「認証」の意味を考える(2):コンピュータ用語としての「認証」

前回は、日本語としての「認証」の意味を整理してみましたが、今回はコンピュータ用語としての「認証」を考えてみたいと思います。

コンピュータ用語としての「認証」は、電子的に行われるので「電子認証」と言われることも多いようです。どのように定義されているか、見てみましょう。

IT用語辞典 e-Wordsでは、認証【authentication】とした上で、『正当性を検証する作業』と定義しています。

Wikipediaでは、認証を【Certification】と【Authentication】とに分類しながら、『何かしらの知識をもとに、対象の正当性を確認する行為を指す』と定義しています。

@ITのセキュリティ用語事典では、認証【Authentication】として、『ネットワークやサーバへ接続する際に本人性をチェックし、正規の利用者であることを確認する方法』と定義しています。

インターネットセキュリティ小辞典(Internet Security Glossary)では、

authenticate (認証する)
(I) システム主体によって/システム主体について、主張された身元を検証すること(すなわち、同一性が真実であると確立すること)。

authentication (認証)
(I) システム主体によって/システム主体について、主張された身元を検証するプロセス。

と定義しています。

【Certification】と【Authentication】の違いは、次回の「英語としての認証」で解説するとして、ひとまず【Authentication】を意味する「認証」について整理しておきましょう。

上記の用語定義を見ると、【Authentication】を意味する「認証」は、本来の日本語としての「認証」とは、かなり異なっていることがわかります。

もともとの日本語の「認証」は、

誰が:定められた公の機関が
何を:一定の行為や文書の作成が正当な手続きによってなされたことを
どうする:証明する

これが、コンピュータ用語になると、

誰が:コンピュータ(システム、サーバ等々)が
何を:対象によって提供された情報(本人であると識別できる情報、同一性を確認できる情報など)を
どうする:確認する(検証する、チェックする)

と変わってしまうのです。

とりわけ、「証明する」→「確認する」の変化が大きいです。

もちろん、「証明する」ためには事前に「確認する」作業が必要になりますが、単に「確認しました」で終わってしまうことと、証明まで行うことは、かなり意味が違うと言って良いでしょう。

混乱しないためには、従来の「認証」とコンピュータ用語の「認証」は、もともとの日本語の「認証」と全く別の言葉と理解した方が良いかもしれません。

●どんな時に、認証が行われる?

例えば、オンラインバンキングでは、

誰が:銀行のウェブサーバが
何を:口座契約者によって提供された情報(契約者番号、暗証番号など)を
どうする:確認する(検証する、チェックする)

これが「認証」【Authentication】というわけです。

「認証する」のは、銀行(のウェブサーバ)で
「認証される」のは、口座契約者(のパソコン)となります。

コンピュータ用語としての「認証」は、離れた場所にあるコンピュータ(認証する側)とコンピュータ(認証される側)の間で行われる場合が多いのですが、そうではない場合もあります。

例えば、同じ銀行でも、ATM(現金自動預払機:Automatic Teller Machine)になると、

誰が:銀行のATMが
何を:口座契約者によって提供された情報(キャッシュカード、暗証番号、手のひら静脈など)を
どうする:確認する(検証する、チェックする)

となります。

この場合は、「認証する側」と「認証される側」の距離は近接しています。

また、「認証される側」がコンピュータではなくて、人(口座契約者)となっており、より直接的に認証が行われてると言えるでしょう。

なお、金融機関の認証システムについては、セコム株式会社IS研究所の松本泰氏による『偽造キャッシュカード問題と認証システムの考察(PDF)』が詳しいのでオススメです。

●「認証する」のは常にコンピュータ、「認証される」対象は様々

コンピュータ用語としての「認証」では、「認証する」のは(主語は)常にコンピュータです。

もちろん、通常、コンピュータは人の支配下にあるわけですが、「認証」における実作業(確認する、検証する、チェックする)は、常にコンピュータが行います。

「人」が実作業(確認する、検証する、チェックする)する場合は、「認証」という用語を使うと混乱を招きますので、その状況に応じた適切な日本語(下記例)を使うのが良いでしょう。

