お使いのブラウザは最新版ではありません。最新のブラウザでご覧ください。

パスワードの山から解放される日はくるのか

2005/02/02 09:58
  • このエントリーをはてなブックマークに追加

 私には、電子バージョンの自分があまりにもたくさん存在する。私は先日、そういう結論に達した。

 これはつまり、Net IDとパスワードを山ほど持っているということだ。到底覚えきれる数ではないので、自らセキュリティ上よろしくない習慣の典型的な実践者となってしまった。パスワードをメモする、簡単に推測されるパスワードを選択する(さすがに愛犬の名前そのものだとまずいのでつづりを独創的に変えてある)、自分自身にパスワードをメールで送る、同じパスワードを何度も再利用する、などなど。

 最近は、至るところでWi-Fiに接続できるようになっている。高速ケーブルネットやDSLサービスはいくらでもある。インテルCEOのCraig Barrettが、ユビキタスなワイヤレスアクセス(WiMax)の実現は目前だと言っていた。しかし、私は相変わらず、黄色の付箋にパスワードとユーザ名をメモしてディスプレイに貼り付けている。この現実はどこかおかしい。

 本来なら、今頃はMicrosoftが開発したPassportのような仕組みで、1組のユーザ名とパスワードがあれば全てのサイトにログオンできるフェデレーテッド・シングルサインオンが実現され、天国のような世界が訪れているはずだった。

 しかし、Passportはガタガタの状態である。Microsoftの最も有望なPassportパートナーの1つであったeBayも、年末のショッピングシーズンが終わった後、Passportによるログインサポートを中止すると発表した。オンライン求人サイトMonster.comも昨年10月22日付けでPassortのサポートを中止した。その後もMicrosoftとパートナー契約をかわしたサイトが次々に契約を終了している。

 このようにPassortは消滅しようとしているが、Bill Gatesは相変わらず、パスワードは悪であり間もなく過去のものになると言い続けている。いいだろう。それを信じよう。Microsoftはスマートカードを使ってセキュリティを強化する新しい社内システムの開発を始めた。しかし、われわれユーザはどうなるのか。

 確かに、社内システムや提携企業とのリンクをセキュリティ保護することに注力している企業にとって、このニュースは励みになるだろう。一方、Microsoftがかつてシングルサインオン技術の分野で競い合っていたLiberty Allianceには、さらに多くのソフトウェアメーカーや大企業が参加している。これらの企業は、フェデレーテッド・アイデンティティをサポートするウェブサイトの構築や製品の開発を約束している。

 しかし、150社に上るLibertyのメンバー企業もその仕様のサポートを製品に組み込む必要があり、これには時間がかかる。

 MicrosoftとRSA Securityは共同でSecurID for Windowsというセキュリティデバイスを開発し、昨年秋にこれを発表した。このデバイスは、絶えず変化する一連の番号を生成し、ユーザはこの番号と通常のパスワードを入力しないと企業ネットワークにログインできない。

 コンプライアンスが注目される昨今、企業改革法(Sarbanes-Oxley Act)や反テロ法(Patriot Act)などの影響もあって、大企業がセキュリティID管理に本腰を入れるようになってきた。企業内の通信内容を外部に出さないための技術として、エンタープライズ・シングルサインオンなどの技術が脚光を浴びている。また、集中プロビジョニングソフトウェアなども、企業アプリケーションへのアクセスを許可する際の手作業によるミスをなくすのに一役買っている。

 Forrester Researchの調査によると、IDの盗用は米国で発生する犯罪のなかでも最も急速に増加しているため、企業--特にオンライン小売業者にとって、顧客のセキュリティを保護することが最大の利益につながるという。

 ただし、われわれ消費者側の事情はほとんど変わっていない。MicrosoftはLonghornがリリースされるまで我慢してくれという。Longhornを使用すれば、デスクトップマシンおよびWindowsベースのサーバ上でIDを簡単に管理できるようになるはずだからということらしい。今年の後半にリリースされるWindows Server 2003のアップデート版はIDフェデレーション技術を採用する予定だが、これは主にB2B通信のセキュリティ保護を狙いとしたものだ。

 Microsoftのセキュリティ戦略担当Scott Charneyによると、将来は電子スマートカードを使ってIDを管理する構想があるという。これはユーザをオンラインで安全に識別し、ユーザがネットワーク上で異なる人物になることができる技術だ。といっても、あまり期待してはいけない。まだ先の話である。

 結局、われわれユーザは、たくさんのパスワードを使い分け、相変わらず黄色の付箋を使い続けることになるのだろう。だが、もっと良い方法があるに違いない。

筆者略歴
Mike Ricciuti
CNET News.comのエグゼクティブエディター兼ケンブリッジ(マサチューセッツ)支局長。

  • このエントリーをはてなブックマークに追加
個人情報保護方針
利用規約
訂正
広告について
運営会社