どうも。スガ〜です。
ココナラのブログでどこまで書けるか試していきつつ、情報セキュリティに関する話題を出していこうと思います。
できるだけ分かり易く(と思い込んでいる)内容にしていきたいと思います。外部サイトへのリンクを貼れないので、みなさまが調べていけるように、外部の検索サイトで調べていけるキーワードを太字にして示します。なお、検索したときは、悪意のあるサイトにアクセスしないよう十分にご注意ください。
また、読み方が分かりにくいなぁと感じたIT系の用語は、角括弧[ ]内にカタカナで読み方を付けておりますので参考にしていただければと思います。
アイデンティティとは?
こむずかしいカタカナ言葉を使っていますが、ユーザー名、ユーザーID、ID[アイディー]のことと思っていただければ良いかと思います。辞書などを引くと「自分が自分であることを示すこと。」のように説明されているので、自分のことを示す情報だな、と認識していただくことで良いかと思います。
ITの世界でより正確に表現すると、デジタル・アイデンティティと呼ぶのですが、そんなふうに言うの、普段の生活で聞いたことないですよね。
また、実際にはID(ユーザー名)以外にも、自分を示すその他情報も含めた大きな単位の用語になります。
より詳しい定義や、どのようにデジタル・アイデンティティを扱ったり管理するかについては、国際規格や各国からガイドラインが出ているので参照すると良いかと思います。
国際規格では、ISO/IEC 24760シリーズ[アイエスオー アイイーシー ニーヨンナナロクゼロ(※数字の部分は読みがさまざま)]
ガイドラインでは、NIST SP 800-63シリーズ[ニスト エスピー ハッピャク ノ ロクジュウサン(※数字の部分は読みがさまざま)]
が代表的なドキュメントになると思います。
難しいことは専門のドキュメントに譲り、このブログでは、ざっくりと省いて、皆さんが身近に表現するID(ユーザー名)だけに焦点を当てて書きます。
ID(ユーザー名)は何を使うか?
ご自身が、あるサービスに登録するとき(アカウントを作成するとき)に、どのようなID(ユーザー名)を使っているでしょうか?
みなさんがインターネット上で買い物をしたり、SNSなどを利用するときなどに、各サービスに登録すると思うのです。そのようなときに、パスワードはかなぁ~り悩んで設定すると思うのですが、ID(ユーザー名)をどうしようかと悩むことが、少ないかと思います。
お気づきになると思いますが、メールアドレスをID(ユーザー名)に使っているサービスが多いでよねぇ。
ID(ユーザー名)の性質
ID(ユーザー名)の性質として「その世界の中で、1つしか存在しない」というのは理解できるかと思います。このような性質を「一意性(uniqueness[ユニークネス])」といいます。
ココナラの中で、私、スガ~を検索して、2人、3人と出てきたら、困ってしまいます。ID(ユーザー名)は、その場の範囲の中で1つに限定されるからこそ、自分を示すことに役立つ情報になるのです。
対して、ココナラの外では、もしからしたら、同じID(ユーザー名)を使用した別人が存在している可能性があります。ご自身が使っている名前で活動したくても、すでに存在していて使えず、泣く泣く別の名前に変えた、なんていう人も多いことでしょう。
メールアドレスは、
「ローカルパート(local-part)」
+「アットマーク(@[アットサイン])」
+「ドメイン(domain)」
の3つの部分で成り立っています。(例としてのメールアドレスを書いても怒られちゃうのかぁ・・・。)
メールアドレスに関わる規格は、現在、RFC 6854(RFC 5322からアップデート)とRFC 7504(RFC 1846とRFC 5321からアップデート)に記載されており、「ローカルパート」はドメイン内で重複してはいけないことになっています。(※明確に「重複してはいけない」との記述が見当たりませんでした。原点になるであろうRFC 524で、ユーザー(メールを送りたい人)にテキストを送るモデルとして考案されたところから、暗黙的に重複させないようになったと思っております。)
ドメインで1つの世界に絞り込み、ローカルパートで更に1つに絞り込むことで、世界にたった1つしかない自分の情報を実現しています。
そのようなわけで、サービスを運用する側にとっては、メールアドレスをID(ユーザー名)として登録してもらうと世界に1つしかない自分を示す情報であるし、ID(ユーザー名)が重複することを考慮して設計しなくて済むし都合が良いのです!
そして、サービスに登録するユーザー側にとっても、ID(ユーザー名)を考えるのに悩む必要もなく便利なのです!
セキュリティの問題は?
でも、メールアドレスは、電子メールを送受信するときにユーザーを特定するための文字列なんです。近年は、サイバー攻撃によって情報漏洩するような事例も増えてきています。メールアドレスが漏洩すると、スパムメールやフィッシングメールが届く可能性が大きくなります。迷惑メールフォルダーを見たら、怪しいメールがてんこ盛り!なんて経験、ないでしょうか? それに加えて、メールアドレスをID(ユーザー名)として使っているサービスに不正アクセスされる恐れもできてしまいます。
このようなことについてはIPA(独立行政法人 情報処理推進機構)で「オンライン本人認証方式の実態調査報告書」というドキュメントが公開されており、丁寧に解説されていて参考になります。
いろいろな場面で「パスワードは使いまわさないで!」と宣伝されているのを見かけると思いますが、このような状況だからこそなのだといえるでしょう。
そのため、手間はかかりますがワンタイムパスワードや二要素認証などの方式を加えることが重要で、パスワードの管理も相当な負担になってきているからパスキーのような技術へと進んでいっているといえます。
ID(ユーザー名)をメールアドレスにするというのは、(特に企業様にとっては)結構危ないんじゃないかなぁ~って、心の中で呟いている次第です。
今回は宣伝入れちゃいます!