス経由でIDデータベースの認証が行われるので、パスワードは各サイトに直接入力する。このため、1つのWEBサービスからパスワードが漏れると、他のサービスへも不正にアクセスされる危険が高まってしまう。また、サイト毎にパスワード入力画面が異なると、フィッシングなどの被害に遭う可能性もある。


 このような構造の脆弱性を補完するのが、認証処理自体を「IDプロバイダ」として独立させる「シングル・サイン・オン(Single Sign-On、SSO)」だ。ユーザが「履修登録サイト」にログインする場合、IDとパスワードの情報は「IDプロバイダ」に送られる。入力が正しければ「IDプロバイダ」が、「履修登録サイト」へ「ログインが正しい」と送る、というものだ。この時、履修登録サイトにはパスワードが渡らないようにする仕組みになっている。


 国立情報学研究所が提供している論文検索サイト「CiNii」もSSOに対応しており、一度ログインすると、ブラウザを閉じるまで、出版社の論文サイト「Science Direct」や文献リストを管理する「Ref Works」などのサイトへ、パスワードを再入力することなくアクセスできるようになっている。

ネット上で学割の買い物も可能な
フェデレーションを解説する中村氏   来場者からの質疑応答も活発だった
ネット上で学割の買い物も可能なフェデレーションを解説する中村氏   来場者からの質疑応答も活発だった

WEBの「認証」と「認可」の違い


 中村氏はログインの際に行われる、「認証」と「認可」の違いを解説した。「『認証』とは、利用する人が誰であるかということの“本人確認”で、『認可』は利用者がインターネット上のサービスの中でアクセス可能なものに対する許可」である。


 SSOで「認証」と「認可」が分けられることで、セキュリティ水準が統一される。また、IDプロバイダと、これを利用した連携するWEBサービスとの相互の関係も含めて管理することによってフィッシング対策にもなるという。


 WEBサービスでは「『認証』を経たユーザがアクセスしている」ことさえわかればいい場合も多い。なので、サービスによって「通常のアクセスをするサイト」「仮名のアクセスで利用するサイト」と分け、WEBサービス間で個人の行動履歴などを必要以上に紐づけできないようなプライバシー保護のための措置を取ることもできる。


 このような、ID認証を同一組織内のみで共有するだけではなく、組織をまたいでID連携を行う「フェデレーション」もある。仮に大学のID認証サーバと、民間ショッピングサイトでフェデレーションが行われれば、ネットショッピングで簡単に「学割サービス」を受けることもできるようになる。


 フェデレーションの運用に当たっては、学生であれば在籍情報の適切な更新のほか、個人情報の保護対策、インシデント対応のためのログの保持が、IDの信頼性の担保に必要となる。フェデレーションは現在、北米や欧州など、世界各地の学術機関同士での利用が広がっているという。


これからのプライバシー保護、情報管理


 様々なWEBサービスのアクセスを保証するIDプロバイダには、サービスごとに、個人の必要最低限のみの情報を渡すなど、適切な運用が求められる。


 また、ユーザ自身もID管理サイトなどで、それぞれ紐づいているWEBサービスごとに、必要以上の属性情報を送るかどうか、「自己情報コントロール」ができるような仕組みが必要だ。


 フェデレーションの未来については、現在米国で取り組まれているトラストフレームワークをベースに、「掲示板などに書き込む程度であればパスワードのみ、ネットバンキングなど財産にかかわるものはパスワードとICカードなど、認証のレベルを上げていくことになる」と予測した。


 中村氏は「現在利用されているSNSは、プライバシーに関する細かな設定がしにくい」と指摘している。スマートフォンの普及でWEBサービスとアプリの垣根がほとんどなくなり、インターネット上に登録してある自分の情報が、どんな扱われ方をしているのか、見えにくいのが現状だ。自分のデータを簡単に管理できるソリューションが、これまで以上に求められてきているのではないだろうか。

(中西 啓)

【セミナーデータ】

イベント名
:市民講座「ネット上の“あなた”~安全・便利な本人認証と個人識別の今~」
主催   
:国立情報学研究所
開催日  
:2013年8月28日
開催場所 
:学術総合センター(東京都千代田区)

【関連カテゴリ】

情報セキュリティ