実はものすごく難しいデジタル社会の「本人確認」　パスキーとマイナンバーカードの狙いは？

　先日、ドキッとする体験をしました。私の電話番号にはさまざまな営業電話がかかってきます。普段はほぼ全て留守番電話にしていますが、かかってきた番号を見ると下3桁が「110」。通常、この番号は警察署を表しています。

実はものすごく難しいデジタル社会の「本人確認」　パスキーとマイナンバーカードの狙いは？

　電話を取ると、名乗るのは警察の方で、郵便受けにメモを残したとのこと。急いで玄関先に向かうと、確かに警察署のメモが残されています。筆者宅の壁への接触事故が発生したそうで、連絡が取りたいとのことでした。こちらの連絡先を聞かれ、事故を起こした先方の連絡先ももらいました。

　……電話を切った後、これは本物なのかと不安になりました。外に出て壁を確認すると確かに（さほど気にならない大きさの）傷はあります。メモも確かに警察署のもののようです。でも、もしこれが本物の警察ではなく、メモを投かんしわざと傷を付けて、さらに発信番号を偽装していたとしたら……。

　疑心暗鬼になりすぎるのは良くないのですが、今の時代、あまりにも偽物がはびこってしまった結果、「本物」を証明することも難しくなったと思いました。その後いろいろとやり取りをしたことで本物であることは分かりましたが、この状況に一番苦労しているのは警察の皆さんかもしれません。お疲れ様です。

●本人確認――「今操作しているのは登録した本人か」をどう証明する？

　インターネットの世界でも同様に「本物のあなたであると証明すること」が求められます。私たちはこれを一言で「本人確認」と呼んでいますが、実はこの言葉には、「当人認証」と「身元確認」という全く異なる2つのステップが含まれています。この2つを区別して覚えることが、これからのデジタル社会を生き抜く防犯知識につながります。

　インターネットの世界で「私は登録ユーザーです」と証明するのは簡単なことではありません。これをクリアしようとしたのが、あなただけしか知らないはずの「パスワード」でした。

　しかし、もはやパスワードだけで本人を確認することは不可能です。パスワードだけでなく、スマホに送られる認証コード（多要素認証に使う確認コード）などすらも、背後でリアルタイムに盗み取る高度な詐欺手法が当たり前のように使われており、従来の対策は攻略されつつあります。

　Webサイトであなたがあなたであることを証明する、「当人認証」の最新の方法は、最新の方法は「パスキー」でしょう。日々のスマートフォン利用で何度も実行される「ログイン」を、より簡単に、よりスピーディーに実行するための技術です。パスキーを使えば、面倒なパスワード入力の代わりに、顔認証や指紋認証、あるいは端末の暗証番号（PIN）をスマホに設定するだけでログインが完了します。

　「生体情報をインターネットに送信するなんて危ないのでは」と思うかもしれませんが、心配ありません。背景には「公開鍵暗号方式」という非常に強固な数学的仕組みが使われています。あなたの顔や指紋のデータ、そしてログインのための「秘密の鍵」はスマホの安全な領域（セキュアエレメント）から一切外に出ません。スマホ自体が「世界に一つだけの物理的な鍵」になり、持ち主の生体認証でその鍵が開く、と考えてください。

　パスキーは指定された本物のドメイン（URL）のサイトとしかやり取りをしないため、人間がだまされて偽サイトを開いてしまっても、スマホが自動で偽物だと見破るため、だまされて鍵を渡してしまうことがありません。フィッシング詐欺に対して非常に強力な盾になります。

　パスキー（およびそのベースとなっている技術であるFIDO2）は、あなたが誰であるかを非対面でも証明できる、優れた技術です。しかし、本人確認はそれだけでは足りません。

●もう一つの課題「あなたはどこの誰？」

　もう1つの重要な課題が、「そもそも、そのアカウントに登録された氏名や生年月日は、実在する本人のものか」という「身元確認」です。最初にアカウントを作った人が、他人の名前を騙（かた）る偽物だったら、どれだけ強固なパスキーを使っていても「偽物の本人」が守られるだけになってしまいます。警察官っぽい制服を着ていても、中身が偽者かもしれないのと同じです。

　これはさらに難しいものです。ここまでのものが必要なサービスとしては、リアルと強くひも付くもの、例えば携帯電話事業者や証券会社、銀行などが挙げられるでしょう。ログインのたびに設定する必要はありませんが、初回登録時には身元確認をしっかりやらなければなりません。身元確認がきちんとできていても、当人認証がなければ見知らぬ誰かのアカウントとなってしまいます。この2つがそろってこそ、デジタル社会の安全を守ることができるのです。

　私たちがそんなことを証明できるのでしょうか。対面であれば自動車運転免許証を出すことが多いと思いますが、非対面ではどうでしょうか。実は、多くの人がこれを実現するデバイスを持っています。それこそが「マイナンバーカード」です。ここにはパスキーでも触れたセキュアエレメントが含まれ、公開鍵暗号方式の暗号鍵が含まれています。それを、対面で（市役所で）身元確認の上で渡していますので、「マイナンバーカードのチップにアクセスできる情報を持つ、マイナンバーカードそのものを所持している人」という形で身元確認と当人認証を実現しています。なかなかそう認識している人は少ないと思いますが、実はマイナンバーカードとは面白いデバイスなんですね。

● 2つの車輪が揃って、初めて安全になる

　この点について、デジタル庁の資料でも詳しく説明されています。このような性質を持つものですので、マイナンバーカードの受渡しや、証明書の書き換えというのは、そう簡単に非対面では実現してはならないのです。

　つまり一言で本人確認といっても、主に日々のログイン時に必要となる「今操作しているのは登録した本人か」をシステムで確認する当人認証と、初回登録時に必要となる「あなたはどこの誰か」を公的機関が証明する身元確認に分けられます。もし警察から連絡があったとしても、それは悪意ある者かもしれません。もしかしたら、未来の世界では本物の警察かどうかを判別するための電子的な署名確認方法が出てくるかもしれませんね。

　最近では、野村證券やみずほ証券などがパスキーを新規登録する際にマイナンバーカードによる本人確認（身元確認）を必須とする事例が出てきました。「身元確認」と「当人認証」を技術で実現する動きといえるでしょう。

　対面ですら本物か見抜くのが難しくなった時代、ネット上ではなおさらです。フィッシングや詐欺が当たり前となっている世界で身を守るためには、焦らせる攻撃者の狙いに乗らないよう、「一度立ち止まって確認する」意識が重要です。

　手続きが増えて一見面倒に思えるかもしれませんが、これら最新の技術は全て「あなた」を守るために用意されたステップです。安全の裏側にある仕組みを知り、ぜひ賢く味方に付けてみてください。

著者紹介：宮田健（みやた・たけし）

『Q＆Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。