第1回 ICカードとワンタイムパスワードの親密な関係

岡田　大助
＠IT編集部
2006年6月1日

オンラインバンキングにおいてニ要素認証が重視され始めた。その取り組みの中で、既存のICカードのICチップを利用したワンタイムパスワードが注目されている（編集部）

　フィッシング詐欺やスパイウェア（キーロガー）などの手口によって、オンラインバンキングが狙われている。金融機関側もユーザー向けに自衛のための教育コンテンツを準備したり、スパイウェア対策ソフトの提供をしたりと対策に注力している。

　このような現状の中で、オンラインバンキングにおける「二要素認証」というキーワードが浮かび上がってきた。既存のID／パスワードによる認証だけでなく、文字どおり、2つ以上の仕組みを組み合わせてユーザーの認証を行うというものだ。この2つ目に組み合わせる認証の仕組みとして、ICカードを利用したワンタイムパスワードが注目されている。

　ICカード化によってセキュリティは向上する

　2000年ごろから始まったクレジットカードのICカード化によって、ほとんどのクレジットカードで金色のICチップ接触端子が見られるようになった。最近になって銀行を訪れた読者はお気付きかもしれないが、キャッシュカードのICカード化もさかんにアピールされている。ICカードに切り替えることで、どのような恩恵が得られるのだろうか。

　ICカード化によってもたらされるのは、何といってもセキュリティレベルの向上だ。従来の磁気ストライプカードには、常にスキミングなどの手口による偽造カードという問題が付きまとっていた。磁気ストライプカードに比べれば、ICカードの偽造ははるかに難しいとされる。

　また、ICチップ内にアプリケーションを搭載することが可能になった。例えば、銀行ATMで採用され始めた指紋や静脈などを利用するバイオメトリクス認証のためのアプリケーションなどが挙げられる。これも、従来の暗証番号（PIN）とバイオメトリクス認証を組み合わせた二要素認証である。

　二要素認証の場合、異なる性質を持つ有効な認証方法を組み合わせることが重要だ。例えば、パスワードを2つ入力させただけでは二要素認証とはいえない。ここでいう要素とは「自分だけが知っている（know）」「自分だけが持っている（has）」「自分自身（is）」の3種類に分けられる。パスワードはknowに当たり、バイオメトリクスはisに当たる。

　オンラインバンキングにおける二要素認証

　オンラインバンキングの場合、専用リーダが必要となるバイオメトリクス認証との組み合わせは敷居が高い。そこで採用されたのがワンタイムパスワードだ。ワンタイムパスワードは生成機によって発行されるものであり3分類の中ではhasに当たる。

　オンラインバンキングにおける二要素認証対応の流れは、2005年10月に米連邦金融機関調査委員会（FFIEC：the Federal Financial Institutions Examination Council）が出したガイドライン「インターネットバンキング環境における認証（Authentication in an Internet Banking Environment）」によって加速した。このガイドラインを受けて、米国の5つの金融関連機関が2006年末までに、すべてのオンライン銀行に対して二要素認証に対応するよう要請しているのだ。

　日本国内でもオンラインバンキングの二要素認証は始まっている。2006年1月には、三井住友銀行とジャパンネット銀行がRSAセキュリティのワンタイムパスワードトークンの採用を発表した。すでにトークンの配布が始まっている。RSAセキュリティの「SecurID」といえば、ワンタイムパスワードの代名詞的な存在といえるだけの実績がある。

　また、大日本印刷は三菱東京UFJ銀行と共同で、ICカードを使って生成したワンタイムパスワードを使った実証実験を発表した。これは、ICカード内にワンタイムパスワード生成アプリケーションを搭載したタイプで、ワンタイムパスワード表示機にICカードを差し込んで使うタイプだ。

　ICカードにワンタイムパスワード生成機能を搭載することで、オンラインバンキングはどのように変わっていくのだろうか。

【関連記事】 非接触ICソリューションの最先端を追う

　ICカード業界の巨人がワンタイムパスワードに参入

　ルクセンブルクに本拠地を持つGemplusは日本ではあまりなじみのない会社かもしれないが、ICカードベンダで世界1位の市場シェアを持つICカード業界の巨人である（しかも、現在、業界2位のAxaltoと合併してGemaltoとなる方向で動いている）。そのGemplusが銀行やクレジットカードサービスを対象にICカードで生成するワンタイムパスワードソリューション「GemAuthenticate」を提供している。

　GemAuthenticateは、認証サーバであるGemAuthenticate Server（GAS）とユーザーに配布するワンタイムパスワード表示用のリーダ「GemPocket」で構成される。GemPocketについてはGemplusが製作したリファレンスモデルがあるものの、基本的には銀行などの金融機関がカスタマイズしたものが使われる方向だ。

　GemPocketのリファレンス版には、ワンタイムパスワードを表示するための液晶画面と、テンキー、OKボタンなどが配置されている。ユーザーがICカードをGemPocketに差し込んでPINを入力するとワンタイムパスワードが生成される。ワンタイムパスワードの生成にはPIN（know）とICカード（has）の二要素が必要になる。さらに、オンラインバンキングのログイン画面でも通常のID／パスワードと生成されたワンタイムパスワードを入力する二要素認証が成立する。

　ICカードをGemPocketに挿入するたびに異なるワンタイムパスワードが生成されることを利用して、オンラインバンキングの利用ステップごとに認証を実施することができる。例えば、事前に設定した金額を超えるような振り込みを行う場合にはログイン認証に加えて、振込確認画面でもう1度ワンタイムパスワードを要求するといった多層防御だ。万が一、使われていない生成済みワンタイムパスワードが盗まれてしまっても（従来のパスワードをメモしてしまうようなユーザーは、ワンタイムパスワードもメモしてしまう可能性がないとはいえない）、2回目の認証で食い止めることができる。

1/2

Index
ICカードとワンタイムパスワードの親密な関係
	Page1 ICカード化によってセキュリティは向上する オンラインバンキングにおける二要素認証 ICカード業界の巨人がワンタイムパスワードに参入
	Page2 決済系ICカードにおける2つの業界標準仕様 クレジットカード決済もワンタイムパスワードで ワンタイムパスワードデバイスが受け入れられるか

RFID＋ICフォーラム　トップページ

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）