デジタル認証情報とは

デジタル認証情報は、コースや学位プログラムの修了など、個人の特定のスキルや実績を証明することもできます。これらは、企業、非営利団体、教育機関、トレーニング・プロバイダーなど、さまざまな組織で使用されています。

サイバーセキュリティーでは、デジタル認証情報は、IDベースのサイバー攻撃のリスクを軽減するのに役立ちます。今日の脅威アクターは、システムをハッキングするよりも、有効なアカウントを乗っ取る方が簡単だと考えることが多くなっています。IBM X-Force Threat Intelligence Index によると、有効なアカウントの不正使用は、サイバー犯罪者が被害者の環境に侵入する最も一般的な入口であり、インシデント全体の30％を占めています。

デジタル認証情報は、ハッカーが簡単に解読できるパスワードやその他の認証要素の代わりに使用できます。アカウントを乗っ取るには、攻撃者はデジタル認証情報を盗む必要がありますが、これはパスワードを総当たりで攻撃するよりもはるかに困難です。デジタル認証情報は、多くの場合、暗号化やブロックチェーンベースの検証などの手段で保護されているため、偽造も困難です。

デジタル認証情報は、多くの場合、エンタープライズ・グレードのデジタル認証プラットフォーム上で発行組織によって設計、作成、配信、管理、失効されます。

アプリケーション・プログラミング・インターフェース（API）により、これらのプラットフォームは他のサービスに接続できるため、認証情報を使用して複数のシステムにわたってユーザーの本人確認を行えます。ユーザーは、リンク、QRコード、デジタル・ファイル、アプリ、ブロックチェーンを通じて認証情報を共有できる場合があります。

デジタル認証情報は、さまざまな環境や機能に特化した複数の形式で利用できます。一般的なタイプは次のとおりです。

• デジタル・バッジ
• マイクロクレデンシャル
• オープン・バッジ
• デジタル証明書
• ブロックチェーン認証情報
• 検証可能なデジタル認証情報

デジタル・バッジは、学習コースの修了など、取得した資格の証明としてよく使用されます。身分証明やイベント、会議への出席証明としてもご利用いただけます。

デジタル・バッジは通常、発行者の名前、受取人の情報、バッジの詳細、検証方法などのメタデータを含むデジタル画像またはアイコンの形式をとります。バッジは多くの場合、暗号署名を使用して認証されます。

マイクロクレデンシャルは、Webセミナーの修了やオンライン・コースの個々のモジュールの修了など、小規模な成果を認証するために使用されるデジタル・バッジの一種です。マイクロクレデンシャルにより、学習者は、最も価値のある専門能力開発や学習成果をもたらす、より大規模なコースの特定のモジュールに集中することができます。

オープン・バッジは、Mozilla Foundationが独自に開発したオープン・バッジ標準に準拠したデジタル・バッジです。この標準は、LinkedInなどのソーシャル・メディア・プラットフォームや電子メール署名との統合など、Webサイトとアプリケーションのエコシステム間でのバッジの相互運用性をサポートします。

この標準では、共通のメタデータ形式と、そのメタデータを共有する方法（画像内に埋め込むなど）が規定されています。また、暗号署名を使用してバッジを検証するメカニズムも含まれています。

「デジタル証明書」という用語は、個人の業績を検証するものとユーザーおよびデバイスを認証するものという2つの異なる種類の認証情報を指すことがあります。

実績ベースのデジタル証明書は、一般に、卒業証書などの紙の証明書と同じ種類の資格を意味します。デジタル・バッジと証明書の主な違いの1つは、証明書には通常、教育機関での学位プログラムの修了、専門認定プログラムの修了、専門組織の会員資格の取得など、より多くの労力が必要になることです。

デジタル証明書の中には、ユーザー、サーバー、サービス、コンピューター、スマートフォン、IoT（モノのインターネット）デバイスを識別し、認証するために使用される種類のものがあります。これらの証明書は信頼できる認証機関によって発行され、所有者の身元を確認するために使用される所有者の一意の記述子が含まれています。デジタル証明書は公開鍵暗号を使用して証明書を認証し、盗難や偽造を防止します。

一部の組織や認証情報プロバイダーは、認証情報が偽造されたり盗難されたりしないようにするために、共有された不変の台帳であるブロックチェーン・テクノロジーを使用しています。ブロックチェーンに保存されたデジタル認証情報は改ざんできず、アクセス権を持つ人なら誰でも検証できるため、すべての利害関係者の信頼構築に役立ちます。

教育機関や企業のセキュリティー・チームなどの発行者は、保有者の身元または資格を証明するデジタル認証情報を作成します。認証情報の詳細はブロックチェーンに記録されます。

所有者は自分の認証情報をデジタル・ウォレットに保存します。所有者が自分の身元やその他の主張を検証する必要がある場合、デジタル認証情報を提示します。検証者（この保有者を認証する必要がある人）は、認証情報をパブリック・ブロックチェーンの記録と照合して、その有効性を確認します。

検証可能なデジタル認証情報は、正確には明確なタイプの認証情報ではありませんが、安全で信頼性の高い認証情報を作成するためのアプローチです。検証可能な認証情報とは、検証情報にアクセスするためにスキャンできるQRコードや、信頼できる機関からの暗号署名など、何らかの検証方法が組み込まれた認証情報のことです。

ここに記載されている他の認証情報はいずれも、この要件を満たす限り、検証可能なデジタル認証情報と見なすことができます。

一部の検証可能なデジタル認証情報は、World Wide Web Consortiumの Verifiable Credentials標準に準拠しています。これらの認証情報は、JSONまたはJSON-LDを使用して、発行者ID、保有者属性、および認証情報を認証するための暗号証明などの特性を定義する構造化アプローチに従っています。

