＜　最近よく聞くようになってきた「パスワードレス認証」って個人ユーザにも関係あんの？　＞

21世紀現在の日本では、ほぼ誰でもがパソコンユーザーになっているって言えると思います。
スマホだってパソコンでしょねえ。

スマホに対してどう捉えているかっていうのは、いろいろ意見もあるみたいですけど、1980年代に出始めたパソコンなんかより今のスマホの方がコンピュータとしてのパフォーマンスは圧倒的に高いですからね。

ってな感じで当たり前に生活の中に入って来ているパソコンなんですが、改めて考えてみますと、そんなに昔からある「道具」ってわけじゃないんですよね、パソコンって。

コンピュータの歴史がそのままパソコンの歴史ってわけじゃないです。
会社の中にコンピュータが入って来たのは1980年初頭ってことになるんでしょうけど、それはごく少数の大企業だけですね。
価格がとんでもなく高かったっていうこともありますけど、誰にでも、何にでも使えるっていうもんじゃありませんでした。

それでも世の中の流れっていうのは凄まじいもので、1980年代の半ごろには中小企業の一部にもコンピュータが入って来ました。
流行りっていうか、効率化っていうことが言われていました。

主に経理部門に導入されていて、コンピュータ専門家が出入りしながら運用されていた記憶があります。
コンピュータの使い方を勉強しましょう、って感じでした。

 

 

 

キーボード文化の無かった日本ですからね、かなり高い抵抗感があった時代です。

給与支払いのタイミングで銀行と、専用線でつないで通信処理するんですが、あれです、デジアナ変換ってやつでした。
通信処理っていっても有線です。アナログ通信の電話回線しか無いころです。

カプラ―っていう機械に、電話の受話器をセットして会社のコンピュータと銀行のコンピュータをつなぐわけです。
ピーガラゴロガラゴロ！　っていう音をさせて通信接続して、データを送信するんですね。

会社のコンピュータのデジタルデータを、カプラーでアナログの音声データに変換して送信。
銀行側で、そのアナログデータを再度デジタル変換して通信のやり取りをするんですよ。めっちゃ遅かったです。

でも、誰もそんなことは感じていないんですよね。
なにせ、全てが初めてのことですから、遅いとか速いとか、そういう次元じゃなかったんですよね。

多くの会社がピーガラゴロガラゴロをやり始めた1980年代後期に、パソコンっていうのが市民権を得始めた感じでしょうかね。世の中にコンピュータが浸透し始めたころだと思います。
ワープロ、ワードプロセッサー専用機が一般家庭に普及し始めたのもこのころでしょうか。

そこへ、マクロソフトが「MS-DOS」っていうOSを搭載したパソコンを出して、へええ、これがパソコンってやつですかあ、ワープロと何が違うのって思っていた人も少なくないんじゃないでしょうか。
個人でパソコンを持つっていうのがステータスになっていた感じもしましたね。

高額なオモチャ。ハードディスクがまだ無くって、フロッピーディスクを入れたり出したり。
何の儀式やねん！　って感じでした。

当然ながら、個人のパソコンはスタンドアロンです。
個人が通信するってことはまれだったと思いますが、やろうと思えばお金をかけて、ピーガラゴロガラゴロでした。

「MS-DOS」はパソコンモニターから「コマンド」を打ち込んで操作するシステムですから、英語の略語みたいな命令文を覚えて操作するっていうのがパソコンでしたね。

文字でコンピュータを操作するんで、キャラクターユーザーインターフェイス（CUI）って言われていました。マウスって、無かったんですよ。

少しするとモニターがカラーになって、映し出された絵を見ながら、マウスでカーソルを動かして操作する「マッキントッシュ」が発売されました。
グラフィカルユーザーインターフェイス（GUI）の登場ですね。

パソコン業界にアップルが華々しく登場してきたわけです。

「MS-DOS」で業界を先導していたマイクロソフトもすぐに「ウィンドウズ1.0」を出して、パソコンはグラフィカルユーザーインタフェイスに占領されます。

日本に限って見てみますと、日本語処理が出来るようになった「DOS/V」マシンが出てきたのが1992年ですから、家庭の中で使う、ホントの意味でのパソコン、パーソナルコンピュータが浸透したのは、どう考えてもこれ以降です。

