コミュニティ
HPE Blog, Japan
1819953 メンバー
3548 オンライン
109607 解決策
新規ポスト
 
RSS フィードを購読する
|
IceWall_Mktg

ブロックチェーンと分散型ID、VCが変える認証の未来

火曜日

HPE20200814022_1600_0_72_RGB_s.jpg

デジタルサービスに欠かせない認証技術

個々のユーザーを識別して本人確認を行い、適切な人が安全に情報へアクセスできるようにするために欠かせないのが「認証」の技術です。例えば、インターネットなどのデジタルサービスで最も原始的と言える認証技術としては、ログイン時のユーザーIDとパスワードを使ったID/パスワード認証があります。

デジタルの世界では、さまざまな情報セキュリティの脅威に対応するために、このID/パスワード認証だけでなく、さまざまな新しい認証技術を採用し、普及に取り組んできました。例えば、認証時にやりとりされるパスワードの暗号化(ダイジェスト認証など)、サーバー証明書やクライアント証明書、認証局を使った認証(SSL/TLS802.1X認証、PKI認証)、ワンタイムパスワードやSMS、電話、生体情報を使った多要素認証などです。

ただ、デジタルサービスが社会生活の一部になる中、こうした既存の認証技術だけでセキュリティを担保することは難しくなってきました。そこで新たな認証技術の開発が進んでいます。

 

 

ID/パスワードを基本にした従来の認証技術が持つ課題とは

新しい認証技術が求められる背景には、従来のID管理が持つ課題を解決しにくくなってきたことがあります。一般的なものとして、データの改ざん、情報漏えい、なりすましなどが挙げられます。こうした問題は電子証明書の悪用やID/パスワードの不十分な管理・設定ミスなどによって引き起こされます。

そして、もう1つ大きな課題となっているのが、ID/パスワードや証明書など認証に関連するさまざまな情報を誰が管理するのかということです。例えば、クラウドサービスで利用するID、パスワードやその他の個人情報は一般的にクラウドサービス事業者が管理しています。

しかし、それらが本当に正しく管理されているのか、またクラウドサービス事業者からそうした情報が流出していないかをユーザー自身が確認するすべはありません。利用するサービスが増えれば増えるほど事業者も増え、複数のIDをユーザー自身で管理することはさらに難しくなります。

 

 

分散ID管理やブロックチェーンを活用した新しいID管理

こうした課題を解消するために、さまざまな新しい認証技術やID管理の仕組みが提案され、開発が進んでいます。その一例が分散型IDDID: Decentralized Identity)です。同技術のほか、関連する技術としてブロックチェーン、自己主権型IDSSI: Self-Sovereign Identity)、検証可能な証明書(VC: Verifiable Credentials)もあり、以下にて順を追って紹介します。

 

  • 分散型IDとは

分散型IDは、Web標準化団体のW3Cが、20227月に勧告した標準規格です。これまでのID/パスワードは、IDを発行するサービス事業者ごとに管理されていたため、ユーザーは複数のID/パスワードをサービスごとに使い分ける必要がありました。

この状況に対してSSO(シングルサインオン)などの仕組みや、パスワード管理ツールなどを用いることで対応していましたが、一度ID/パスワードの盗難やなりすましに遭ってしまうと、対策が難しい状況でした。それに対して分散型IDでは、中央集権的な事業者を介さずに、個人や組織が自分のIDを管理し、さらにそのIDをサービス事業者の枠を超えて利用できるようにします。

 

  • 自己主権型IDとは

これに関連して「自己主権型ID」という言葉も登場しています。これは第三者の管理者ではなく個人が自分自身のIDをコントロールすることを目指す概念・モデルを指します。自分の識別情報を、自分で開示するかどうかを選択できるようにすることで、プライバシーを高めるものです。自己主権型IDと分散型IDとの関係性について、前者が概念や考え方を表すものであり、それを実現する1つの技術的手段が分散型IDという位置づけとなります。

 

  • ブロックチェーンとは

特定の管理者を介さない分散型IDという新しい技術を実現するためのコアとなる技術がブロックチェーンです。これは、暗号通貨などにも使われている分散型台帳技術です。P2P(ピア・ツー・ピア)ネットワークを活用し、取引の記録を改ざん耐性のある形で、ネットワーク参加者の端末上に分散的に処理・保存するデータベースの一種です。つまり、分散型IDではこのブロックチェーンによるデータベース上に、IDそのものや認証に必要な情報の一部を記録することで、特定の事業者に依存しないID管理を実現します。

