ID/パスワードからの脱却へ
日本RAが危惧しているのは、IDとパスワードを使った認証の脆弱性と管理の複雑さだ。ID/パスワードの漏えいやハッキングなどの事件は日常茶飯事となっており、「いまやこの仕組みが脆弱であることは周知の事実だ」と田所氏。また、SaaSが普及し、複数のSaaSベンダーが提供するサービスを利用することも珍しくなくなった今、ユーザーがパスワードを管理しきれなくなっている現状を田所氏は指摘する。
「サービスによってパスワードのルールはさまざまで、数字や記号を利用する必要があったり、数ヶ月ごとに変更する必要があったりする。また、毎日使うサービスであればパスワードも覚えているが、月に一度しか使わない経理系のサービスまで含めるとすべてのパスワードを覚えておくのは無理がある」(田所氏)
パスワードを一貫して管理するようなサービスも登場しているが、「そのサービスにアクセスするためにもIDとパスワードが必要で、それが漏れてしまうとそこで管理しているパスワードがすべて流出するという危機的状況になりかねない」と田所氏は述べ、「脆弱性の高いパスワードによる認証ではなく、身分を偽ることのできないより安全なPKI証明書による認証を普及させたい」としている。
PKI普及に向けた最大の課題はコスト
では、なぜこうした問題点を抱えるID/パスワード認証が未だ幅広く使われ、PKIがあまり普及していないのだろうか。その最大の理由はコストにあるのだという。
「IDとパスワードはほぼ無料である一方、PKI証明書には初期構築費用がかかる。ライセンスの数にもよるが、1年分のライセンスを最初に購入するため、1000万円から1億円程度かかってしまうこともあるだろう。認証のためだけにそこまでのコストをかけられない企業は多い。コストをかけても売上に直結するわけではないからだ」 (田所氏)
また、多くのSaaSでは月額課金が主流であるにも関わらず、証明書は通常1年単位で課金している点も課題だという。「SaaS事業者がユーザーに月額1000円でサービスを提供している場合、証明書のために年に一度1000円を余分に課金することはできないだろう。世の中のSaaSの大半が月額課金しているのであれば、証明書も月額課金すればよいのではないかと考えた」と、田所氏はPKI認証の月額サービスを提供するに至った背景を説明した。
今回のサービスでUSB認証トークンというデバイスを選んだ理由は、管理のしやすさにあるという。「証明書の利用方法は、OSやブラウザなどの環境の違いで手順も異なり、サポートコストが肥大化するおそれがある。USBトークンであればPCに差し込むだけなので、一般ユーザーでも簡単に利用でき、管理者の負担が軽減できる」(田所氏)
USB認証トークンもこれまでは買取式だったため、初期費用がかかっていた。そこで、「トークンも証明書も管理サービスもすべて含めて月額課金する方法が、今の時代に合っている」として、今回のサービスが誕生した。このサービスでは、OSのバージョンアップなどPC環境の変動に対応することはもちろん、USBの紛失や盗難、水没、破損も標準で保証しており、完全な月額サービスとなっている。