ってことはですね、我々が普通にパソコンを使うようになって、2022年で30年しか経っていないってことなんですよ。

「DOS/V」マシンだって、まだピーガラゴロゴロゴロです。
IIJが「ダイヤルアップ」の接続サービスを始めたのが1994年です。このころから一般家庭でもピーガラゴロガラゴロってやり始めたわけです。「ダイヤルアップ」です。

 

 

 

この当時のコンピュータ業界は文字通りの日進月歩で、TCP/IPでインターネットの通信約束事、プロトコルが整備されて、HTMLの最初のバージョンが公開されて、日本にも通信事業者がプロバイダーとして新規事業を始めましたね。

「ホームページ」が一気に浸透して夢中になっているうちに、いつのまにかピーガラゴロガラゴロが消えていました。
日々、新しい仕組みを取り入れて追いかけていた日々でしたね。

この辺りから出て来て、なんで？　って思っていたのが「ユーザID」と「パスワード」っていう存在です。
それまでは存在していなかったんですよ。だって、パーソナルなわけですから。

会社や、プロジェクトで義務付けられるのは止むを得ないとしても、なんで家の中で個人で使うパソコンにも「ユーザID」と「パスワード」が必要なのか理解できませんでした。
って、今でも理解できていませんけどね。

使うのは自分だけやん。
いやいや、守るべきデータがあるでしょ、個人使用のパソコンだって。それにインターネットに接続するんだから、あなたのパソコンが乗っ取られて、クラッキングの土台にされちゃうことだってあるんですから。

みたいな説明がマイクロソフトの、あの頃はぶ厚かったマニュアルに書いてあったような、ん～、違う書面だったかもですけど、そんな記憶があります。

でもこの理論もおかしくって、クラッキングベースにされちゃうのって、そのパソコンがすでに起動されていてインターネットにつながっているからで、そのパソコンを起動するときに必要な「ユーザID」と「パスワード」が、その被害を防いでくれてはいないわけで、なんでじゃ！　って思っていました。いや、今でも思っています。

費用面を考えると、インターネットはそんなに一般家庭では使っていなかったです。

会社やプロジェクトの中では「ローカルエリアネットワーク（LAN）」「ワイドエリアネットワーク（WAN）」っていう閉じたネットワークから、やがてインターネット常時接続が当たり前になって、セキュリティ対策っていうことが言われ始めました。

ファイヤウォールっていうのが登場してきました。

組織の中にコンピュータセキュリティ専門の部署が作られ始めたのも、この1990年代後半ごろだったんじゃないでしょうか。

まだ有線ネットワークでしたが、デスクトップからノートの時代になっていきましたね。
使っているネットワークも数がどんどん増えていきます。

システムごと、権限ごとにアクセス権が制限されて、起動以外に必要となるいくつもの「ユーザID」と「パスワード」の管理は、もちろん個人によるんですが、簡単に個人のキャパを超えてしまうっていう問題が起こりましたね。

このころはデジタルネイティブなんて1人もいないんです。
たいていの場合、多くの権限をあてられていた、ブッチョーさんたち、当時のおじさんたちは、おそらく、自分がどこにアクセスしているのかなんて、気にもしていなかったでしょうし、説明しても理解の範疇には入っていなかったと思います。

自分自身はパソコンなんて使いませんよ、って威張っていた大臣さんもいましたよね。

会社、プロジェクトが使用しているパソコンはたいていの場合ウィンドウズで、安定感抜群だった「ウィンドウズXP」が出たのは2001年のことでしたね。
何種類もの「ユーザID」と「パスワード」が付箋にメモされて、モニターに貼ってあったものです。
ポストイット、大活躍！

 

