「貼るSIM」は日本のFinTech普及を加速できるのか「全てのスマートフォンはICカードリーダー」

既存のモバイルSIMの上に貼る、シール型のSIMが、一部で見られるようになってきたが、これを活用して認証インフラを構築しようという動きがある。これを取材した。

» 2019年02月06日 05時00分 公開
[三木泉@IT]

 インターネットを通じた所得税の確定申告では、2019年1月から、マイナンバーカード(電子証明書)を使わずに、ID/パスワードで申告を送信することもできるようになった。「マイナンバーカードとICカードリーダーが普及するまでの暫定措置」とされているものの、セキュリティ的には後退してしまっている。

 また、現在のインターネットバンキングでは、ID/パスワードによるセキュリティを補完するため、振り込みなどの重要取引でワンタイムパスワードカード(あるいはアプリ)などが使われているが、金融機関ごとに異なり、利用者にとっての使い勝手もいいとは言えない。

 こうした本人認証の問題が日本におけるFinTechの普及を大きく左右すると、日本通信の代表取締役社長である福田尚久氏は主張する。

 「金融庁の調査では、日本の銀行のうち128行が、API公開の意思を表明しているが、FinTech企業との連携におけるセキュリティは、APIを公開する金融機関側が責任を持つことになっている。安心できる認証セキュリティ方式が確立していないと、参照系APIはともかく、更新系APIの公開には踏み切りにくい。また、金融機関ごとにばらばらな認証方式では、体力のあるFinTech企業でないと対応しきれない。さらに、FinTechのための認証セキュリティは、スマートフォンでも利用者が使いやすいものである必要がある」

 解決策として、福田氏が自ら先頭に立って推進しているのが「貼るSIM」だ。これに金融サービスなどで使える電子証明書を格納し、認証や電子署名に活用する仕組み。2019年1月末には、日本通信が金融機関やFinTech企業と行った実証試験について、金融庁による実質的な「お墨付き」が得られたことで、普及に向けた体制作りの段階に入ったという。

 SIMはもともと、通信事業者が端末を認証するための情報を格納するために使われている。一般的なICカードのように、貨幣価値情報の保持や、非接触型決済機能を持たせることも可能だ。また、その性格上、タンパリング(不正な操作、改ざん)への耐性を備えている。

 福田氏は、インターネット接続でどのようにセキュリテイを確保するかを研究する過程で、メインのモバイル事業者を問わず同社が付加価値機能を提供できる、貼るSIMに着目し、同時に金融サービスへの応用も考えたと説明する。

 貼るSIMは、日本ではH.I.S.モバイルの海外SIMプラン「変なSIM」で使われているが(H.I.S.モバイルは日本通信とH.I.Sの合弁企業)、海外では、特に中国や東南アジアなどのモバイル通信事業者の間で採用が広がっているという。SIMスロットが1つしかない端末でも、モバイルサービスをアプリで切り替えられるメリットがある。

 通信サービスではなく、金融サービスの認証コンポーネントとして貼るSIMを使う場合は、切り替えという動作が必要ない分、シンプルになる。貼るSIMがICカードの役割を果たし、SIMスロットをICカードリーダーとして利用するという話だからだ。

 「ICカードリーダーが普及しないことに悩んでいる官公庁の方々には、『どなたでもICカードリーダーを持ち歩いているのですよ』と話している」(福田氏)

貼るSIMによる認証は、どんな仕組みになっているか

 日本通信は、貼るSIMによる認証方式を「FPoS(FinTech Platform over SIM)」と呼んでいる。同社が群馬銀行、千葉銀行、徳島銀行、マネーフォワード、サイバートラストと共に行った実証実験の構成によると、FPoSは大まかには次のような仕組みになっている。

 貼るSIMは、本人確認の上で各個人とひも付けて発行される。このSIMには、アクセス認証と電子署名用の電子証明書、公開暗号鍵、秘密暗号鍵を格納する。電子署名は、振り込みなどの操作の真正性を確保するために使われる。端末からSIMを抜き取ることによる不正な利用を防ぐため、端末、メインSIM、貼るSIMはそれぞれのIDでひも付けられている。