・役所の窓口で行われる「本人確認」
・建物の入口で行われる「受付」や「セキュリティチェック」
・空港で行われる「保安検査(手荷物検査と身体検査)」
・納入品の「検品」
・宝石や美術品の「鑑定」

これに対して、「認証される」のは人であったり物であったり様々です。

ただし、「認証する」のがコンピュータであるため、「認証される側」はコンピュータが理解できる言葉を使ってあげる(または、理解できる言葉に翻訳してあげる)必要があります。

オンラインバンキングでは、契約者番号や暗証番号を「キーボード」や「マウス」を使ってパソコンに入力します。これで、言葉の問題は解決です。

後は、パソコンと銀行のウェブサーバが、インターネットを経由して自動でやり取りしてくれます。コンピュータ同士なので、会話もスムーズですね。

銀行のATMでは、もう少し複雑になります。

なぜなら、「認証される側」から提供される情報(言葉)の種類が多いからです。

暗証番号(知識)だけでなく、キャッシュカードや通帳(所有物)、最近では手のひら静脈(生体情報)などもあります。

例えると、オンラインバンキングでは、英語だけ翻訳すれば良かったのに、ATMではフランス語もアラビア語も翻訳しないと通じない。。。といった感じです。

こうなると「キーボード」や「マウス」といった翻訳機だけでは足りず、言葉の数だけ翻訳機が必要になります。

この翻訳機が、リーダー(reader:読取器、読取装置、リーダ)と言われるものです。

バーコードリーダー、ICカードリーダー、指紋認証リーダーなど、どれか一つぐらいは聞いたことがあるでしょう。電車の自動改札でも、リーダーが活躍していますね。

リーダーを使うことで、「認証される側」から提供される様々な情報を、自動的に読み取ってコンピュータが理解できる言葉に翻訳し、「認証する」コンピュータに伝えることができるのです。

●リーダーの負担が、利用者を遠ざける

便利なリーダーも、使い方を間違えると、利用者を遠ざけてしまいます。

銀行のATMでは、様々なリーダーが使われていますが、その費用を負担して用意するのは銀行(認証する側)です。

キャッシュカードが、磁気カードだけでなくICカードにもなったり、静脈認証などが導入されたりで、銀行が負担するリーダーの費用は多くなったと言えるでしょう。

しかし、利用者である口座契約者(認証される側)は、新しいキャッシュカードの登録・発行手続等を行う必要はあるものの、リーダーを用意する必要はありません。

これは、近接した状態で行われる「認証」の特徴と言えるでしょう。

これに対して、オンラインバンキングのように離れた状態で行われる「認証」では、原則としてリーダーを用意するのは利用者である口座契約者(認証される側)となります。

暗証番号などであれば、パソコンに付属している「キーボード」や「マウス」といった入力装置で足りるのですが、

キャッシュカード(ICカード)や静脈認証まで必要となったら、新たにリーダーを取得して自分のパソコンに接続しなければいけません。

しかも、「何でも読み取ってくれる便利なリーダー」は存在しませんので、

パソコンに無数のリーダーが接続され、もう何が何だか

なんて状況もあり得ます。

このように、離れた状態で行われる「認証」では、利用者(認証される側)におけるリーダー負担の問題が大きいと言えるでしょう。

電子政府・電子申請でも、「利用者の負担を軽減する」という視点から、リーダーの問題を含めて、認証のあり方を見直す必要がありますね。

さて、話しがだいぶ膨らんでしまいましたが、次回は「英語としての認証」を整理しながら、【Certification】と【Authentication】の違いを説明したいと思います。

関連ブログ>>「認証」の意味を考える(1):日本語としての「認証」