「認証」の意味を考える(4):認証のステップを整理する

本シリーズも4回目となりました。今回は、「認証」に類似する用語【identification】の意味を確認しながら、認証のステップ(段階、流れ)を整理してみたいと思います。

●本人確認なら【identification】(アイデンティフィケイション)が本家?

英語を知っている人なら、

コンピュータ用語としての認証【authentication】
 誰が:コンピュータ(システム、サーバ等々)が
 何を:対象によって提供された情報(本人であると識別できる情報、同一性を確認できる情報など)を
 どうする:確認する(検証する、チェックする)

これって、【identification】のことじゃないの?
と思うかもしれません。

日本では、二つの「認証」【authentication】と【certification】で混乱していますが、英語では【authentication】と【identification】が紛らわしいようです。

英和辞典(goo 辞書)で調べてみると、

【identification】
同一であるとすること, 同一性の確認; (死体, 罪人などの)身元確認; 身分証明(となるもの); 識別; 一体化, 同一化 ((with)).

【identify】
vt. 同定する, 見分ける ((as)); 身元を確認する; 同一視する ((with)).
vi. 一致する, 一体となる ((with)); 共感[一体感]を持つ ((with)).

となっており、確かにコンピュータ用語としての認証【authentication】に近いものがあります。

英語を母国語とする人なら、【authentication】なんて難しい言葉より、日常で使われる【identification】の方がよっぽどわかりやすいと思うでしょうね。

それでは、コンピュータ用語としての【identification】は、どんな意味なのでしょか。

RFC 2828 (rfc2828) – Internet Security Glossaryによると、

$ identification
(I) An act or process that presents an identifier to a system so
that the system can recognize a system entity and distinguish it
from other entities. (See: authentication.)

つまり、コンピュータ用語としての【identification】は

誰が:(コンピュータが)別のコンピュータ(システム)に対して
何を:識別子(identifier:同一性を確認できる情報)を
どうする:提供する

ことを意味します。

ちょっとわかりにくいですが、人間で言えば「自分の氏名」を相手に対して「言う」ようなものです。

注目したいのは、「提供する」という部分です。

本来の英語では、「確認する、見分ける」といった意味だったのに、「提供する」となっており、意味がかなり変わっています。

●認証のステップで各用語の役割を理解する

【authentication】【certification】【identification】、もう何がなんだかわからない~

となりそうなので、認証のステップを見ながら、各用語の役割を確認してみましょう。あ、でも更に別の用語が出てきちゃったりして

1 インターネットバンキングの利用申込をする

ここでは、まだ【authentication】【certification】【identification】どれも出てきませんね。

2 銀行の認証局から電子証明書を発行してもらう

このインターネットバンキングでは、利用者確認のために電子証明書が使われるとのこと。この電子証明書は、ICカードではなく、パソコン格納タイプです。

まずは、【certification】の出番です。

認証局【certification authority】から電子証明書【certificate】を発行してもらって、パソコンに格納(インポート)しましょう。

3 インターネットバンキングにログインする(1)

ここから、【authentication】が始まります。

インターネットバンキングのサイトへ行って、『ログイン』をクリックしました。すると、『口座番号を入力してください。』と表示されたので、自分の口座番号を入力して『完了』をクリックしました。

ここまでの作業が【identification】です。

そう、実は【identification】は【authentication】の一部で、「認証」の第一段階にあたります。

この【identification】では、「口座番号」という他人と異なる自分だけの番号、これが『識別子』として働きます。

利用者のパソコンが、銀行のウェブサーバに対して、「口座番号」という識別子を提供したのです。

このように、『識別子』は他と重複しない唯一のものですが、秘密のものではありません。

4 インターネットバンキングにログインする(2)

自分の口座番号を入力して『完了』をクリックすると、今度は『ご使用の電子証明書をお選びください。』と表示されました。

同時に、電子証明書の一覧(といっても銀行の認証局から発行してもらった電子証明書しか持っていないので一つだけ)が表示されたので、銀行の電子証明書を選んでクリックします。

これにより、利用者のパソコンは、銀行のウェブサーバに対して、「電子証明書」という情報を提供します。

銀行のウェブサーバは、最初に提供された「口座番号」という識別子と、その後に提供された「電子証明書」を照合して、確かに利用者本人であるかどうかの確認をします。

この作業を「検証」【verification】と呼んでいて、「認証」の第二段階になります。

ここまでで、「認証」【authentication】はお終いです。

【certification】と【authentication】は、全く別のものですが、【identification】は【verification】と共に【authentication】のプロセスの一部ということになります。

なお、今回の電子証明書のように識別子【identifier】に添えて提供される情報を、識別子を含めて「認証情報」【authentication information】と言います。

認証情報は、認証【authentication】する際に必要となる情報で、パスワード、キャッシュカード、暗証番号、生体情報などを含みます。

5 インターネットバンキングにログインする(3)

認証【authentication】が終わると、その結果を踏まえて決定(判断)が下されます。この場合は、「口座番号」を保有する本人であると認めてログインを許可するか許可しないかという決定です。

本人であると認める:認証に成功する、認証できる
本人であると認めない:認証に失敗する、認証できない

といった表現が使われるようですね。

今回は「口座番号」も間違いなく入力し、電子証明書も提示したので、無事にログインできました。めでたし、めでたし

順番を再確認すると、

1 利用申込み
2 電子証明書の発行:【certification】
3 口座番号の入力:「認証」【authentication】その1【identification】
4 電子証明書の提示:「認証」【authentication】その2【verification】
5 ログイン完了:「認証」【authentication】の成功

【certification】は、「認証情報」【authentication information】の一つに過ぎないので、必須ではありません。実際のオンラインバンキングでは、電子証明書の代わりに暗証番号が利用されていますね。

なお、識別子(口座番号など)は、他の「認証情報(暗証番号など)」と同時に(一セットで)提供(入力)するのが普通です。ですから、【identification】してから【verification】して・・・なんて考えるのはコンピュータ(と一部の人)だけでしょう

さて、「認証」の意味を考えるシリーズは、今回で最終回とします。

もう考えるのが疲れちゃって

というのは冗談ですが、このまま進めると、さらにマニアックになりそうで怖い

次回は、実践編として「認証を活用した電子政府サービスのあり方」を3回ぐらいのシリーズでお送りしたいと思います。

1 行政が電子署名にこだわる理由
2 電子署名が無くても大丈夫?
3 新たな電子政府のサービスモデルの提案

たぶん、こんな感じになる予定ですが、できるかな~