友人から「ねえ、ドミニカ共和国の不動産を本気で売ろうとしているのでなければ、あなたのメールはハッキングされているよ」と電話がかかってきたことはありませんか?あるいは、銀行から電話がかかってきて、「本当にオハイオの青白いガキがナイジェリアの王子だと名乗って、7,000ドルを寄付するつもりだったのか?」と聞かれたことはありませんか?インターネットセキュリティは崩壊しており、私たちはサイバー空間で対策を講じる必要があります。だからこそ、米国商工会議所は4月15日、オンライン犯罪の着実な増加に対抗するための新たな提案を発表しました。「サイバー空間における信頼できるアイデンティティのための国家戦略(NSTIC)」と題されたこの提案は、より革新的で効果的なオンライン認証方法を促進するために、官民が共同で構築する「アイデンティティ・エコシステム」の始まりを概説しています。 「アイデンティティ エコシステム」のようなしゃれた未来的なフレーズに私のようにすぐに簡単に心を動かされないとしても (そして私は本当にそうなのです)、インターネット セキュリティの強化を支持する理由は他にもたくさんあります。
この議論の反対側を見るには、ここをクリックして、私たちの論点/反論の「反論」をお読みください。
「アイデンティティ・エコシステム」とは一体何なのか、と疑問に思う方もいるかもしれません。現段階ではまだ概念が曖昧ですが、基本的には現在のオンライン環境とは根本的に異なるオンライン環境を指します。匿名で誰もが利用できる環境ではなく、アイデンティティ・エコシステムでは、確固とした権威ある情報源に基づいて、人々が自身のアイデンティティを使用し、証明することを可能にします。このエコシステムは必然的に、消費者がオンライン・アイデンティティをより適切に保護する方法を選択できる、多種多様なセキュリティ・オプションをサポートすることになります。NSTICはこれらのセキュリティ・オプションを「信頼できる認証情報」と呼んでいます。これは、パスワードよりも安全とされるあらゆるデバイスや方法を指す包括的な用語です。確かに非常に曖昧ですが、少し考えてみてください。信頼できる認証情報として認められる可能性のある技術の大部分はまだ開発段階にあるのです。
これは新しいアイデアではありません。実際、発明家であり哲学者であり不可抗力のテッド・ネルソンが 1960 年に設立したプロジェクト・ザナドゥの仕事は、グーグリアン帝国の数十年前にこの問題を予測していました。プロジェクト・ザナドゥの第一のルールは?すべてのサーバーは一意かつ安全に識別されます。リストの少し下にも同様のルールがあります。すべてのユーザーは一意かつ安全に識別されます。ネルソンは、オンライン上の知的財産に対する補償の問題さえも予見していました。一意の ID があれば、ユーザーが記事を読んだりウェブページで画像を閲覧したりするたびに、ユーザーのアカウントから少額の支払いが引き落とされます。ほら、ドラマチックなシマリスが金持ちになりますよ!しかし、このアイデアは、ザナドゥのいわばライバルであるワールド・ワイド・ウェブが優位に立つと、支持されなくなりました。
パスワードの欠点を補うには、信頼できる認証情報が必要です。パスワードは、オンラインでアクセスしたい機密情報を保護するには十分安全とは考えられていません。「パスワードの何が問題なの?」と疑問に思うかもしれません。多くの問題があります!
パスワード?むしろ過去形の単語!
