「Age Assurance(エイジアシュアランス)」の利活用における課題と展望
年齢に応じた適切なオンラインサービス提供に関する議論がグローバルで活発化しつつあり、日本においても注視すべきトピックであると言えます。今後各国・各企業で検討が必要と考えられるエイジアシュアランスにおける認証技術、課題、今後の展望について解説します。
はじめに
連載「デジタルアイデンティティの基本概念と最新動向解説」の第1回「デジタルアイデンティティの基礎:概念と求められる対応概要」では、DXを推進するにあたってデジタルアイデンティティを整備することの必要性と、その対応概要について解説しました。
特に、Identity and Access Management(IAM)は企業のデータセキュリティの維持と効率的なビジネス運営を実現するための鍵となり得ます。そして、そのIAMの核をなすのが「身元確認」「認証」「認可」です。これらはサービス利用までに必要なプロセスであり、「身元確認→認証→認可」の順で行われます。
今回は、このIAMの核となる3つの要素を解説します。
身元確認
「身元確認」は、デジタルアイデンティティが実際の人やモノと一致するか否かを判定するための最初のプロセスです。デジタルの世界では、特にフィッシング詐欺や金融犯罪に対抗するために重要となります。
また身元確認は、新規アカウント作成や新しいサービス利用時に個人が自分であると証明するための一連の手順であり、証明された後のヒト、モノ(「エンティティ」と言います)に識別子を割り当てることを言います。
例えばマイナンバーの場合、登録住所に送付された通知カードを役所の窓口に持参し、自分であることを裏付けた上でマイナンバーカードを申請するとマイナンバー(識別子)が有効化されたり、メールの到達の確認(自分であることを証明)をもってログインID(識別子)が有効化されたりしますが、これはそのプロセスが実行されています。
身元確認を適切に実行することで、不正アクセスやなりすまし、マネー・ローンダリングといった犯罪を防ぐだけでなく、顧客の安全と信頼を確保することができるようにもなります。従来、身元確認はコンシューマ向けサービスへの適用が中心でしたが、近年はフリーランスの登用など、働き方が変化しているので、身元確認の企業内システムへの適用も予想されます。
認証
今回紹介する3要素の中で最も知名度の高いキーワードが「認証」でしょう。認証は、アクセス元を正確に識別するプロセスです。
ユーザー認証のIDとパスワードの確認がその代表例ですが、これは以下の3つのカテゴリに分けられます。
- 知識認証(Something you know):パスワードやPINなど、ユーザーのみが知っている情報の確認
- 所有物認証(Something you have):セキュリティトークンやスマートフォンなど、ユーザーのみが所有しているアイテムの確認
- 生体認証(Something you are):所在地や行動など、ユーザーの特徴の確認
またユーザー認証の他に、デバイスやシステム間でも認証を行う必要があります。その中にはChallenge & Response方式という既知の情報を用いてランダムに質問を送信し、そのチャレンジに対して適切な応答(レスポンス)を返すことで認証をする方法や、Token-Based方式という認証の際にシステムから一時的に発行されるトークンを検証する方式などがあります。
認可
認証の次のステップは、「認可」です。認可は特定のリソースやサービスへのアクセスをエンティティに許可するか否かを決定するプロセスです。認証でアクセス元を識別した後は、そのアクセス元が何をできるのかを決めます。また、認可を設計する際は以下の要素を考慮する必要があります。
- 制限と最小化
認可は、制限(Limitation)と最小化(Minimization)を考慮することが必要です。制限とは、データの利用や処理を特定の目的や範囲に限ることを意味します。また最小化の原則は、必要最低限のデータのみを収集・保持することを推奨するものです。 - 同意
認可は同意(Consent)と呼ばれる行為とも関係があります。同意はデータのオーナーが自らのデータの利用や共有、分析に対して他者に許可をする行為です。
身元確認、認証、認可は全体で継続的に考える
「身元確認」「認証」「認可」は一連のプロセスであり、それぞれ個別にではなく、プロセス全体を見て整備することが重要です。また、環境変化への対応やデータ精度維持のため、継続的に管理することが求められます。
ここで、全体整備の考え方と継続管理のベストプラクティスを紹介します。
- サービス全体整備の考え方(リスク評価と、それに応じたセキュリティレベルの確保)
セキュリティの確保はまず、システム、サービス、業務の持つリスクを棚卸し、評価することが必要です。米国国立標準技術研究所(NIST:National Institute of Standards and Technology)が発行する Digital Identityに関する米国政府機関の技術要件を定義したガイドラインNIST SP800-63-3※は、システム、サービス、業務が持つリスクを評価し、それに応じた適切なセキュリティ強度の具備する必要性と、具体的な内容について詳述しています。そこでは、リスクに応じて必要な保証レベル(Assurance Level)を定義し、レベルに応じて必要となる身元を確認し、認証する手段が書かれています。
