秘密の質問

秘密の質問とは

秘密の質問、またはセキュリティ質問とは、個人の認証に使用される指標の一種で、特定の情報に基づいて本人確認を行う方法です。たとえば、「あなたのペットの名前は何ですか？」や「あなたの母親の旧姓は？」といった質問がこれに該当します。この方式は、銀行や通信会社、各種ウェブサイトなどでセキュリティの強化策として導入されていますが、その効果については疑問の声も多く寄せられています。

用途

秘密の質問は主に二つの場面で使用されます。
1. パスワードの再発行やリセットの際の本人確認：顧客がパスワードを忘れた場合、自己サービスによるパスワードリセットを行うためのチェックとして使用されます。
2. 異常ログインの検出時の確認：普段とは異なる環境からのログイン試行時に、ユーザーの本人確認として利用されることがあります。

歴史

秘密の質問が初めて利用されたのは20世紀初頭です。1906年のアメリカ銀行協会で、メリーランド州の銀行家ウィリアム・M・ヘイデンが銀行における顧客認証方法としてこのシステムを披露しました。彼は、顧客の出生地や母親の旧姓などを記入することで、顧客の特定を行い、それによって不正アクセスを防ぐことができると説明しました。後年、この方法はクレジットカード会社でも取り入れられるようになり、インターネットの普及とともにオンラインサービスでも広く使用されるようになりました。

課題

秘密の質問にはいくつかの問題が存在します。まず、顧客が正確な回答を思い出せないと、本人確認が難しくなります。また、特定の質問が全ての人に対して適切であるとは限りません。たとえば、映画を観ない人には「初めて見た映画のタイトルは？」という質問は無意味です。さらに、コンピュータシステムは、柔軟な対応ができず、正確なスペルを要求することから、利用時のストレスも高くなります。

セキュリティのリスクと問題点

オンラインで秘密の質問を利用することで、一部のサイバー攻撃に対して脆弱になっていることも指摘されています。特に、SNS上での情報共有が普及する中で、本来の秘密の質問の効果が薄れているとする声もあります。実際、誕生日やペットの名前をSNSに公開することが多く、これが不正アクセスのリスクを高める原因となっています。また、特定の質問は、少ない試行回数で答えが特定される危険性もあり、例えば英語圏では「好きな食べ物」として「ピザ」が多く設定されるため、これを狙われることもあります。

評価と改善策

秘密の質問のセキュリティ上のリスクを考慮すると、最も安全な方法は「秘密の質問を使わない」ことだと言われています。代わりに、ランダムな文字列を答えとして使う、または簡単な方法で質問の答えに識別子を加える方法が推奨されています。たとえば、質問の答えの後に特定の文字列やウェブサイト名を追加することにより、安全性を高めることが可能です。

専門家の意見

多くのセキュリティ専門家は秘密の質問の実用性に疑問を持っています。ブルース・シュナイアー氏をはじめとする専門家は、秘密の質問がしばしば個人に関する公開情報に基づいているため、パスワードよりも脆弱であると指摘しています。さらに、日本の情報処理推進機構やトレンドマイクロ社も、安全性と確実性に欠ける秘密の質問の使用を避けるべきだとの見解を示しています。

結論

秘密の質問は利便性を追求する背景がありますが、近年の技術進化やリスクを考慮すると、代替手段を検討する必要性があるでしょう。多くのウェブサイトがより安全な認証手段に移行することが望まれます。

もう一度検索