マイクロソフトWindows Vistaが先月末発売されたが、それに関することで、日本ではほとんど話題にもならなかったものがある。セキュリティの一つの分野である「認証」において新しい機能が追加されたことである。その機能とは、「Windows CardSpace」である。

正直言って、Microsoftのセキュリティに関する取組みに対する評価は、これまであまり芳しいものではなかった。セキュリティの話題は、いつもWindowsのウイルスに対する脆弱性が取り上げられ、守勢に回っていたからだと思われる。本件は、Vistaに搭載されている機能の一つであり、認証に対して、新しい試みを提案するもので、より積極的な姿勢というものを感じる。

2月5日より、サンフランシスコで開催されているセキュリティカンファレンス、RSA Conference 2007において、オンラインバンキングなど、ウエブ上での取引に関する「２要素認証」（Two Factor Authentication）の話を聞いて回っているうちに、MSのブースに到着した。最初はどういうものか、何が違うのかわからなかったが、デモを見ているうちに、これは他の二要素認証システムが提案するものとは、全く異なるものであることが理解された。

オンラインバンキングの認証にパスワードが不要

これまでオンラインバンキングなどについては、種々のパスワードを持つ必要があった。パスワードを持つと、盗まれたり、破られたり、忘れたりとか、いろいろと面倒なことが起こる。それを防ぐために、「二要素認証」が必要だとか言っているうちに、それだけでは足りなくなり、更にさまざまな認証方式を組み合わせて「多要素認証」（Multifactor Authentication）だとか、どんどん複雑になっていく。現在向かっている一つの方向としては、種々のセキュリティ方式の「組み合わせ」である。（「オンラインバンキングは多要素認証と多階層コントロールの時代に突入：RSAカンファレンスレポート」　ご参照）

しかし、パスワードを使うから盗まれるのであって、それならば、最初からパスワードなど使わなければよいだろう、という発想が本件である。（「マイクロソフト、セキュリティ強化の必要性を示唆--RSA Conference基調講演」ご参照）

では、どうするのか？リアルの世界の本人確認の現場を想像して欲しい。例えば、米国ではスーパーに買い物に行って、クレジットカード決済を行おうとした場合に、サインがチェックされることはまずない。サインなどいくらでも真似ができるため、実際にはそれをチェックすることはほとんど意味がないためである。むしろ、写真付のIDを見せろ、と言われる。写真も完璧とは言えないものの、男が女に成りすましは出来ないし、白人が黒人に成りすますこともできない。写真付のIDとしては、通常、運転免許証、パスポートが使われる。第3者が発行した何らかの証明書を代用している。これで十分だ。

オンラインの世界でも、同じことができないだろうか。第三者機関（自分も含む）が発行したオンライン上のIDカードを、銀行などに提示することで可能となる。カードは、その都度発行請求され、タイムスタンプなどが押されれれば、仮に盗まれても2度と使えないため、問題が生じることはない。

Windows Vista上にある、「CardSpace」という新機能を使えば同じことができる。デジタルIDとして、セキュリティトークンというものが定義されている。これは、第三者機関が発行する。これには、マイクロソフト一社では対応できないが、SOAP と XML をベースにした、WS-Security、WS-Trust、WS-MetadataExchange、WS-SecurityPolicy などの標準があり、これを使う。ID発行依頼者にとって、同一人物がアクセスしていることだけが保証されればよいならば、ID発行機関はユーザ自身の場合もある。

簡単に言うと、以下の流れとなる。

１．セキュリティトークンの請求事項の取得

ユーザは、WindowsVista上のCaｒｄSpaceのアプリケーションを用いて、ID（アイデンティティ）発行依頼者（つまり、オンライン銀行や買い物サイトなど）に対し、どんなセキュリティトークンが必要なのか、要求項目をたずねる。そのあと、セキュリティポリシーが依頼者から、ユーザに伝えられる。

２．セキュリティトークンの取得

要求項目（セキュリティポリシー）に合わせて、必要なセキュリティトークンを発行する第三者機関乃至は自己宛に発行を依頼する。そして、発行されたセキュリティトークンを、ユーザが取得する。

３．セキュリティトークンの提示

ユーザは、取得したセキュリティトークンを、アイデンティティ発行依頼者に提示する。

これで完了である。

セキュリティトークンの情報には、さまざまなものがあり、識別番号、会員番号のようなものから、名前、住所、電話番号、銀行口座、クレジットカード番号、など秘密情報まで含まれ、セキュリティトークンごとに、記載されている情報は異なる。

ブースのデモでは、Microsoftと、Corillian、Wachoｖia銀行、Verisign、Arcotが組んだものが展示されていた。オンラインバンク（本件ではWachovia銀行）などの情報を一つに集めて情報提供を行う、アカウントアグリゲーションサービス（Corillianが提供）へのアクセスに、「Windows CardSpace」をベースしたArcot社（認証ソリューション会社）の認証技術を使ったものである。

やはりセキュリティの「組み合わせ」は必要

画期的である反面、一社で対応できる話ではない。そのため、協力会社がどれだけ増えるかの勝負である。これはどうしてもオープン、協力と言う姿勢が必要であり、一方、世の中のオープン化に対し対局的な姿勢を持つマイクロソフトが、どこまで取り組めるか、今後の動きは見ものである。

また、自分のPCからアクセスするということが原則であり、PCを盗まれたときとか、別のPCを使うときにどうするかとか、まだまだ課題は多いと思う。それに対しても、例えば、生体認証やワンタイムパスワードなどの別の認証方式を併用するなどが必要となり、やはり「組み合わせ」はなくならないのである。基調講演で、RSA Security社長のArt Coviello氏が発言したように、セキュリティメーカーが専業でやっていくという発想はなくなるのだろう。

（徳田浩司 koji.tokuda at www.fusion-reactor.biz）

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。