本人認証
本人認証(ほんにんにんしょう)は、サービス提供を受ける資格を持つ、当該個人であると主張する人の真正性を確認する行為であり、対面交渉を前提としないサービスにおける認証においては、パスワードによる本人認証が代表的な認証手段である。
概要
[編集]サービス提供時における「本人確認」は、「個人識別」と「本人認証」というレベルを異にする2つの領域から成り立っている。「識別 (identification)」と「認証 (authentication)」は個別の概念で、「個人識別」は対象とする人を特定の個人と判別する行為であり、肉体的特徴や所持物などが代表的識別手段となる。
「本人認証」は識別された人が当該個人である事を確認する行為となる。
所持物や身体の特徴点の照合は、当人の否認を他者が否定するには有効であるが、当人の主張(それは俺だ)を他者が肯定するには無効である(例えば替玉自首を許してしまう)。
記憶の照合は、当人の否認(それは俺ではない)を他者が否定するには無効であるが、当人の主張を他者が肯定するには有効である(当人しか知り得ない事実を知っている)。
背景
[編集]情報処理推進機構 (IPA) セキュリティセンターの『本人認証技術の現状に関する調査報告書』(2003年3月)は「「認証」は真正性の確認 (Authentication)」であり(報告書3頁)、「認証とは何らかのサービスを提供する側が相手の真正性を確認する行為である」(報告書8頁)と定義している。
本人認証は何らかの経済的・法的行為の入り口となるものであり、本人の意思の確認が必要であって、権利義務の主体の確定にかかわる分野で適用される。これに対して、個人識別では識別対象となる個人の意思は問題とされず、識別される側は主体ではなく客体として登場する。
法的観点から考察するならば、すべての契約行為において契約主体には権利能力、意思能力、行為能力の三つの能力が要求される。つまり意思を持っていることが契約成立の前提の一つとなっており、契約当事者が泥酔や心神喪失状態にあるときは意思能力を認められない。民事訴訟法第228条4項に「私文書は、本人又はその代理人の署名又は押印があるときは、真正に成立したものと推定する。」と規定されているように、「署名・捺印」は本人の意思発現の象徴とみなされている。さらに、商法第32条では「この法律の規定により署名すべき場合には、記名押印をもって、署名に代えることができる。」と規定されており、法律では、署名を第一議とし、記名押印に署名と同等の効果を認めるという考え方を取っていることが示されている。
課題
[編集]- 非対面における認証
- モバイルやインターネットなど対面交渉を前提としない世界においては、サービス提供側にとって向こう側にいる眼に見えないユーザの「意思」を確認するのは容易ではない。登録したパスワードを入力するという行為はユーザ本人の「認証してもらいたい」という意思の発現と解釈できるので、「ID・パスワード」が認証方法として使われてきた。しかしパスワードの代替手段として登場してきた所持物照合や生体照合を単独で用いる場合、特定の物(ICカードや携帯電話など)を持っていることや肉体(指紋や静脈など)の特徴が登録されたものと一致していることをもって意思の発現とするにはやや問題がある。これは酩酊状態や意識のない状態でも可能だからである。
- 本人認証は何らかの経済的・法的行為の入り口となるものであるから、泥酔状態にあっても遂行可能な認証方法を単独で用いるわけにはいかない。従って、非対面の世界を含む場合において、主たる認証手段は記憶照合に頼らざるを得ず、所持物照合や生体照合は記憶照合と組み合わせて使う補助手段として機能させるべきであろう。
- なりすまし
- 情報サービスの利用における本人確認を例に取れば、まず利用者を識別し、続いて識別した利用者が本人であるかどうか認証が行われる。一般的には、情報サービスへのログインに使うIDが個人識別に、パスワードが本人認証に使われている。ATM利用時の暗証番号の入力を例にあげると、キャッシュカード上の利用者特定情報により利用者の個人識別を行い、その利用者しか知り得ないとされる4桁の暗証番号を入力させ照合する事により本人と認証している。(所持物照合、記憶照合の組み合わせ)
- ただし、複数のパスワードを管理しなければならない現代社会において、適切な管理を怠るとパスワードの盗難、漏洩により不正にサービスを利用される危険性が考えられる。
- 入館時の本人確認を例に取れば、ICカードを使った多くの入館システムでは、ICカードに書かれた(または、結び付けられた)識別情報にて個人の識別を行い、ICカードが有効な状態であれば入室を許可するという仕組みをとっている。こうしたICカードだけの確認は、発行されたICカードが正当なものということを確認するだけで、ICカードにより識別された個人が本人かどうかについて問わない識別即認証となるため、ICカードを取得してしまえば容易になりすましが可能となる。
- このような事から個人識別後の本人認証は、確実に行われる必要がある。
関連事項
[編集]参考文献
[編集]- 情報処理推進機構 (IPA) セキュリティセンター『本人認証技術の現状に関する調査報告書』(2003年3月)