 |
ICカードの基礎知識[後編]
ICカードをめぐる3つのセキュリティ要素
長谷川 晴彦ペンティオ株式会社
代表取締役
2005/9/13
前回はICカードの種類とその代表的な用途について述べた。もちろんすべてのICカードを網羅したわけではない。例えば日本でもFOMAやauなどの携帯電話にはSIMカードが採用されているし、衛星放送の通信の復号に使われるB-CASカードなどのICカードもある。今後、日本でもICカードの用途はますます広がり、多種多様なカードが登場してくることは間違いない。
さて、そうなってくると心配になるのが「ICカードは本当に安全なのか」ということである。幅広い用途で使われれば使われるほど、その安全性に対する要求は高まってくるわけだが、ICカードにおけるセキュリティの要件というのは3つある。
(1)ICカード内部に書き込まれた情報が不正に取り出されたり、改ざんされないこと、(2)ICカードとリーダ、ICカードとサービスの間の通信が第三者に傍受されたり、間違ったICカード、ニセのICカードを通信対象として認証しないこと、(3)ICカードそのものが本来の所有者以外の人物に不正に使用されないこと、の3つである。
近年、磁気カードをターゲットに急増し、社会問題化しているスキミング犯罪は、カード内の情報を不正に読み取り、その情報を使って第三者がカード所有者になりすましたり、カードを偽造したりするという意味で、まさにこのセキュリティ要件が突破された状態であるといえる。
今回は、この3つのセキュリティ要件がどのように守られているのかを考えてみたい。
 |
| 図1 ICカードの3つのセキュリティ要件 |
 |
ICカードそのものの安全性について |
まず「ICカードそのものの安全性」について解説する。ICカードは必要な情報がICチップのメモリに記録され、さらにその情報に対するアクセスをCPUが制御するという構造上、外部からこの情報に不正にアクセスしたり、読み出したり、改ざんしたりすることが非常に困難である(これを耐タンパ性という)。
つまりICカードは、スキミングやカード偽造に対しては磁気カードに比べて格段に安全性が高い。それ故、キャッシュカードやクレジットカードのIC化やICカードのPKIデバイスとしての応用など、最近のトレンドの根拠になっている。
 |
| 図2 ICカードそのものの安全性 |
しかし、ICカードといえども内部情報を100%守れる構造になっているわけではなく、ICカード内部の情報を不正に読み出す手法もゼロではない。そこで、こうした攻撃に対して内部情報を高度に暗号化するなどの対策を立て、用途に応じて必要なセキュリティを行うことが必要になってくる。
ICカード内情報の暗号化という観点から、最近注目が集まっているのが前編で述べたFIPS140-2などの暗号モジュール搭載デバイス認定規格だ。FIPS140は、暗号モジュールのセキュリティ要件に関する規格として実装方法を含めた暗号モジュール全体の安全性を規定している。1995年にFIPS140-1として制定されたが、5年ごとの見直しと新技術への対応が要求されているため、2001年にFIPS140-2となった。さらに2002年には認可セキュリティ機能にAESなどが追加された。
FIPS140-2はICカードなどのデバイスが内部情報をどのように暗号化して高い耐タンパ性を保っているかを客観的に評価・認定するための規格だ。NIST(米国標準技術研究所)とCSE(カナダ通信安全保障機構)が認定を行っているが、最近では日本でもFIPS認定がICカードそのもののセキュリティの堅牢性を裏付けるための客観的指標として注目されている。
FIPS140-2はICカードのセキュリティ規格として国際的なデファクトスタンダードになりつつある。日本国内でも官公庁のみならず民間企業も「ICカード=安全」という意識から一歩進んだFIPS140-2認定モジュール搭載製品に意識を向け始めている。
 |
| 図3 FIPS140-2モジュールを搭載したICカードやUSBトークンの例 |
1/3 |
|
| Index | |
| ICカードをめぐる3つのセキュリティ要素 | |
 |
Page1 ICカードそのものの安全性について |
| Page2 PKIによるICカードの認証 リーダ/サーバは果たして本物なのか ICカードで使われる暗号方式は用途に応じて選ぶ |
|
| Page3 そのICカードを使っている人間は正当な所有者なのか ICカードにおけるバイオメトリクス認証 万全と思えるバイオメトリクス認証にも問題は残る |
|
| ICカードの基礎知識 | |
| 知っておきたいICカードのタイプと使われ方 | |
| ICカードをめぐる3つのセキュリティ要素 | |
| 関連記事 | |
| @IT RFID+ICフォーラム | |
| 5分で絶対に分かる非接触ICカード | |
| 非接触ICに最適化された「FeliCa」の正体 | |
 |
Security&Trust記事一覧 |
TechTargetジャパン
- Facebook タイムライン利用時の「鉄則」 (2012/2/9)
ユーザーインターフェイスの変更措置に伴い浮上した、Facebookの「過剰な情報提供」のリスクと対策とは - 無料サービスなら通信内容を記録してもいいの? (2012/1/13)
無料の公衆無線LANサービスが、ユーザーに無断で通信履歴を記録していたことが判明し、話題に - 攻撃はまるでレーザービーム (2011/12/26)
2011年に話題となった標的型攻撃は「人」という弱点ををねらい打ちにしました。では、人に教育さえしておけば防げるものなのでしょうか? - 見せたくないなら「持たせない」が鉄則! (2011/12/15)
逆コンパイル対策で難読化したのに、大事なデータが解析されちゃった? Androidアプリのセキュリティの道は深い
 |
|
|
|
|
キャリアアップ
スポンサーからのお知らせ
- - PR -
イベントカレンダー
- - PR -
お勧め求人情報
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
ホワイトペーパー(TechTargetジャパン)
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。