PKI入門（２）　認証 - ユーザ認証　普及の本質（銀行のキャッシュカードなみ普及のためには）

●権利行使が重要

　住民票を使うことは多くないが、銀行のキャッシュカードでの現金引出しは、誰でもしばしばよく行う行為だ。もちろん、高齢者の方も、子供もよく使っている。キャッシュカードで現金を引き出す行為は、まさに、認証による権利行使である。銀行は、暗証番号をいれたキャッシュカードの保有者をキャッシュカードの正当な権利者と認めて、現金引出しに応じるのである。一般の人にとっては、機密情報の暗号化は、まず必要ではない。また、公文書の署名に匹敵するようなサーバ証明書、コードサイン証明書は普段は縁が少ない。しかし、自分の持っている権利を便利に行使できる認証システムならば、使い勝手がよければ、進んで使うものである。一部の人のみの利用に限定するならともかく、多くの人に提供するサービスとして提供することを目指すならば、意味ある権利行使のシステムを、使い勝手よく提供することが重要である。

　PKIによるユーザ認証は、本来は便利なはず。
　PKI公開鍵基盤は、サーバ証明書と同様に、個人に対しても証明書サービスを提供することができる。理論的な仕組みは、サーバ証明書と同じで、秘密鍵と公開鍵を作成して、秘密鍵を使っての署名を、認証局の認証ある公開鍵で、検証する。PKIの証明書は、ブラウザにいれておけば、銀行のキャッシュカードのように簡単なパスワードのみ認証になりIDの入力がいらない。本来ならば、使い勝手がよく便利な認証のはずである。オンラインショッピングのときにブラウザを開けて、注文ボタンを押すだけで注文できる便利さは、オンラインショッピングの経験者ならわかるだろう。なんども住所を入力するのはかなり面倒な作業だからだ。アマゾン（ http://www.amazon.co.jp ）では、既存の仕組みを使って、かなり使い勝手よく運用している。作業は、商品選択のクリックと、ID、パスワードの入力だけだ。住所などを毎回いれるという手間はない。

　銀行のキャッシュカードから見た認証のあり方を使って考察をすすめる。
　銀行のキャッシュカードは、ユーザから見れば、ATM（現金自動預金払出機）、キャッシュカード、暗証番号（PIN）の3種類の要素からなっている。もちろん、意味ある権利行使として、現金の引き出し、送金があるのは、当然だ。
権利行使に関してはのちほど述べる。

　PKIのサービスで対応するものを考えると、
ATM＝＞ブラウザ、もしくはPKIアプリケーション
キャッシュカード＝＞秘密鍵格納デバイス
暗証番号＝＞秘密鍵にかける暗証番号（PIN）

になる。おりにふれて、キャッシュカードとPKIのサービスを比較して説明してゆく。

　認証ソリューションでは、本人が苦痛なく認証システムを使えることが重要。　本来PKIによるユーザ認証は、ブラウザに秘密鍵を放り込めば、よいだけのはずで、もっと普及してもよさそうである。しかし、今日まで、実際にはなかなか普及してこなかった。オンラインバンキング、インターネット証券のサービスが提供された当初、PKIによるユーザ認証サービスしか提供しなかった会社があったが、ID、パスワードを使った認証に切り替えたり、併用するようにすぐ切り替わった。これは、セキュリティソリューションと認証ソリューションでは、大きく発想が異なる点が問題だったと私は思う。セキュリティソリューションでは、理論的にも高いレベルのセキュリティソリューションが重要とされるが、認証ソリューションでは、正当な権利を持っているものが苦痛なく使えることが重要である。銀行のキャッシュカードの使い方がわからなくて立ち往生している人がATMの前にいつもいたり、時々、キャッシュカードが認識されなくなったりしたら、多くのキャッシュカードユーザは、怒り、サービスの利用普及はすすまないだろう。

【執筆：武井明】

（詳しくはScan本誌をご覧ください）
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec