開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン
  • MUFGのフィンテック事業会社CTOが語る「キャッシュレス時代に求められるID技術」とは

  • 会員限定
  • 2020/01/14

MUFGのフィンテック事業会社CTOが語る「キャッシュレス時代に求められるID技術」とは

毎日のように報じられるパスワードの漏えいからもわかるとおり、ID運用は頭の痛い課題だ。IT企業でさまざまなWebサービスを手掛けてきたJapan Digital Designの楠 正憲氏が「NIST SP800-63B」のポイントなどについて語った。今回は後編だ。

photo
Japan Digital Design
CTO
楠 正憲氏
前編はこちら(※この記事は後編です)


サービス設計に役立つガイドライン「NIST SP800-63B」とは

 楠氏が、「サービス設計の参考にして欲しい」と話すガイドラインが、2017年6月に、米国の国立標準技術研究所(NIST)で発表された、デジタル認証に関するガイドライン(Digital Identity Guidelines)の最新版「NIST SP 800-63-3」である。

 日本語翻訳版も公開されており、「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」など国内基準にも影響を与えている。

 たとえば、ID認証とライフサイクル管理について定めたのが「SP 800-63B」だ。

 前述したSMS認証については、セキュリティの弱点があることから、「異常な振る舞い」のようなリスク指標を考慮すべきだとされ、ドラフト段階では多要素認証として「認めない」とされていた。

「NIST SP800-63B」のポイント

 楠氏はこのほかにも、「SP 800-63B」のポイントについて解説した。まず、認証のたびに乱数表を生成する二要素認証については、「乱数表は使い捨てとすること」が要求されている。

 そして、パスワードの定期変更については、ユーザーに変更するよう要求すべきではないが、パスワードが危殆化した証拠がある場合は、変更を強制すべきだとしている。

 また、パスワードの文字制限についても「最低8文字であることを要求」し、「最低でも64文字を許可すべき」だとしている。

 パスワードを忘れたユーザーに対する「秘密の質問と答え」については、たとえば、「あなたが飼った最初のペットの名前は?」というように、本人以外でも答えられ得る質問は使わないことが推奨されている。

画像
二段階認証であっても万能ではない

 生体認証については、それ自体を認証に用いるのではなく、物理的な認証機器の一部としてのみ利用されるものだとしている。こうしたガイドラインと現実とのギャップを改めて精査した上で、「二段階認証なら安全というわけではないというのを教訓にしてほしい」と楠氏は警鐘を鳴らす。

キャッシュレス決済向けガイドラインを解説

 続いて楠氏は、キャッシュレス推進協議会が2019年4月にキャッシュレス決済の安全性を高めるために公開した「コード決済における不正流出したクレジットカード番号などの不正利用防止対策に関するガイドライン」について言及した。

 楠氏はガイドラインについて「2018年12月に、PayPayにおいてクレジットカード情報が不正利用される事案が発生したことが契機となって定められた」と説明する。事案の背景には、クレジットカード登録時のチェック機構の不備や、ダークウェブで売買されるクレジットカード番号が不正利用に用いられたことが指摘されている。

 ガイドラインでは、クレジットカード登録時の対策として、インターネットの画像認証である「CAPTCHA(キャプチャ)」を用いたボットのチェック、排除や、クレジットカードによる決済時に利用される本人認証サービス「3Dセキュア」を活用することなどを推奨している。

 さらに今後は、最新バージョンである「3Dセキュア2.0」を用いたスマホの多要素認証が主流になってくることが考えられる。3Dセキュア2.0は、ユーザーの行動をアクセスログから分析して本人認証を進める「リスクベース認証」にも対応する。

 これは、以前のアクセスや通常の“振る舞い”を分析して、これまでとは異なる環境からの接続などがあった場合、別途、パスワード入力を求めるものだ。

【次ページ】「7payアプリの不正利用」はなぜ起きたか

お勧め記事

トピックス

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!