みなさんこんにちは。日本情報システム株式会社 ICTソリューション部の進藤です。
今回は、認証の３要素のひとつ所持情報についてご紹介します。

所持情報の概要

所持情報とは、本人しか所持していないもののことをいい、主に身分証明書やクレジットカード、携帯電話、IC（Integrated Circuit）カードなどがあります。
ITっぽいのは抜きにして、家の鍵、銀行の通帳と印鑑などもこれに該当します。

ICカードは公開鍵暗号方式を利用して、外部から秘密鍵を読み取れなくすることで高いセキュリティが確保されています。内部の情報にアクセスするためには正規の手順を踏むことが必要であり、外部から直接メモリにアクセスして情報を読み出すことが困難な仕組みになっています。

問題点

所持情報は、物理的な"モノ"であるため破損、紛失、盗難といった問題がつきまといます。
しかし、これらの問題は良くも悪くも実例が多いうえ、問題を発見しやすいことから、発行元のサポート対応が早いというのが不幸中の幸いです。
これらの問題に所持者が気づかない場合、悪用、不正アクセス、情報漏えいにつながり、発行元にも相応の負荷が生じます。

運用・管理コスト

所持情報は運用・管理コストがかかります。以下は、クレジットカードを運用・管理するためのプロセスの一例です。

• 本人へカードの発行
• 問題発生時、カードの失効、再発行、認証側のカード情報を無効にする
• 24時間対応受付窓口

カードやそれを読み込むカードリーダーの物理的コストと、上記の一例にあるように、管理・運用面では人件費等のコストが生じます。後者のコストを減らすには、上記プロセスを自動化するなど対応方法はありますが、それはそれで開発コストがかかってしまいます。
つまり、どうやってもコストがかかってしまうというです。

まとめ

いかがでしたか。簡単ですが、3週にわたり認証の3要素をご紹介しました。なんとなくでもイメージできましたでしょうか。
この3要素の性質をふまえ、【知識情報】＋【所持情報】の多要素認証プロダクト開発を攻めていこう！ということになり、YubiKeyに辿りついたという経緯です。

しかし、何は無くともセキュリティの重要なポイントは、「使う人の意識ありき」という点にあります。
どんなに素晴らしいセキュリティの仕組みを建付けたとしても、使う人の意識で大きく左右されてしまうことは避けられません。

次回は、Googleアカウント認証についてご紹介する予定です。