 

  • 検証可能な証明書(VC)とは

もう1つ、分散型IDが今後世の中で幅広く普及するために必要とされるのが「検証可能な証明書(VCVerifiable Credential)」です。先述した分散型IDは、IDを保存・管理する仕組みに過ぎません。そのため、そのIDをあるユーザーが使用する際に「IDが本当に信用できるものか」を検証して信頼性を担保する技術的な仕組みが別途必要です。具体的には何らかの「デジタル証明書」が必要になり、そのための技術仕様がVCという位置づけです。

このVCの具体的な適用のされ方として、「デジタルIDウォレット」というスマートフォンアプリなどでVCを管理する仕組みが今後普及すると予想されます。そこでは、将来的に分散型IDが導入され実際にそのIDをあるサービスに活用する際に、上述のスマートフォンアプリにて証明書を提示して本人確認を完了させるというプロセスになります。

pic_次世代ID管理/分散型ID.jpg

 

他にも、分散型IDが持つ特定の企業や組織に依存しない独立性と、多要素認証が持つ多重防御を組み合わせることで、これまでよりも強固なセキュリティの実現が可能です。

 

 

見えてきた「次世代認証システム」の姿とは

分散型IDやブロックチェーンによる新しいID管理の仕組みは、従来の認証システムや認証プラットフォームを新しい姿に変えていくことが想定されています。メリットとしては以下が挙げられます。

  • ユーザーが自身の個人データを完全に管理することで、プライバシー保護が強化される。ユーザーが自己の情報を公開する範囲やタイミングを制御できる
  • 将来的に分散型IDに対応したサービスが増えれば、サービスごとのID登録やパスワード管理が不要になり、利用者の利便性やユーザー体験が向上する
  • ユーザーが金融機関を利用する際の電子本人確認(eKYC)や金融機関がアンチマネーローンダリング(AML)対策でユーザーの確認を行う際に、情報を共有して効率化を図ったり、確認プロセスの透明性を確保したりできる。

 

新しい技術のため、分散型IDが組織やサービスの枠を超えて活用されている例はまだほとんどありません。しかし、その技術要素を用いた実証実験などで効果を確認している例もあります。

例えば、先ほど分散型IDの本人確認の手段としてVCに言及しましたが、実際にいくつかの地方自治体が住民向けに「デジタル住民票」をスマートフォンアプリとして発行し、住民が地域の公共施設などを利用する際に、このVCで本人確認を行う実証実験を行っています。本人確認を行うことで、地域住民かどうかを判断し、施設利用料を割引したり、地域クーポンを発行したりできます。ここでのユーザーIDは、マイナンバーと連携した独自のIDが利用されています。

こうした本人確認は、今後厳格な本人確認が求められる金融機関の施設への入退室管理や、訪問介護やガス点検といった住民宅への訪問が求められるシーンでの担当者の身分証としての利用なども考えられます。

ほかにも、社員向けに「デジタル社員証」をスマートフォンアプリとして発行し、ICカードの代わりに入退室管理の認証に使ったり、名刺としての提示や本人の資格やスキルを提示したりする取り組みがあります。社内システムと連携させることで、いつだれが出社したか、いまどのフロアにいるかなどを確認することができます。

もちろん、上記は単一組織の実証実験であり、またIDも特定のサービス基盤上にあるため、厳密な分散型IDの事例ではありません。しかし、VCによって自身で認証要素などを管理する仕組みが広がっていくことで、今後企業やサービスを超えて信頼できるID利用のユースケースが広がっていく可能性は大いにあると言えるでしょう。

 

 

お知らせ:

本ブログを担当するIceWall_Mktgのメンバーが、2025年4月25日(金)開催「HPE Innovation Day with NVIDIA」の展示ブースに出展します。
お気軽にお立ち寄りください!

0 感謝
作者について

IceWall_Mktg

コラム:氷壁エキスパートノート |  HPEの認証・認可プラットフォーム「HPE IceWall」を開発するIceWallビジネス推進部が、認証にまつわる新常識を発信します。

最新のコメント
過去 30 日間で最も評価の高い著者
Author
Kudos
Sustainable_JP Avatar
Sustainable_JP
3
Kogumasaka Avatar
Kogumasaka
2
shingoyamanaka Avatar
shingoyamanaka
1
すべて表示
上記の意見は、Hewlett Packard Enterpriseではなく、著者の個人的な意見です。 このサイトを使用することで、利用規約と参加規約に同意したことになります