2022/10/26

認証の転換。世界中の誰もが持っているIDがあった

Kaneko Yusuke
News Picks Brand Design Senior Editor
 久しぶりにウェブサイトのマイページにログインしようとしたら、ID・パスワードを忘れていた。心当たりがある文字列を何度も入れ直したら、ロックがかかってログインできなくなってしまった。
「パスワードを忘れた人はコチラ」というパスワード再設定のためのページに進んだものの、登録したメールアドレスが思い出せない。
 こんな経験がある読者もいるのではないだろうか。
「私もそうですが、多くの方が、プライベートとビジネスを合わせると、20個程度のサイトに会員登録しています。すべてのサイトのID・パスワードを適切に管理しきれていると断言できる人は決して多くないはずです
 そう投げかけるのは、電話番号を使った認証サービス『着信認証』を提供するオスティアリーズの取締役・廣川聡敏氏だ。現在使われている個人認証システムの問題点と、今後の展望を廣川氏に伺った。
ネットワーク系IT企業に新卒入社後、セキュリティ系SIyer企業等に勤務。2014年から現職。

ID・パスワードでは、守りきれない 

──あらためてID・パスワードで認証することの問題点を教えてください。
 まず、ID・パスワードを管理しなければならない、というユーザー側の負担の大きさです。
 しかも、その負担は年々増していると言えるでしょう。
 一番身近な例がパスワード設定条件の複雑化です。以前に比べてウェブサイト登録時に設定するパスワードの桁数が長くなっていたり、「大文字・小文字・記号を混在させるように」といったパスワード設定に関する条件も増えていたりすることに、お気づきの方も多いのではないでしょうか。
 また、定期的にパスワード変更を推奨するサイトも増えています。
 サイトごとにパスワードの桁数や設定条件が異なるため、ユーザーが自らのパスワードを管理しきれなくなっています。
─たしかに、たまにしかログインしないサイトだと、パスワードがすぐに思い出せないことはよくあります。
 おそらくそういう方は多いと思います。ID・パスワードを忘れてしまった場合、ユーザーは再発行や問い合わせの手続きをしなければならない。
 中には、そういった手間を回避するために、同じID・パスワードを複数のサイトで使い回してしまっている人が少なくないのです。
TREND MICRO  2020年9月29日調査、「あなたは、ID/パスワードでのログインが求められるWebサービスの利用にあたり、パスワードを使い分けていますか。使い分けている方は、何種類のパスワードを使い分けているかお答えください。」(単一回答)[n=515]
 また、企業側から見ても、この状態はデメリットが多いのです。
 アカウント乗っ取りや情報漏洩のリスクはもちろん、ユーザーがID・パスワードを忘れてしまうと、サイト利用率が低下してしまったり、問い合わせが増えて対応コストが上昇してしまったりという皺寄せが来ます。

長く、複雑化するパスワード

──なぜ、ID・パスワードは年々長く、複雑になっていくのでしょうか。
 その背景には、オンラインでサービスを提供する企業が扱う個人情報の重要性が上がったこと、それに伴う不正アクセスが増えたことの二点が挙げられると言えます。
 15年ほど前までは、ID・パスワードを登録するのは主にECサイトやゲーム、Webポータルくらいでした。しかし、いまや多くの人が銀行、証券、保険等の金融機関、SNSなどのC2Cサービスやビジネス用途のSaaSなど、多種多様なオンラインサービスに登録しています。
 私たちは多くのサイトで氏名、住所、電話番号を登録しています。加えて、決済や商品の売買が伴うサイトでは決済情報や購入履歴、嗜好などのデータもある。
 金融機関なら資産情報、転職サイトなら学歴、職歴、年収、SNSであれば交友関係や行動履歴、ビジネス用途のSaaSなら業務内容など、膨大な情報を入力しています。
 このような状況では、情報流出によるダメージは、かつてとは比較にならないほど大きくなっています。
 もし、同じID・パスワードを使い回している場合、どこかのサイトでID・パスワードが漏洩してしまうと、リスト型攻撃と呼ばれる手法によって、他のサイトにも不正アクセスされてしまいます。
 個々のサイトの情報は断片的でも、複数のサイトの情報が紐付けされ、悪用されてしまうリスクもあるのです。
 また、第三者の不正アクセスによるアカウント乗っ取り件数は近年増加傾向にあります。
──だから、事業社側もセキュリティを強化し、ID・パスワードを複雑化せざるをえないんですね。
 そうです。ただし、企業側がID・パスワードを複雑にすればするほど、ユーザーは管理が煩雑になり、使い回しにつながっている。こうした悪循環が起こっているんです。
──ユーザーがパスワードを変え続けるしかないのでしょうか。
 多くのユーザーに、企業側が望むパスワード管理を望むのは難しいでしょう。私は、ID・パスワードの問題は、企業側が提供する認証の仕組みによって構造的に解決すべき問題だと考えています。
 私どもは新しい認証システムとして電話番号を使ってログインする「着信認証」を開発しました。

