皆さんは街で身分を問われたらどうするだろうか。多くの人が運転免許証などの身分証明書を提示するだろう。では、インターネット上で個人や企業の実在を問われたらどうすれば良いのだろうか？。この問いに答えてくれるのが、インターネット上で人や企業の実在を証明してくれるPKI（Public Key Infrastructure）による認証機能である。

ただ、皆さんがインターネット上での身分証明書を提供してくれるPKIを認識する場は少ないかも知れない。理由は、SSLに代表されるように、これまでPKIが主に通信の暗号化に利用されてきた経緯によるところが大きい。

しかし、SSLにはWebサイトの運営企業の実在を証明するという別の重要な機能がある。今後はPKIのこのような認証機能に注目が集まるだろう。その理由は、フィッシング詐欺の登場にある。これまでも有名サイトを真似るサイトは存在していた。これが巧妙化し、大がかりにパスワードや決済情報を盗み出し、多額の経済的被害を及ぼす事件が多発した。この事件によって、Webサイトを運営する企業の実在証明が、一般利用者から求められるようになっているのである。

そして、一部のWebサイトでは、トップページをSSLでアクセスする形態に変更する動きも出てきている。さらに、マイクロソフトは認証局ベンダーによる企業の実在確認レベルの差により、SSLサイトの表示を変えるフィッシング詐欺検出機能をブラウザに追加してきている。今後、このような企業の実在証明の領域で、PKIによる認証機能の利用拡大が進むと予想する。

しかし、PKIの認証機能を個人の実在証明に適用することは、依然、課題も残されている。それはPKIによる認証が暗号処理を必要とすることに起因している。企業の実在証明では、この暗号処理をサーバに頼ることができた。個人の場合、どのパソコンでも利用できる環境を目指すと、ICカード等の媒体に頼ることになる。
結果、ユーザID/パスワードによる認証機能では発生しなかった新たなコストが発生するだけでなく、認証手順も大きく変更される事になる。この課題は最近の鉄道系ICカードの爆発的普及により解決に向かうかもしれない。しかし、PKIによる認証機能を個人に適用するには、これまでの認証機能に対する常識を大きく変える必要がある。

フィッシング詐欺対策の観点からもPKIによる認証機能は、今年、再び注目を集める領域である。企業は進化したPKIの実用性を再評価する必要があるだろう。（日本総研ソリューションズ）



PDF版はこちらから（362KB)