ICカードの基礎知識[後編]

ICカードをめぐる3つのセキュリティ要素

長谷川 晴彦
ペンティオ株式会社
代表取締役
2005/9/13

---

そのICカードを使っている人間は正当な所有者なのか

　最後にICカードを所持・利用している人間が、正当なICカード所有者であるかどうかについて検討する。これが最も重要で、しかもやっかいな問題である。ICカード自体が第三者の手に渡り、それが不正に使用されるとなると、従来の磁気ストライプ記録のクレジットカードやキャッシュカードのスキミング・偽造よりもはるかに重大な問題を引き起こす可能性があるからだ。

　ICカードの応用範囲は金融の決済機能や電子マネーにとどまらず、PKIによる入退室管理、身分証明などに拡大している。つまり、ICカードを不正使用されるということは、単に個人の預貯金を引き出されたり、勝手に買い物をされたりするにとどまらず、本人になりすましてネットワークにアクセスし、サーバにログインすることも可能になってしまう。

　いい換えれば、“磁気カードからICカードへ”の流れは、一方で安全性が向上し、これまでのセキュリティ面での問題点を解決しているが、もう一方でより高いセキュリティが求められる分野への応用という状況を生み出し、より堅牢なセキュリティの構築が必要になっているのである。

　ICカードのセキュリティ上の生命線ともいえる本人認証は、現在PIN（Personal Identification Number）と呼ばれるICカードの所有者を特定する文字列によって行われている。PINはいわばICカードにおけるパスワードに該当するもので、所有者本人が記憶し、ICカードを利用する際に入力する。

　例えばICカードを使ったPKI認証を行う場合、ICカードのチップ内に格納された秘密鍵は、通常、利用者のパスワードをベースにした暗号鍵で暗号化されており、そのままでは利用できない。この秘密鍵を利用するためには利用者がPINを入力する。入力されたPINをカード内部で認証し、本人であることが認証されると、秘密鍵が活性化し、PKI認証が可能な状態になる。

　しかし、当然のことながら、ICカード本体を盗まれ、同時にPINを知られてしまったという状況には対応できない。そこで最近ではより高度なセキュリティ確保が可能なICカードも生まれている。バイオメトリクス（生体情報）を用いた認証である。

ICカードにおけるバイオメトリクス認証

　まず、ICカード内部に所有者の生体情報（指紋、血管パターン、虹彩など）を記録しておく。この情報を基に個人の特徴量を抽出して登録用のテンプレートを生成し、それもICカード内に登録しておく。

　ICカードを利用する場合には利用者が登録部位（例えば指紋）を読み取り装置にかざして生体情報の読み取りを行い、そのデータとICカード内に登録されたテンプレートと比較し一致すれば、本人と認証してカードの利用が可能になるという仕組みだ。

　いうまでもなく生体情報は個人の肉体に付随する情報なので、パスワードやPINと異なり、忘れたり安易に人に知られたりというものではない。それ故、近年のセキュリティ意識の高まりとともにICカードの分野でも活用される事例が増え続けている。

　こうしたトレンドは、ICカードの勢力地図を塗り替えそうである。これまで「コストが高い」と敬遠され気味であったJavaなどのカードOS（COS）を搭載したICカードが「生体情報をICカード内部で認証するためのアプリケーションを搭載できる」という理由で評価され、生体情報認識カードに採用され始めている。

　おそらく、今後、より高性能で可用性の高いICカードに対するニーズが高まるのは間違いないことであろう。この流れは、今後のICカードを語るうえでキーワードの1つになるかもしれない。高可用性という点では、すでに指紋などの個人の生体情報を読み取る機能の付いた、ICチップ搭載型USBトークンなども誕生している。

万全と思えるバイオメトリクス認証にも問題は残る

　しかし、バイオメトリクス認証にもまったく心配がないわけではない。基本的に複雑な生体情報を完全にデータ化し認証することは不可能なので、バイオメトリクス認証は「類似性」を基に判定が行われる。つまり、入力された生体情報と登録された情報が「どれだけ似ているか」によって個人を認証するために、「本人であるにもかかわらず認証されない」「他人を本人と認識してしまう」などの認証エラーが起きる可能性がある。

　こうしたエラーを避けるために認証の精度を上げようとすれば、登録データ量が増大してICカードに負担をかけたり、認証までの時間がかかったりという弊害が起きる。認証のスピードアップを図るだけであれば、入力された情報とカードに登録された情報をネットワークを経由してサーバに取り込み、サーバ上で照らし合わせればいい。実際にこうした手法を取っているICカードもあるというが、これでは「カード内にストックされた情報が外に読み出されてしまう」という意味で磁気カードと同じリスクが増大することになり、そもそもICカードの耐タンパ性という特長を損なってしまう。

図5　ICカード外での判定は危険性が高まる

　例えば、銀行のATMで静脈認証を使った本人認証では、ICカード内にストックされた本人の静脈パターンと、リーダから読み取った静脈パターンを照らし合わせ、読み取り機に手をかざした人物が間違いなくカード所有者であることを確認する。この判定を銀行内に設置されたサーバで行っているのであれば、ICカード内の生体情報がカード外に読み出されていることになり、それが漏えいする可能性も理論的にはあり得る。

　いくら暗号化された生体情報を個人認証に使っても、カード内部に保存された生体情報そのものを外部に取り出せてしまえば、認証の安全性は低下するし、生体情報という個人情報が第三者に知られてしまうという危険性がある。つまり、「バイオメトリクス認証＝安全」ではなく、「データの判定をデバイス内部で行い、認証に必要なデータを外に出さない」ということが大切であり、これが崩れてしまえばバイオメトリクス認証であろうと決して安全ではないということだ。

　前述した生体情報読み取り機能を持ったUSBトークンなどは、読み取った生体情報と登録パターンの照合をデバイス内部という“閉じた空間”で行うため、安全性が高い認証デバイスだといえる。

図6　ICカード内での判定が安全

　安全性を取るか、利便性を取るかというジレンマは、ICカードの世界においても依然として生き続けている。バイオメトリクス認証といえども、それだけではベストのセキュリティとはいえず、ベターな解を探し続ける不断の努力が今後も必要になることは間違いない。

図7　生体情報判定を内部で行うデバイス各種。ICカード（左）と、指紋読み取り機能を搭載したICチップ内蔵型USBトークン

3/3

Index
ICカードをめぐる3つのセキュリティ要素
	Page1 ICカードそのものの安全性について
	Page2 PKIによるICカードの認証 リーダ／サーバは果たして本物なのか ICカードで使われる暗号方式は用途に応じて選ぶ
	Page3 そのICカードを使っている人間は正当な所有者なのか ICカードにおけるバイオメトリクス認証 万全と思えるバイオメトリクス認証にも問題は残る

ICカードの基礎知識
	知っておきたいICカードのタイプと使われ方
	ICカードをめぐる3つのセキュリティ要素

関連記事
	＠IT RFID＋ICフォーラム
	5分で絶対に分かる非接触ICカード
	非接触ICに最適化された「FeliCa」の正体

Security&Trust記事一覧

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）