今これがあつい！～認証技術の進化とシステムエンジニア～

現代において、私たちはあらゆる場面で認証技術を利用し、自分が誰であるのかを証明することで適切なサービスが受けられるようになっています。そもそも認証技術とは、セキュリティのためユーザーのアクセス権限の管理や本人確認を行う技術のことを指します。今回はこの認証技術について説明します。

■日常生活の中の認証技術

　認証技術は「ウェブサービスへのログイン」、「イベントでの本人確認」、「空港での搭乗手続き」など日常の様々なシーンで、もはや当たり前のように利用しています。そして今、国としての取り組みとしても注目されているキャッシュレス化の推進でもやはり認証技術が使われています。キャッシュレスとは、紙幣や硬貨を使用しないで決済することを指し、代表的な例がクレジットカードですが、今日では「PayPay」、「楽天ペイ」、「メルペイ」など様々な決済サービスが展開されています。国内外も含めた消費者の利便性向上、消費活性化、実店舗などの無人化省力化など、来たる2020年の東京で開催されるオリンピック・パラリンピックに向けて多くの効果が期待されているようです。今後、更なるのキャッシュレス化が進んでいくことが予想されていますが、認証技術はそのサービスの普及に伴いますます重要視されています。

■主な認証技術

　インターネットの普及・発展によって、不正なアクセス方法が変化していき、その対応策としての認証技術も進化し続けてきました。　

　それでは、「認証技術」とは具体的にどのようなものがあるのかを見ていきましょう。

1.パスワード認証
　IDとパスワードによって利用者を確認する方法で、1990年代から現代まで長く使われている認証技術です。その簡易的な認証は「総当たり攻撃（ブルートフォースアタック）」や、それを効率化した辞書攻撃など、悪意のある不正アクセスにさらされる側面もありました。
　
2.生体認証
　生体そのものが持っている特徴を利用して本人確認を行う認証を指します。指紋認証、顔認証、虹彩認証など、様々な種類があるため、パスワード認証と比べると盗用のリスクが低く、ユーザーはIDやパスワードを覚えたり、カードを持ち歩いたりする必要が無いので利便性も高くなります。

3.ワンタイムパスワード認証
　一度しか使用できないパスワードで認証します。スマートフォンアプリや専用の端末などでワンタイムパスワードを生成し、認証の際にそのパスワードを使用します。固定的なパスワードなどは長期間変わらないことが多いので、流出したり割り出されたりする危険が高くなりますが、この方法のパスワードは使い捨てのため、そのようなリスクを下げることができます。

4.SNS認証
　SNSのアカウントを利用して認証します。Facebook、Twitterなどのアカウントで他のWebサイトにログインできるようになります。「OpenID」という認証を行うためのプロトコルや、「OAuth」と呼ばれる別のサービスに特定の権限のみ与える仕組みを利用して実装されます。SNS認証を使用できれば、WebサービスごとにIDとパスワードを作る必要が無くなるので、ユーザーは複数のアカウントを管理する手間が軽減できます。ユーザーはSNSのアカウントのID・パスワードだけ覚えておけばいいので、ID・パスワードを紙に書いて保管というようなセキュリティ上のリスクの回避にもつながります。

　また、上記のような認証技術を補完するように、利用者がボット（操作を自動でするプログラム）ではなく人間であることを確認するための「CAPCTHA」という技術や、「二要素認証」という、記憶（パスワードなど）、所持（ICカードなど）、生体情報（指紋など）の3要素のうち2つを組み合わせて行うなど、よりセキュリティを強固にする方法が使われるケースも増えています。

■セキュリティを考える上で意識すること

　決済サービスのみならず、あらゆるサービス提供において「ユーザーの情報を守ること」は重視しなければならないポイントです。ただ一方ではセキュリティを堅牢にすればするほど、サービスのユーザビリティを損なう可能性があります。設計や開発に携わる人にとって、認証技術への理解を深め活用するだけではなく、ユーザビリティを意識した視点というのも重要な要素といえるでしょう。