• ユーザーIDの認証
• プロフェッショナルな資格の確認
• データ・プライバシー義務の遵守
• 物理的な資産とリソースの認証

デジタル認証情報は、企業、カスタマー・サービス、および法律システムなど、さまざまな状況での検証プロセスを促進することができます。

例えば、スマートフォンのアプリに登録された認証情報を使用すると、空港や交通違反取り締まり中に、またはアルコールを購入する際などに、自分の身元を証明することができます。ニューヨーク州は、米国運輸保安局（TSA）と協力して、まさにそのようなデジタルIDアプリを立ち上げました。¹

金融分野では、デジタル認証機能は、送金や口座管理など業務での本人確認を強化、合理化します。改ざん防止の認証情報は、偽造または盗難される可能性のあるパスワードやその他の認証要素よりも便利で信頼性が高くなります。

政府では、デジタル認証情報により国民が本人確認を行い、給付金を受け取ったり税金を申告したりできるようになります。政府は、情報を公開したりサービスを提供したりする前に、これらの国民が本人であると信頼することができます。

デジタル認証情報は専門的なライセンスや認定を表すことができるため、個人は潜在的な雇用主に対して自分の資格や能力を簡単に証明できます。

認証情報は、コーディング・ブート・キャンプから医師免許まで、ほぼすべての評価、資格認定プログラム、専門的な学習経験を検証できます。高等教育機関でも、学位や卒業証書の検証にこれらを使用する場合があります。

不誠実な求職者は、経歴を詐称することがあります。検証可能なデジタル認証情報を証拠として要求すると、雇用主がそうした人物を特定しやすくなります。

デジタル認証情報は、一般データ保護規則（GDPR）や医療保険の相互運用性と説明責任に関する法律（HIPAA）などのデータ・プライバシー規制に準拠しながら、データ共有を容易にするのに役立ちます。

例えば、一部のデジタル認証情報では、選択的な情報共有が可能です。医療環境におけるデジタル認証情報を考えてみると、デジタル認証情報には、患者の身元、保険加入、患者背景、病歴に関するデータが含まれている可能性があります。

選択的共有により、患者はこの認証情報を使用して、病歴を開示することなく保険の適用範囲を確認できます。同じ認証情報を使用して、ワクチン接種状況や処方歴を確認することもできます。それぞれのシナリオにおいて、必要な情報のみが共有されます。関連するデータは非公開に保たれるため、認証情報の保持者は保護され、組織はデータ・プライバシー規制に準拠することができます。

認証情報は、多くの場合、個人の身元を確認するための方法と見なされますが、物理的な資産やリソースを認証するためにも使用できます。

例えば、企業はブロックチェーンを使用して自社製品の認証を行うことができます。認証情報には、原産国、製品の品質、規制遵守データなどの情報が含まれます。個人や組織は、これらのブロックチェーンベースの認証情報を使用して、製品の真正性を検証し、偽造品と戦うことができます。

• IDおよびアクセス管理の改善
• 合理化された検証
• ユーザー・エクスペリエンスの向上
• 認証情報の有効期間

検証可能なデジタル認証情報は、IDおよびアクセス管理（IAM）システムの強化に役立ちます。

IAMシステムは、パスワードやセキュリティー・キーなどの認証要素を利用してユーザーの本人確認を行い、適切なシステム・アクセス許可を受け取ることができるようにします。しかし、脅威アクターは比較的簡単にこれらの要素を盗んだり偽造したりでき、本来持っていないはずの権限を取得して悪用することができます。

デジタル認証情報は1つの代替手段を提案しています。これらの認証情報は、暗号署名を使用して自動的に共有され、安全に検証されるため、偽造または盗難された認証情報を検知してブロックしながら、承認されたユーザーにアクセスを許可できます。

また、デジタル認証情報を使用すると、従来の認証情報に比べて本人確認が速くなり、スムーズに作業できます。

デジタル認証情報が既存のシステムやワークフローに統合されると、ユーザーは何かを覚えたり、特別な物やデバイスを持ち歩いたりする必要がありません。代わりに、APIやリンク、QRコードを通じてデジタル認証情報を共有できるため、認証はほぼ自動化されます。

人工知能（AI）と機械学習（ML）は、例えば認証情報データを信頼できるデータベースと自動的に相互参照し、改ざんの兆候を探すなどして、本人確認をさらに高速化するのに役立ちます。

組織は、Credlyなどのサードパーティー・サービスに認証情報の管理をアウトソーシングして、時間とコストをさらに節約することもできます。

また、デジタル認証情報により、顧客IDおよびアクセス管理（CIAM）を簡素化し、ユーザー・エクスペリエンス（UX）を向上させることができます。

面倒なログイン・プロセスの代わりに、顧客はデジタル認証情報を使用して自分自身を認証し、アカウントにアクセスすることができます。より便利なこのプロセスは、より多くのユーザーのサインアップを促す可能性があります。顧客は一般に、登録するための障壁が低ければ低いほど、その組織への登録に前向きになります。

資格情報を付与する組織や教育機関が運営を停止する可能性があり、卒業証書などの紙の資格証明書の確認が困難になる可能性があります。

しかし、デジタル認証情報は、特にブロックチェーンのような分散型の方法を使用する場合は、独立して認証することができます。発行機関が閉鎖された後も、引き続き使用可能で信頼できます。