このガイドラインは米国政府機関へアクセスするための技術要件として記載されたものですが、大変参考になるため世界中で参照されています。
※現在改定が進められており、NIST SP800-63-4として2024年1〜3月の公開が予定されています(2023年10月時点)。
https://www.nist.gov/identity-access-management/roadmap-nist-special-publication-800-63-4-digital-identity-guidelines
また、「身元確認」「認証」「認可」は連携して動作するため、1つのプロセスだけを強化しても全体のセキュリティが向上するわけではありません。例えば、「認証」の手段だけを強化しても、「身元確認」のプロセスが甘ければ、その効果は限定的です。
過去に、ある企業間のサービス連携でセキュリティ上の問題が発生した事例があります。この事例は、高リスクの取引が可能な連携にも関わらず、一方のサービスにおける身元確認の不備ともう一方の認証レベルの低さの組み合わせを悪意のある第三者に攻撃され発生しました。
この例にあるようなことを起こさないようにするには、自社のみならずサービス全体を俯瞰してセキュアな設計を行うことが重要となります。 - 継続管理の考え方
環境変化への対応やデータ精度維持のため、「身元確認」「認証」「認可」はそれぞれ、一過性のアクションとしてではなく、持続的な取り組みとして認識する必要があります。
リソースの制約や事業環境の複雑性の認識不足により見落としがちですが、企業内人事やユーザーのライフイベント、サービス内容の更新などを考慮し、継続的な監査、確認、アップデートが不可欠です。- 身元確認
ライフイベント(従業員の場合は入退社、消費者向けサービスの場合は転居や本人の逝去)を考慮し、定期的に更新する必要があります。 - 認証
所有物認証を行う場合の認証デバイスの紛失や盗難、機種変更など、さまざまな要因を考慮し、採用している認証手段が危殆化していないかを確認することが必要です。 - 認可
どのリソースに対してどのようなアクセスが許可されるのか、サービス内容の変更などのアップデートがあっても、制限・最小化の原則や同意された内容に基づき、適切な状態を維持、必要に応じて更新する必要があります。
- 身元確認
まとめ
今回は、「身元確認」「認証」「認可」を紹介しました。
サービスへのアクセスを制御するには、この3つは必須のプロセスとなります。それぞれが独立しながらも緊密に連携するので、企業はこれらの考え方を理解し、最新動向を常にアップデートし、適切に対応することが求められます。
執筆者
柴田 健久
ディレクター, PwCコンサルティング合同会社
デジタルアイデンティティの基本概念と最新動向解説
5 results
Loading...
エコシステム拡大を支える「デジタルIDのトラストフレームワーク」
オンラインサービス間の連携における信頼を構築し、エコシステム拡大を支えるための考え方であるデジタルIDのトラストフレームワークについて紹介します。
デジタルアイデンティティの主要構成要素:身元確認・認証・認可
企業のデータセキュリティの維持と効率的なビジネス運営の鍵となるIdentity and Access Management(IAM)の核をなす、「身元確認」「認証」「認可」の3つの要素について解説します。
デジタルアイデンティティの基礎:概念と求められる対応概要
デジタル化が急速に進展する現代において、信用や信頼を表現するためのツールとして不可欠になりつつある「デジタルアイデンティティ」の重要性と、それを確立するために組織に求められる対応について解説します。
Loading...
インサイト/ニュース
20 results
Loading...
航空サイバーセキュリティの強化 ―EASA Part-ISが求める情報セキュリティ要件―
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。
医薬品の安定供給を支える、OTセキュリティ実装の道筋とは
近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。
悪用された脆弱性の傾向分析
2023年1月から2025年1月までの2年間にサイバー攻撃に悪用された脆弱性について、仮説をもとに一定の傾向が存在しないか分析した結果について解説します。
サイバーセキュリティ分野におけるセキュリティ・クリアランス制度の諸外国の活用動向調査
日本では経済安全保障分野におけるセキュリティ・クリアランス制度の運用開始に向け、具体的な運用に関する政令などの制定に向けた準備が進行中です。諸外国のセキュリティ・クリアランスに関わる組織運営の事例を踏まえ、国内組織で想定される準備策や留意点をまとめました。
Loading...