ツリーハウスで秘密クラブを作る子供なら、パスワードは最高です。しかし、それ以外の場所では、パスワードはもはや役に立たなくなっています。まあ、a) 悪気はありませんが、ニューヨーク・タイムズ紙の人気パスワードに関する記事が指摘しているように、あなたのパスワードはあなたが思っているほど巧妙ではないかもしれませんし、b) フィッシングやキーストロークロギングの台頭により、賢いハッカーはもはや推測する必要すらなく、あなたを騙してインターネット上の機密情報を漏らさせています。NIST情報技術研究所のインターネット政策上級アドバイザー、アリ・シュワルツ氏は、オンラインセキュリティ標準としてのパスワードは数年前から時代遅れだと考えています。「実は、連邦政府が(政策導入を)試みたのは、過去10年間で3回目です」と彼は言います。「しかし今回は、民間セクターからの支持がより高まっています」と、2011年2月17日付の公開書簡で、Business Software Alliance、Information Technology Industry Council、TechAmericaといった支援団体が署名し、議会にNSTICへの支持を促したことに触れています。どうやら、議会に手紙を書くことは、実際に効果がある場合もあるようです。
いずれにせよ、構想されている「アイデンティティ・エコシステム」は、アメリカ人に「信頼できる認証情報」の様々な選択肢を提供し、プライバシーを犠牲にすることなくオンラインIDの保護を強化するものです。マイクロソフト、eTrade、PayPalをはじめとする大手企業が既に支持を表明しており、この戦略に技術面で貢献すべく取り組んでいます。
「信頼できる認証情報とは何なのか?」と疑問に思う方もいるかもしれません。例えば、RSA SecurIDは、巨大情報インフラメーカーEMCのセキュリティ部門が製造するトークンです。これは小さなハードウェアで、一定間隔(通常は30秒または60秒)で、固有のキーから数字のパスワードを生成します。このパスワードは、RSAのサーバーにある同じ固有のキーで生成されたコードと照合されます。ユーザーは、SecurIDドングルに表示されるコードを、その瞬間に入力する必要があります。パスワードと組み合わせて使用すると、このトークンはハッカーにとって大きな障害となります。多くの企業がSecurIDに依存しているため、ごくまれに発生したハッキングによって顧客が攻撃にさらされた際に、Googleはパニックに陥りました。Googleもこの流れに乗り、2011年2月に、Gmailのユーザーがアカウントのセキュリティをさらに強化できると発表しました。この方法は「二要素認証」と呼ばれ、トークン、スマートカード、携帯電話、デジタル証明書などの新しいプラットフォームで使用できます。
シュワルツ氏は二段階認証の強力な支持者であり、NSTICが二段階認証のようなセキュリティ機能を採用することで「イノベーションを阻害するのではなく、促進する」ことを期待している。パスワードの非効率性を克服し、より安全なものに移行することで、NSTICは、医療記録や納税記録の保管など、通常はオンラインではリスクが高すぎるとみなされる作業を人々が実行できるようにする。彼は、サイバーセキュリティに向けたこの取り組みの例として、インターネットの出現そのものを挙げている。インターネットはもともと連邦政府のツールであり、民間部門に引き継がれ、今日のような子猫動画の宝庫へと発展したのだ。
プライバシーは侵害されるのではなく、強化される
いいですか、分かります。アメリカ人は自由を愛しています。NSTICのような計画に対して、アメリカ人はしばしば反射的に反応してしまいます。個人の自由が侵害されるのではないかと考えるからです。
しかし、それは事実ではありません。ゲーリー・ロック商務長官は、NSTICの戦略への参加は任意であり、政府ではなく民間企業が主導権を握ると繰り返し述べています。確かに、NSTICには連邦政府の権限の逸脱であり、中国の国家インターネットIDシステムと比較するなど、批判的な意見も出ており、大きな反発はありました。しかし、それは全くの誤りです。まるでアップルパイとミカンを比べるようなものです。
もっと安心したいですか?NSTICのアイデンティティ管理担当シニアエグゼクティブアドバイザー、ジェレミー・グラント氏は、こうした噂に反論し、「多くの国が国民IDカードへの依存を選択しています。私たちは、これは良いモデルではないと考えています。IDの発行元が単一であることは、プライバシーと市民の自由に関する容認できない問題を引き起こします」と述べています。シュワルツ氏はグラント氏の発言を詳しく説明し、この取り組みにおける政府の役割は、民間企業を集めて実用的な解決策を議論すること、彼らの研究を支援すること、そして公正情報慣行原則(FIPP)の遵守を確保することに限られていると説明しました。政府はこれらの検討事項以外には関与しません。
ベンジャミンズについて
サイバー犯罪がますます蔓延する中、オンラインセキュリティ改革はそれ自体が不可欠であることは、ここまででご理解いただけたかと思います。しかし、もう一つのメリットがあります。それは資金です!NSTICの計画は、国家にとって大きな節約となる可能性を秘めています。例えば、オバマ大統領は長年にわたり、医療システムの完全デジタル化を支持してきました。2009年1月、大統領は医療記録の電子化によって「無駄が削減され、煩雑な手続きがなくなり、高額な医療検査を繰り返す必要性が減る」と述べました。「数十億ドルの費用と数千人の雇用が節約されるだけでなく、医療システムに蔓延する、致命的でありながら予防可能な医療ミスを減らすことで、人命を救うことにもなります。」実際、2004年から2006年までブッシュ大統領の医療情報担当大臣を務めたデビッド・ブレイラー博士は、デジタル記録システムによって医療業界は年間最大3,000億ドルを節約できると見積もっています。これはアメリカ国民一人当たり1,000ドルに相当します!あなたはそのお金をどのように使うつもりですか?
