[自家中毒の情報セキュリティ]

【第3回】解決の方向性と、問題解決を妨げるもの

2014年2月14日(金)鵜野 幸一郎(日本セキュアテック研究所・代表)

第2回では、セキュリティ業界に蔓延する間違った思い込みの典型例として、生体認証を取り上げました。そして、生体認証関連製品/サービスに見られる「優良誤認」という概念について説明しました。とんでもない結果を招く「優良誤認」はなぜ発生するのでしょうか。最終回では「優良誤認」の発生原因と、その解決の方向性、および解決上の課題について考察します。

 「優良誤認」とは、実際よりも著しく優良だと示したり、事実に相違して競争相手の製品/サービスなどより著しく優良だと示したりすることです。セキュリティ業界において、この優良誤認が起きやすい原因としては、大きく3つが考えられます。

 原因の1つは、本人認証技術の本質に関する理解不足です。パスワードとは、本人認証において「記憶照合方式」を代表する方式であり、本人があらかじめ登録し、認証のたびに入力する文字・数字列を指しています。この本来的な定義を外れ、「認証のたびに入力する文字・数字列」の部分だけが切り離されてしまうと「記憶照合」の意味が消え、パスワードではないものがパスワードとして扱われるという誤認が生じます。

 第2の原因は、製品/サービスを提供する側の不作為・注意欠如による情報発信や、逆に誤解を恐れて正確に伝える努力をしていないことです。具体的には以下のような状況です。

(1)生体認証機能には本人拒否時の救済手段が必要であるにもかかわらず、組み込まれている救済用パスワードの存在を表示していない

(2)「パスワードよりも高いセキュリティを実現」とだけ伝え、パスワードの運用によってはセキュリティが低下することもあるという情報を伝えていない

(3)他社が自社基準によって性能を表示している中で、第三者評価機関による計測値のような厳密な値(他社との比較時に不利になる値)を表示するのは得策ではないと判断したり、あえて技術の限界についての利用者の理解を促すような記述を避けたりする

 第3の原因は、不注意による情報発信の“こだま効果”です。こだま効果とは、誤認を招く情報の再生産のことです。製品/サービスの提供者が情報を発信し、いったん社会に受容されてしまうと、その情報がどれだけ不正確であっても、検証されることなくマスコミ等で同一の情報が何度も繰り返し発信されるようになる状況を指しています)。

 こだま効果により、優良誤認を招く情報が再生産されると、「大手メーカーが言うことだから」「マスコミが報道していることだから」と無批判に受容する人が増える結果になってしまいます。その背景には、権威に弱く、有名ブランドを過信するあまり、検証もせずに思い込んでしまうという利用者側の習い性があります。

優良誤認情報の発信と“こだま効果”を断ち切る

 では、優良誤認を防ぐためにはどうしたらよいのでしょうか。即効的な対策は困難ではありますが、解決のための方向性ははっきりしています。(1)適正な表示のガイドラインの作成と普及、(2)産官学メディアへの適正な情報の提供と、利用者・消費者への啓発の2つです(図1)。

図1:“こだま効果”による優良誤認をなくすには、業界向けのガイドラインと正しい情報の提供と利用者の啓蒙が必要
この記事の続きをお読みいただくには、
会員登録(無料)が必要です
  • 1
  • 2
  • 3
バックナンバー
自家中毒の情報セキュリティ一覧へ
関連キーワード

生体認証 / パスワード / eKYC

関連記事

トピックス

[Sponsored]

【第3回】解決の方向性と、問題解決を妨げるもの第2回では、セキュリティ業界に蔓延する間違った思い込みの典型例として、生体認証を取り上げました。そして、生体認証関連製品/サービスに見られる「優良誤認」という概念について説明しました。とんでもない結果を招く「優良誤認」はなぜ発生するのでしょうか。最終回では「優良誤認」の発生原因と、その解決の方向性、および解決上の課題について考察します。

PAGE TOP