第4回 個人情報保護法とIT (4) 本人確認機能|これからの銀行を支えるIT戦略
●個人情報保護における、個人認証の重要性
認証とは、一言で言うと、「 自己の証明 」 と、「 相手の確認手段 」 です。
インターネットの世界においては匿名性があるメディアという認識が一般的ですが、ECサイトなどで取引を行うには、自分の身元を証明する必要があります。最近は、インターネットバンキングで、IDとパスワードを盗み不正送金を行うとか、ECサイトにシステム権限を持ったIDになりすまして個人情報を盗む犯罪が増えています。他人のキャッシュカードのパスワードや、クレジットカード情報を盗むのと同じ行為がサイバー社会で繰り返されています。これらの不正な犯罪を未然に予防し、社内で重要な極秘情報の漏洩を防ぐためにも、個人認証は非常に重要な技術です。
雇用形態の多様化により、企業の職場には、社員以外にも、関係会社、契約社員、派遣社員など、様々な職種の方が存在します。職場においては、1人1台のPC環境が与えられないと、メールのやりとりを含め、業務効率が著しく低下します。一方、情報システムにアクセスする環境を提供するのに時間・工数が掛かったり、退職した社員や契約終了の契約社員のIDが残っていたりすると、業務の遂行に影響を与えたり、セキュリティ面での脆弱性となり得ます。現在では、必要な職務権限を持つ人が、アクセスが必要な情報に対して権限を持つIDを即座に発行し、必要ないIDは即座に失効させることが求められます。
●認証の方法
企業が保有する、極秘の情報や、個人情報にアクセスする際は、
■特定の担当者、特定のPCにしかアクセス権限を与えない
■業務に必要な情報以外は見せない
■情報の持ち出しは許可しない
■担当者がアクセスした際の操作ログを保管、管理、保全する
ことが求められます。
PC、情報システムにアクセスする際の個人認証には、様々な方法があります。下記に、最近とられている個人認証の方法について、簡単にその特徴を挙げます。
ID、パスワード
ID、パスワードで個人認証を行う。PCにOSのレベルでログインするのは、既に一般的になっている。課題としては、定期的に強制的にパスワードを変更するとか、二度と同じパスワードを利用しない等の運用ポリシーの徹底が必要。パスワードを変更させる場合、ヘルプデスクで強制リセットさせるなどの仕組みがないと、現場の運用が回らなくなるおそれがある。
USBトークン
USBメモリーの中に、WindowsのID/パスワードや、電子証明書などを仕込み、PCに差し込んで認証を行う。非常に安価ではあるが、盗難・紛失のリスクがある。
ワンタイムパスワード
認証トークンと認証サーバーをたてて、認証トークンが一定時間内にランダムに表示するIDを入力させ、認証させる。認証トークンが消耗品であり、初期費用、運用費用ともに、割高ではあるが、強固な識別機能と運用の容易性により、特にモバイルアクセスの際の認証方式として、金融機関を含めて導入実績は多い。
生体認証
PCに指紋認証、静脈認証などの読み取り装置をつけて、ログインの認証を行う。 装置自身が安価になりつつあり、特に個人情報を扱う環境において、一般的になりつつある。認識率も高い。最近では生体認証読み取り装置が、PCに標準でついている機種もある。ただし、指紋は初期登録するのに時間が掛かる。指紋を読み取る仕組みに、まだまだ心理的な抵抗がある場合が多い。
電子証明書
特定の認証局が発行した身分証明書で、ブラウザに登録することにより、ブラウザ経由で特定システムにログインする際の認証・暗号化が可能となる。行政の電子申請に事例が多い。
●認証技術の今後の動向
最近の企業内においては、メール、イントラネット、勤怠管理、顧客管理、取引管理システム、経理システム、ワークフローシステム、グループウェア、文書管理システムなど、様々なシステムが存在し、益々増加する傾向にあります。一方で、これらのシステムに個別にアクセスする際、別々の認証の仕組みを持っていると、アクセスする度に、毎回異なるID/パスワードを入力するなど、非常に面倒なことになってきました。
個々のシステムに毎回ログインする度に、ID/パスワードを個人単位で必要とされる場合、パスワードを失念したり、オペレーションが面倒になり、アクセスすら自然と少なくなってしまってはいないでしょうか?
ID/パスワード入力の手間を省くため、今後は、統合認証サーバーを経由し、一度認証を終えたら、他のシステムにログインするたびに、毎回認証をされることなく、認証情報を引き継ぐ技術 ( SSD:シングルサインオン ) が一般的になると思われます。既に一部の企業では導入が始まっています。
SSOは何も社内のみに限定して利用されているものとは限りません。例えば、一般消費者と対象とした 「 アカウントアグリゲーション 」 という、個人の保有している複数のインターネットバンクやオンライントレード、クレジットカードサービスなどの取引口座を一括して管理する金融サービスもあります。これらのサービスにアクセスすると、インターネット上に散在している銀行の口座情報や取引情報など、個人の資産一覧を、個別のサイトに毎回アクセスしなくても、そのサイトで一覧を確認することが出来ます。この様なサイトでも、SSOの技術が利用されています。国内では、一部の大手の情報系ポータルサイト、金融ポータルサイト、ECサイトなどでは、ユーザーの利便性向上と、提携するサイト間での利用額に応じたポイント交換などを目的として、導入が進んでいます。また、企業内でも、先進的な企業では、SSOへの取り組みが行われています。
●認証の先にあるもの
今後は、認証・セキュリティの強化、管理コスト低減、即時化を目的として、アイデンティティ管理というものが重要視されていきます。アイデンティティとは、ユーザーがおのおの持っているアカウント情報と、関連する個人情報のことです。たとえば、ECサイトでIDを登録する際、予め住所、クレジットカードを事前に登録しておけば、毎回買い物をする際、入力する必要がない情報です。この様にIDには、個人情報以外に、アクセス権限など、様々な情報が管理されています。
例えば組織が大幅に変わる期初など、システムが更新されずに利用出来なかった経験はないでしょうか?人員構成が数万人規模になると、社員以外に関係会社、契約社員、派遣、アルバイトなど、様々な役割の方毎に、異なったポリシーを運用・管理するのには大変な手間が掛かります。アイデンティティ管理では、プロビジョニング、SSO、アクセス管理、IT資産管理、ワークフロー、社内ポータルなどの技術を組み合わせて、個々に管理された会社・組織の認証情報の連携を行い、IDの発行やアクセス権限の変更を、きちんと明確になった承認プロセスを経て実現するリューションとして、最近注目を浴びています。
今後は、様々な社内システムを一つにまとめる企業ポータルと、アイデンティティ管理という技術を組み合わせて、必要な人に必要な情報だけを届ける仕組みが整備されます。
こうしたポータルを利用することで、社員・行員が出社して最初にブラウザで企業内情報ポータルにアクセスすると、その人の職務、権限に応じ、その日にやるべきタスクが、ブラウザの画面の中に整理されて出てきて、必要な業務を迅速に行うことが可能になります。膨大な情報の洪水の中から、有能な執事、秘書がその社員の職務に応じて必要な情報を選別して見せ、職務効率の向上を実現します。
認証・アクセス管理をはじめとするセキュリティと、文書の電子化・最近流行の検索技術をはじめとした情報活用は、相反するものではありません。セキュリティと情報活用のバランスを取りながら、迅速な意志決定や知的生産の向上をはかることが、今後の企業の競争力の差になっていくのです。