でも、ちょっと待ってください。米国が記録の大規模なデジタル化を進める場合、特に医療情報のような機密性の高い資料に関しては、極めて安全な認証インフラが既に整備されている必要があります。そうでなければ、あなたがゾンビ・アポカリプスの患者だったことが、誰の目にも明らかになってしまうでしょう。これは、包括的な保護政策が今後数年間にもたらすであろう、もう一つの利点です。
自主的なシステムと強制的なシステム
NSTICは連邦政府の権限を逸脱していると考える人が多い一方で、不十分だと考える人もいます。サイバーセキュリティの専門家であるスティーブン・スプーンモア氏は、自動車業界と似たような義務的なコンピュータライセンス制度を長年提唱してきました。「1890年に自動車が導入された当時は、誰でも購入して運転することができました。しかし、30年後、自動車事故がようやく世間を驚かせ、ようやく誰もが従うようになった後、ようやく車に乗る前に基本的な道路交通法を学ぶことが義務付けられました。こうしたことはすべて、コンピュータと直接的に関連しています。1980年代後半に導入されたコンピュータですが、運転しているのが人やシステムに危害を及ぼす可能性のある危険な機械であるということを理解するのに30年もかかりました。」
スプーンモア氏は、NSTIC戦略は任意参加であるため「実現不可能」だと考えている。ドイツ、ベルギー、中国など、多くの国で導入されている国民IDシステムを避けるのは間違いだと考えている。「ドイツと中国におけるコンピュータ犯罪は、米国に比べてごくわずかです」と彼は説明する。「私はドイツの詐欺検出システムに携わったことがありますが、クレジットカード窃盗犯や児童ポルノ販売業者などは、米国よりもはるかに簡単に見つかります」。プライバシー侵害の問題があることから中国モデルを支持しているわけではないが、米国とドイツよりも、現在の米国システムと中国のシステムの方が類似点が多いと考えている。「ドイツの法執行機関には規則があり、行動を監視するには相当な理由が必要です。米国と中国では、政府はコンピュータを介していつでも誰に対してでもスパイ行為を行うことができ、本人には決して告げません。そして、実際にそうしているのです」
だからこそスプーンモア氏は、登録料、コンピューターの所有者に不可分に紐付けられたIPアドレス(現在、IPアドレスを空白にすることは合法で、これでは事実上匿名になってしまう。狂気の沙汰だ!)、そして様々な種類のライセンスを取得するためのコースを義務付ける、完全な連邦制を提唱している。「コンピューターは、あなたを様々な場所に連れて行き、様々なことを可能にする乗り物(あるいは武器)であり、もし誤用されれば人を傷つける可能性がある。他の乗り物や武器と同じだ。」
インターネットは素晴らしい。そして、アメリカよ、自由もまた素晴らしい。しかし、私たちは今、巨大な情報革命の真っ只中にある。比類なき新しい産業と文化を生み出す力は、同時に、互いに搾取し合う絶好の機会も生み出した。まるでスパイダーマンの「大いなる力、大いなる責任」のジレンマのようだ。オンライン犯罪者は、まるで樽の中の魚のように私たちを襲っている。結局のところ、問題は政府がオンラインセキュリティ強化のための措置を講じるべきかどうかではなく、サイバー犯罪者から国民を守るために、どこまで努力すべきかということなのだ。