パスワード不要、電話1コールの新認証

──どんな認証方法なんですか。
 着信認証は、ユーザーが電話を1本かけるだけでサイトにログインできるという認証サービスです。
 ユーザーからすると、ログイン画面に表示された認証用の電話番号に1コールするだけなので、パスワードを登録したり、入力したりといった手間が要りません。
着信認証DEMO(会員登録イメージ)
 個人を特定するアカウント情報はインターネット網、認証に関しては電話回線。2経路で認証を行っており、ユーザーが発信する認証用電話番号もランダムに発行されるため、シンプルながらも高いセキュリティ強度を実現しています。

世界共通の認証システムとしての電話番号

──認証システムはSMSや生体認証などさまざまなものがありますが、なぜ電話なのですか。
 おっしゃる通り、認証システムは大きく3つに分類できます。
 指紋や顔認証による生体認証、非接触カードやQRコード、マイナンバーカードなど、その人の持っている物で本人確認をする所有物認証、ID・パスワードなど本人しか知らない情報を照合する知識認証です。
 生体認証や所有物認証のセキュリティは強固ですが、認証や読み取りデバイスの普及、導入にコストがかかるため、広範なサービスで利用するにはハードルが高い。
 しかし、電話番号は世界中のほとんどの人が持っており、なおかつ重複がありません。グローバル共通の仕様ですでに普及していることから、個人を認証するためのツールとして極めて優れているのです。
SMSを使った二段階認証も、電話番号ですよね?
 そうですね。SMS認証はユーザーの電話番号宛に、ショートメールでワンタイムパスワードを送付するという認証方法です。
 ただ、SMS認証には大きな問題点があります。
 実はショートメールは仕組み上、他人や企業になりすますのが簡単で、個人情報を入力させるフィッシング詐欺の温床になっているのです。
 SMSを送るためには、SIMカードと呼ばれるデータ通信用のカードが必要になります。SIMカードは、通信キャリアが証明を取って発行しスマートフォンなどに入っている音声SIMと、データ通信やSMSの送受信に特化したデータSIMの2種類に分けられます。
 このうち、データSIMは比較的安価で、家電量販店などで本人確認なしに買えてしまうのです。スマホを1台しか持っていなくても、SIMを入れ替えれば、簡単に他人や企業になりすましてショートメッセージを送付することができます。
 近年はSMSを通じたフィッシング詐欺の手口が周知され、多くの人が企業名義で届くショートメッセージを警戒し、開封率が低下傾向にあります。
 また、SMSは携帯電話を持っていないと受け取れないため、高齢者にとっては使い勝手が悪いという欠点があります。
 その点、着信認証は固定電話でもIP電話でも利用可能なサービスのため、幅広い年齢の方にお使いいただけます。

多種多様な業界、業種で広がる着信認証

──着信認証を導入するには、どれくらいの工数やコストがかかるのでしょうか。
 着信認証には、1週間程度のイベントなど気軽に小さな規模から利用可能なASP版と、企業のサイトの認証方法を切り替えるといった組織的移行やイベントなど、大規模な個人認証に使っていただくためのAPI版とがあります。
 ASP版は専用サイトからサインアップしてから最短即日でローンチできます。初回チャージ額5000円からのプリペイド制で、1認証単価10円で利用可能です。簡単に活用できることから、全社的な本格導入前のテストとしてご活用いただく例も多いですね。
 API版は認証導入箇所のコンサルティングを含め、ローンチまで平均1~2ヵ月程度です。初期費用は0円、認証数に応じて数円/回の従量課金制でとなっています。
──現在はどのような業界で導入されていますか?
 主に銀行、保険、クレジットカードなどの金融機関、通信事業者、チケットサイトやポイントメディア、ポータル、SaaSなど、特定業界ではなく、ユーザー管理を行っている幅広いサービスで導入して頂いています。
 今回はログイン時の活用方法を中心にお話ししてきましたが、着信認証は他にも多様な使い方があります。
  • 会員登録時の単一ユーザーによる複数アカウント作成防止
  • 振込、予約、ポイント交換等、重要な認証箇所の認証強化
  • アカウント乗っ取りを防ぐ情報変更時の認証
  • ID・パスワード再設定時の本人認証
  • 資料請求、問い合わせフォームで確実に繋がる電話番号の取得、優良リード獲得、及びbotなどのアタック攻撃も同時に防止
 着信認証の仕組みによって、不正対策以外にもこうしたさまざまな導入効果が見込めます。利便性が認知され、ここ数年で導入企業も急速に拡がり、現在、世界80ヵ国と地域で活用され、導入企業の総会員数は約3億人となっています。
──電話番号を通話に使うことは減りましたが、たしかにID認証としての機能は残る。これからもっと広まっていきそうですね。
 一足飛びに今の認証方式と置き換わるかはわかりません。ただ、ID・パスワード型の認証はかなり長い年月変わらずに使われ続けており、そろそろアップデートの時じゃないかなと思っています。
 すでに世界中誰もが持っていて、個人と紐付いている文字列が「電話番号」です。今は主に通話のために使われていますが、これから先は個人を特定するための認証キーとして活用の幅が広がっていくと考えています。
 サービスやアプリケーションを提供する企業側にも、ユーザー認証の領域には大きな改善の余地があります。そのような課題や違和感を抱えているサイトへの導入を通して、ユーザー体験の向上に貢献していきたいですね。
構成:土居雅美
編集:金子祐輔、宇野浩志
撮影:岡村智明
デザイン:藤田倫央