Scribble at 2023-12-11 09:24:58 Last modified: unmodified

MFA、この場合は "multi" factor authentication なので、正確には「二段階」ではなく「多段階」や「複数段階」と訳すべきだが、現実には大半が二段階なので「二段階」でも意味は通じるだろう。ちなみに、数や量を表す表現と名詞とで他の名詞を修飾する場合は、修飾している名詞が量や数としてどれだけあっても単数形で表される。MFA が multi "factors" authentication でないのは、そういう英語の風習があるからだ。

で、本題に戻るが、MFA に色々な制約があることは確かだ。複数の経路や手段、すなわち複数の認証機構で credentials を利用するとは言っても、そこには選択肢が少ないので、端的に言えば記事でも書かれているようにスマートフォンの利用が強制されていると言ってもよい場合がある。でも、だからといってパスワードだけの認証でいいかと言えば、それほど単純でもない。僕は当サイトで（それから会社でも個人情報保護管理者＝Chief Privacy Officer として）、業務プロセスに生体認証を導入して従業員の指紋や虹彩の登録を求めることはプライバシー情報を会社が強要する憲法違反の重大な人権侵害だと思っているので、パスワードを利用した認証の方が良いと言っているが、だからといって、パスワード認証だけで（ISMS で言う CIA-triad の）機密性レベルを十分に保てるとは思わない。よって、MFA のような仕組みも必要だろうと思う。

MFA を推進する側には、とりわけオンライン・サービスの事業で利用するというケースを想定した場合に、それなりに正当な理屈がある。実装する側の理屈で言えば、「本人性」としてはメールで認証コードやワンタイム・パスワードを送るよりも SMS などスマートフォンで操作することを求めたほうが確実だからだ。メールなんて誰が受信しているか（つまり二段階目の手続きをするか）分かったものではないが、スマートフォンなら他人が本人の代わりに応対することは難しいし、メールだけだとスパム業者が大量の（いわゆる「肉なし」）アカウントを簡単に作成できてしまう。つまり、MFA を導入している事情は、単に認証プロセスを強固にするというだけではない。プロセスそのものを複雑にしたり、あるいは可能な限り一人が一つのアカウントしか作成できないようにして、大量の不正なアクセスの作成を抑制することも期待される効果の一つだが、それ以外にも、本人性を高めることで、匿名だろうと実質的に個人（あるいは同一人物であること）を特定したり保証するマーケティング上の事情もある。

ということで、MFA の導入を支持するとしても、純粋に情報セキュリティという脈絡だけで議論している限りは、「渋谷で死ぬまでコーディングしていたい」系の未熟なエンジニアがブログでつぶやく程度の議論で終わってしまう。そこでの事情は複雑だし、必ずしも正当化できるとは限らない意図もあるが、全体として導入するかどうかを問われるなら、やはり導入した方がいいという或るていどの妥協を勧めしたい。

それに、情報セキュリティの実務家として言えば、パスワード認証だけという仕組みには致命的な欠点がある。それは、パスワードの認証システムを設計・構築・運用している側の無謬性とまでは言わないまでも、エンド・ユーザより優越したセキュリティ体制をとっているというデタラメに依存してしまうということだ。実際には、システムを運用している側のエンジニアが管理者情報を杜撰に管理していて漏洩してしまうなんて事故は頻繁に起きている。安月給あるいは安いギャラで暇潰しにシステムを運用している人々に高度なセキュリティ意識なり実務を期待するのは軽率だが、IT ベンチャーやネット・ベンチャーの多くは、事故が起きるまでに大企業へ買収されたらラッキーとか、警察に捕まるまで可能な限り儲けられたらオッケーとか、あるいは誰かに怒られるまでは個人情報保護法も知りませんというアホのフリをしていようといった出口戦略しか頭になかったりするので、どれほど美麗なデザインでクールな機能あるいは面白いアプリケーションを提供している事業者であろうと、われわれエンド・ユーザは IT 人材の大半なんて信用してはいけない。仮に慶応や東大でコンピュータ・サイエンスの博士号を得ていようと、法律や社会常識については何の頓着も素養も関心もないサイコパスなんて山ほどいるのだ。

MTA を実装していれば、運営側が究極のアホであっても、パスワードが漏洩するだけで勝手にログインされる恐れを低減できる。