連載コラム 第93回:IoT とデジタル ID ~ kusabi をあらためてご紹介 ~

突然ですが皆さん、マイナンバーカードは作りましたか?
交付率は 2021 年 11 月時点で 約 4 割というニュースを見ました。 普及率を向上すべく、何か(キャッシュレス決済サービスなど)との紐づけをおこなうことでマイナポイントが付与される・・・という作戦も打たれました。ですが、本コラムでの着目点はそこではなく、マイナンバーカードに埋め込まれた IC チップについてです。

この IC チップには「電子証明書」が搭載されていることはご存知でしょうか?
(カード交付までの詳しい仕組みの話は省略しますが)このマイナンバーカードの持ち主が本人であるという証明をするため、どのような手続きを踏んで証明書が発行されているか。実際にマイナンバーカードを作られた方々であれば、その手続きをご存知かと思いますが、マイナンバーの交付には役所窓口に行く必要があります。そこで本人確認がおこなわれて初めてマイナンバーカードが発行されます。
しかしそれだけでは終わりません。このカードは 10 年後(未成年は5年後)に更新手続きが必要になります。個人とマイナンバー(ID)を紐づけるという部分が、手続き上でいかに重要になっているかがわかりますね。

パソコンなどの世界も含め、今までは個人と情報を紐づける仕組みとして、ID やアカウント、そして、それを利用出来るようにするパスワードが一般的でした。マイナンバーもパスワードをいくつか必要とします。
PC やスマートフォンでは、指紋や顔での本人確認方法も出てきました。その他にも、セーフティーな多要素認証の方法として、メール・SNS・PIN コードなど色々あります。が、結局の所は、パスコード解除の仕組みが最も一般的かと思われます。
現状では、先述のような多要素・多段階による認証によって防御壁の数を増やし、パスワード突破への難易度を上げることで不正アクセスを抑えているのです。

少し脱線しますが PPAP 問題というキーワードもありました。通常であればパスコードを何回か間違えるとロックが掛かる機構により総当たり攻撃(ブルートフォースアタック)を防ぐことが出来ます。しかし、PPAP 問題ではそれが出来ず(回数制限によるロックがかからず) 8 桁程度のパスワードでは英大文字小文字 + 数字でも 15 時間程度で解析できてしまうという zip パスワードの脆弱性の問題やメール盗聴などの問題点があります。

このようにヒトとモノやヒトとネットを考えた場合、多くのセキュリティ課題に対しては、今まで様々な “デジタル ID 方式” で守ろうとしてきた歴史があります。