パスワード方式の功罪

今回は、広く使われているパスワード入力方式をテーマに、渇望される行政サービスを実現するためにITをどう折り合わせるかについて、問題提起を行いたい。

コンピュータの普及以来、情報システムの利用というさまざまな局面で「個人情報識別のためのパスワード」が広く使われてきた。利用者を特定するためのパスワード方式は、パスワードデータの完全秘匿や自動ワンタイム・パスワード、自動サインオン、自動デジタル署名などの技術へ結実した。

この方法の決定的不便さは、利用者に不正アクセスに対抗するためのより複雑な（覚えにくい）パスワードを、しかも複数強いることにある。

情報化社会のジレンマとして、

(1)　アプリケーションが増えれば増えるほど、利用者のユーザIDとパスワードが増える
(2)　対して利用者が［記憶で］管理できるパスワード（暗号化の鍵）の数は限られる
(3)　しかも安全のために12桁以上の特殊文字入りランダム文字列が望ましい

というのがあるが、これに対して、「やってられないよ、パスワードなんか無しに安全なアクセスを行いたい！」という絶叫が聞こえてくる。

この絶叫はもっともなことだ。何故か？パスワードの方式が、個人を確実に識別する方法として適切でないだからだ。

ITの世界ではこうしたことがまま起きる。キーボードの文字配列やマウス装置、狭隘なモニタ画面などが、当然の技術成果として使われている。利用者に負担を強いるIPv6や単独では信頼しきれないICカード、洗練さに欠けるタッチパネルモニタなどが、使われようとしている。より良い代替物が利用できるにもかかわらず。

情報社会におけるITの利便性は疑い得ないが、それが提供者側の都合で（事実上の）標準とされるときにこの事態が起きやすい。これを利用する側の都合に合わせることができれば、その技術は人に優しいものとして広く受容される。

e-Japan計画においては厳密な本人識別・認証が解決すべき課題とされていて、電子的住民証明書（住民パスポート）をICカードに収納して「所有」による本人識別とパスワードにより安全な住民サービスを行うこととなっているが、現行の「対面」による本人識別に較べて信憑性に疑問が残ることから、他の本人識別技術との併用が検討されている。

本人証明を要する行政サービスの高度化には、利用者が自分のパスポートを携行することと、より汎用性・相互運用性の高いアクセス環境の双方が必要とされる。ICカードの大きな不便さは、通常の情報機器では標準装備されていない特別な読取・書込の装置を要する点にある。これに対して、USBトークン（フラッシュメモリ）キーやUSBフラッシュドライブならば、一般に標準装備されたUSBポートが使えるので、どこでも使える。

しばしばポケベルや携帯電話、高性能パソコン、ADSL加入など、民需が予測をはるかに外れて伸びるのを経験する。いずれも、利用者側があるべき生活のスタイルを希求する道具として便利だと感じ、自主的に渇望する場合に。他方、提供者側の論理は標準化とか共通化とかの、技術を規格化し規制する方向で動いている。ICカードの利用についていえば、代替としてUSBキーを使えるようにするといったいくつかの選択肢を用意し、利用する側の意向をフィードバックできる形で運営しなければ、利用者が渇望するものともならず、また情報デジタルデバイドも上手く解消されない。世界の電子政府先進国がそうであるように、行政サービスにおけるITは、このように民需から喚起されなければならない。

河上　一郎（かわかみ　いちろう） 日本ユニシス株式会社 官公庁営業／技術主幹

提供：日本ユニシス