2021.06.14

パスワード、いくつ覚えている?
       ~匿名認証技術の普及に向けて~
基幹理工学部 情報理工学科 佐古 和恵

学校のログイン、SNSのログイン、ネット通販のログイン、ネット銀行のログイン、、、あなたはいくつパスワードを覚えていますか?もっというと、覚えさせられていますか?

パスワードは、あなたがサービスに登録した本人であることを示すための重要な情報です。他人に類推されてなりすまされないように、長くて複雑なパスワードが望ましいですが、覚えるのに一苦労します。なので、複雑なパスワードを様々なサービスで使いまわしたくなりますが、これは危険です。どこかのサイトからIDパスワードが流出すると、そのリストが裏インターネットに出回ってしまいます。そしてこの情報で他のサイトのログインに使えないかを試そうとする人たちがいます。

アカウントをいちいち作ってパスワードを設定するのは大変だから、GoogleやFacebookやTwitterのアカウントで便利にログインしているよ、という人もいるでしょう(ソーシャルログインと呼ばれます)。確かに、これらのテックジャイアントはあなたのパスワードをしっかり守ろうとしてくれるでしょう。同時にあなたのこともよく知ろうとしています。あなたがこのアカウントを使ってどんなサービスに登録しているか。そのサービスをどの時間帯にどれだけ使っているか。そして自分の顧客の事業者に「こんなことに興味をもっているユーザがいますよ。あなたの製品を買うかもしれませんよ。この人に広告を出しませんか」と営業をしています。
ソーシャルログインは使わずに、ブラウザに覚えてもらっていたり、パスワード管理ツールを使っている人もいるかもしれません。このあたりが現実的な身の守り方のような気もしますが、ブラウザ提供企業、管理ツール提供企業(テックプロバイダーと総称します)に多くの情報をゆだねることになっていそうです。

これからも、自分でたくさんパスワードを覚えるか、テックジャイアントやテックプロバイダーに自分の情報をゆだねるかしかないのでしょうか。これに対して、早稲田大学ではパスワードに代わる新しい本人認証技術の研究と、それを多くの人につかってもらえるよう普及活動を行っています。

技術的には、パスワードに代わる本人認証手段として、「公開鍵暗号」や「ゼロ知識証明」を使った新しい認証手段を研究しています。パスワードは知られてしまったら本人になりすまされてしまう情報なのに、ログイン時に提示しないといけない、というのが大きな問題です。公開鍵暗号技術を使うと、相手に見せるのは公開鍵だけ。そして、ゼロ知識証明技術を使って、「私はその公開鍵に対応する秘密鍵を持っている」ということを証明して本人を認証することができます。ゼロ知識証明なので、この証明を何度実施しても秘密鍵に関して漏れる「知識」は「ゼロ」になり、安全であることが保証されます。この方式であれば同じ公開鍵を複数のサービスに登録しても秘密鍵が漏洩するリスクは少なくなります。でも同じ公開鍵だと、この人が他にどんなサービスに登録しているのか、追跡できてしまう問題が発生します。そこで、さらに「匿名認証技術」[1]を活用して、公開鍵さえも秘匿しつつ、必要なセキュリティ要件を満たす方式が構築できます。

制度的には、このようなゼロ知識証明や匿名認証技術を用いたアーキテクチャを多くのサービスで活用してもらえるよう、仲間を募り、オープンソースを開発し、標準化をすすめることに取り組んでいます。現在、この概念は World Wide Web Consortium (W3C) で Decentralized Identifiers (DID) [2] やVerifiable Credentials (VC) [3] として標準化策定がはじまっています。また、日本政府もTrusted Web推進協議会が2021年4月に発行したホワイトペーパー[4]でこの概念の可能性を議論しています。

身近な課題を解くためにどうすればよいか。そしてゆくゆくは「昔はたくさんのパスワードを覚えなくてはいけなくて大変だったんだよ」という昔話になるよう、今できることに取り組んでいます。

[1] 佐古・米澤・古川「セキュリティとプライバシを両立させる匿名認証技術について」
 https://ci.nii.ac.jp/naid/110004734688
[2] W3C Decentralized Identifiers
 https://www.w3.org/TR/did-core/
[3] W3C Verifiable Credentials Data Model
 https://www.w3.org/TR/vc-data-model/
[4] Trusted Web ホワイトペーパーver 1.0
 https://www.kantei.go.jp/jp/singi/digitalmarket/trusted_web/pdf/documents_210331-2.pdf
(URLはすべて2021年5月30日閲覧)

基幹理工学部・研究科へのお問合せ

受付時間:月〜金 9:00〜17:00、土:9:00〜14:00
〒169-8555 東京都新宿区大久保3-4-1
TEL:03-5286-3000 FAX:03-5286-3500
Email:fse-web@list.waseda.jp
入試に関するお問合せはこちら

Copyright ©Waseda University All Rights Reserved.