━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【 3 】News & Views Column  「名刺2枚」
                        JPNIC CAとアプリケーション専門家チームメンバー
                                                    富士ゼロックス(株)
                                                                稲田龍
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

インターネットは、地球全土を結びつけ人類の活動範囲を大いに広げました。
実際、インターネット以前と以後では私たちの生活もずいぶん違ってきました。
インターネット以前では、調べ物をする場合、図書館や書店に行き書籍を調べ
たり、論文を探したりと時間と労力がかかりました。今やGoogleで検索すれば
膨大な情報がすぐに手に入ります。

このような環境において、便利さを亨受しているのですが、その一方でSPAM 
メールも大きな社会問題となっています。また、活動範囲が広がり、多くのホ
ストやWebサーバにアクセスできるようになった反面、サーバに不正に侵入し、
内容を書き換える事例も散見します。

インターネットにおける認証の重要性は言うまでもないと思いますが、では
どの程度の堅固さが必要になるかを考えると難しいものがあります。
 
実社会において、「お名刺を2枚いただけますか？」といわれたことはありま
せんか？ これは、「名刺を1枚なら、人からもらった名刺で『成りすまし』を
しているかもしれない。2枚持っていれば（少しは）信用できる」ということ
から同じ名刺を2枚もっていればある程度、信用できるということだそうです。

実際には、名刺は2時間もあればできますし、どこまで「名刺2枚」が信用でき
るかは難しいところです。しかし、わざわざ名刺を作るということは、それな
りの「成りすまし」をする意図があるわけですし、名刺を作るための投資（印
刷代、会社名を調べる、部署名を調べる、個人情報を調べるなど）を行ってい
るわけですので、確かに「軽い気持ち」で行っているわけではないといえます。
それなりに有効性があると考えられます。

インターネットでの認証に関して、どの程度の「確からしさ」が必要であるか
を考えるときに、実世界における仕組みと対比すると分かりやすいのではない
かと考えています。

通常のユーザ名/パスワードによる認証は、「名刺1枚」くらいではないでしょ
うか？ 実世界において名刺1枚で「済む」程度のものなら、ユーザ名とパスワー
ドで十分と考えると分かりやすいのではないでしょうか？（もっとも、途中で
のデータの盗聴/改ざんの可能性を考えればSSLで伝送路を守ることも必要でしょ
うが）

「名刺2枚」レベルであれば、PKIベースでの証明書による認証が必要ではない
でしょうか？ これも通信相手が互いに相手の証明書を確認するなどといった
点を考えなければいけないと思います（SSLならサーバ認証のみではなくクラ
イアント認証も必要という感じです）。

証明書も価格も下がり、多くの環境で容易に利用できる状況になっています。
あまり持っている人はいませんが、公的個人認証サービスでは、制限があり
ますが10年間有効の証明書を500～1000円程度で地方自治体が発行していま
す。Windows Server 2003には証明書発行サービスがついてきています。

SSLによる認証以外にも、意外と知られていませんがS/MIMEというメールに
対する暗号化/電子署名の仕組みも利用できます。無線LANの認証にも、PKI 
ベースでの認証がWindows XPでは、いつでも使える状況です。

また、文書/プログラムに対しても電子署名を使うこともできるようになって
います。Adobe社のAcrobatには電子署名の機能が組み込まれていますし、
Windowsのドライバにも電子署名をつけることが可能となっています。JPNICに
おいてもIPアドレス認証局の調査研究を行っていたりもします。

「名刺2枚」にどの程度の重きを置くかは微妙ではありますが、意外と簡単に
「ユーザ名/パスワードよりも強力な認証が使える状況になっている」という
ことは考える価値があるのではないでしょうか？