セキュリティ管理の担当者がやって来ます。

「ブッチョー！　なにやってんですか。パスワードをそんなにベタベタ貼り付けてたら誰にでも見られちゃうでしょ」

「しょうがないよ、こんなにいっぱいあったら覚えられるわけないだろ」

「いろんな人間が部長権限でシステムにアクセスできちゃうんですよ。ダメに決まってるでしょ」

「だから、なんでこんなにいっぱいIDだとかパスワードが必要になるんだよ。1つにまとめろ、1つに」

「いろんなシステムを利用してるんだからしょうがないでしょ」

「しょうがないなくないよ。だいたい、どれがどれだか判んなくなるぐらいいっぱいシステムなんか作りやがって、ふざけんな！」

「ふざけてんのは部長の方でしょ。軍法会議もんですよ」

「なんだコラ、この会社はいつから軍隊になったんだ！」

プロパーじゃない身としては、ただ、わっはっは、な出来事だったんですけど、これね、両方ともご尤も、なんですよね。けっこういろんな職場で、ここまでダイレクトじゃないにしても繰り広げられていた場面じゃないでしょうか。

部長さんは仕方なく自分の手帳に「ユーザID」と「パスワード」を書き写していましたです。

「めんどくせえなあ」

部長さん、その通りでございます。心情的には部長さんに1票です。

その後システム管理部門は、定期的にパスワードを更新してください、とか言い始めました。
部長さんの手帳はぐちゃぐちゃになっちゃいますよね。

でもね、このパスワード更新はほぼ意味がないと思うんですよね。

侵入しようとする側が、いつも「ユーザID」と「パスワード」を特定して正規のルートから入って来るばっかりじゃないですし、パスワードを言われるとおりに更新する側だって、毎回、何の関連も持たないパスワードを設定することなんかあり得ません。

特定の単語にその年だったり、年月を付けるのがせいぜいで、たいていは単語に01、を付けていたとしたら、更新する時には02にするだけのことです。
ごく普通の人間生活でも記憶のジャンル、範囲を超えてしまっているのが会社、プロジェクトでの「ユーザID」と「パスワード」管理の実態ですよね。

で、これをなんで個人で使う、ホントの意味でのパソコンにまで適用しなければいけないのか。
それはパソコンOSを製造する過程で、会社仕様をベースにして開発するから、なんでしょうね。
もちろん、個人のパソコンだって被害に遭うことはありますけどね。

会社で守らなければいけないレベルのデータなんて、個人は持っていませんよ。

それに今は、クラウドに集中してデータ管理しているのが普通になって来ているわけで、デスクで使っているノートは、ほぼシンクライアント。
グーグルの一般向けパソコンもそういう方式になってきているじゃないですか。

従来のセキュリティって、ただメンドクサイだけじゃん！
って思っていたら、このところ「パスワードレス認証」なんてことが言われ出しました。

生体認証、スマホを経由した認証アプリ、登録済のメールアドレスにリンク情報を送信、だとか、そんな方法で実現させているのが「パスワードレス認証」

あのね、別に会社なんかでやる分にはエエねんけどな、それが当たり前になって、個人で使ってるパソコンにも適用されたら、もう、ワヤでっせ。
初回登録手続きとか、アクセスするたびにあっちこちやりとりせなアカンってなことになったら、ネットワークの利便性とかナイじゃん。

GAFA、GAMA？　とかも推奨しているみたいなんですけど、どうなっていくんでしょうね。

 

 

 

完全なセキュリティなんてないんだと思うんですよね。今のセキュリティの考え方ではね。

「パスワードレス認証」とかいっても、「あんたは、権限を持っている人ですか」っていうチェック方法に変わりはないみたいに思えます。

ちゃうねん。個人ユースと組織ユースは、セキュリティ管理だけじゃなくって、いろいろと必要機能とかちゃうねんよ。
ちゃんとその辺の事情を考慮して新しいコンピューティングを創造していって欲しいところです。

「パスワードレス認証」って「ゼロトラスト」の範疇に入ってんの？

なあんもかんも、全部信用しません。ネット通信の内側も外側もありません。全部怪しいです。信用しませんっていう「ゼロトラスト」がどこまで進展していて、どこまで実現されているのか、さっぱり分かりませんが、なんか、根本的に利便性を上げていただけるようにお願いいたします。

会社用のセキュリティと、個人用のって、違って当然でしょう。

個人使用でのパスワードとかは失くして欲しいんですけど、今の「パスワードレス認証」って、なんかピンとこないんであります。

過渡期ってやつでしょか。。。