 また、認証セキュリティでは、本人だけが知る情報の組み合わせが不可欠だが、実証実験では利用者が貼るSIMのPINを入力して金融サービスを利用した。その組み合わせ案として、顔認証も試したという。

実証実験におけるFPoSの構成

 利用者が口座を持つ金融機関(銀行や証券会社など)では、勘定系システムの前段でFPoS用のサーバを稼働、このサーバが電子証明書を用いたユーザー認証、電子署名の検証、そしてAPIゲートウェイの機能を果たし、ユーザーのモバイルアプリやFinTech企業に対するサービスを提供する。FinTech企業は、金融機関内のFPoSサーバとOAuth 2.0による認証連携を行い、これに基づいて口座情報の取得や、銀行システムの操作代行が行える。APIゲートウェイとしてのFPoSサーバは、金融機関におけるAPIの差異を吸収して、共通APIを提供できるという。

 こうした仕組みで行われた実証実験について、金融庁が2019年1月下旬に公表した見解では、「『中間者攻撃』や『マン・イン・ザ・ブラウザ攻撃』などの高度化・巧妙化する犯罪手口への対策にかかる着眼点も充足するものと考えられ」「ワンタイムパスワード等を使用する現行方法と同等以上のセキュリティ(取引内容の改ざん防止を含む)を確保しつつも、利便性を損なわずに本人認証等が実現可能であることを確認できた」としている。

 この金融庁の見解の意味は大きいと、福田氏は言う。

 金融機関は、金融庁の監督指針に従って業務を行う必要がある。監督指針では、オンラインバンキングなど非対面の取引におけるセキュリティについて、「攻撃の高度化に配慮したものであることが望ましい」としつつ、「全国銀行協会における申し合わせ」で示されたセキュリティ事例を挙げている。これに示された対策でないと、金融機関としては採用が困難という。

 だが、上記の見解が公表されたことによって、FPoSが金融庁の認める方式であることがはっきりした。このことで、金融機関による採用検討を妨げる最大の障壁が取り払われたという。

 日本通信はこれと前後して、FPoS運用プラットフォームを提供する子会社「my FinTech」を2018年11月に設立した。my FinTechはパートナーとの協業で本人確認を行うカウンターを展開、こうしたカウンターを背後で支える業務を行う。同社はまた、電子証明書を発行するための認定認証業者となるべく申請を行う一方、サイバートラストと共に電子証明書運用システムの開発を進めているという。

日本通信の代表取締役社長、福田尚久氏

 それにしても、FPoSが普及する見込みはどれくらいあるのか。例えばいわゆるメガバンクが採用する可能性はどれくらいあるのだろうか。

 福田氏は、「地方銀行に対する働きかけを優先したい」と答えた。上述の実証実験には地方銀行3行が参加したが、実は地方銀行のインターネットバンキング業務代行でほぼ100%のシェアを握るNTTデータ、日本IBM、日立製作所の3社が参加行を支える形で関わっており、3社のエンジニアも技術的な手順を確認しているという。

 「このため、後は各(地方)銀行が判断してくれさえすれば、導入を進められることになる」(福田氏)

 メガバンクによる店舗統廃合が話題になっているが、福田氏によると、地域密着を唱えて努力を続けてきた地方銀行にとっても、店舗は大きな重荷になってきている。地方銀行はメガバンクに比べ、店舗の統廃合についてはるかに慎重な判断を下さざるを得ない。だが、店舗を減らしていくための道筋を見いだす必要がある。このための唯一ではないものの、一つの方策となり得るのがインターネットバンキングの利便性向上だ。

 日本通信およびmy FinTechとしても、即座に全国で本人確認カウンターなどのインフラを整備するのは困難だ。そこでまずは地方銀行との連携を通じ、段階的に事業を進めていきたいという。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。