第 2 章サイバービジネスと情報セキュリテイ人門 定した「銀行取引プロトコル VI. 0 」を採用する動きが広がりつつある。し かし、都銀、地銀、第二地銀、長信銀、信託銀など合わせて 56 行 ( 一部、 検討中を含む ) が前向きな姿勢を示したという。ただし、各行がいつから、 どういったサービスを提供するかなどは未定である。 現在、発行枚数 1300 万枚をほこる「出光 mydo ( まいど ) カード」は、 石油元売り大手の出光興産が提供している会員向け IC カードのサービスで ある。単体の企業が取り扱う IC カードとして日本はもとより世界的にも有 数な規模である。元々は顧客データやポイント管理のための IC カードだっ たが、 1998 年 1 月からは繰り返し入金が可能なプリペイドカード機能を追 加し、黎明期にある IC カード・マネーの実用化に先べんをつけている。 同社が全国共通の「 mydo カード」を展開し始めたのは 93 年のことだが、 カードは℃カード化し、記憶容量を上げることに成功している。そして 98 年 1 月から mydo カードにプリペイド機能を追加、出光は「電子プリカ」 と名付けている。 この電子プリカは、 mydo カードで築いてきた既存の IC カード・インフ ラを活用できるもので、従来の mydo カード会員は今までのカードをその まま使えるのが特徴である。 IC チップの空き領域にプリカ機能を加えるだ けのことだから、 SS で入金した時点から電子プリカ機能を持った myd 。カー ドとなる。 95 年のスマートカード発行枚数は全世界で年 5 億枚であった。 97 年には ( 4 ) スマートカード ( ℃カード ) とセキュリティ 161 カード ()C カード ) の利点は、磁気ストライプカードより信頼性が高いこと ドと呼ばれているが、日本では一般に IC カードと呼ばれている。スマート リーなどの半導体チップを組み込んだカードである。欧米でスマートカー スマートカードとは簡単に言えは、プラスチックカードに、 CPU 、メモ されている。 12 億枚、 2000 年には 35 億枚の発行枚数、同じく 250 億円の売り上げが予想
や磁気ストライプカードより多くの情報を格納できること。さらに、廃棄 または再利用が可能であること、 IC チップ等のテクノロジーの進化の恩恵 が大きいことなどであろう。 ートカードと 日本では、スマートカード利用例としては、 98 年夏現在、以下の事例が でカードをレシーバーに近づけると通信が始まる。 接触式の場合は RF ラジオ周波数が使用され、ワイアドロジック回路使用 カードを差し込み、 IC チップとリーダーが接触し通信が始まる。また、非 接触式の場合、カード端末と呼ばれるカードリーダ ( 読み込み装置 ) に 料金決済などの目的で実装・発達している。 ト、健康保険証、ポイントカードなどが、そして非接触式には高速道路の あり、接触式には、銀行カード、クレジットカード、 ID カード、パスポー スマートカード ()C カード ) の種類には、接触式と非接触式の 2 種類が あげられる。 ・ 88 年 ・ 89 年 ・ 91 年 ・ 92 年 ・ 93 年 ・ 97 年 兵庫県五色町健康 IC カード ( 7 , 000 枚 ) 日産自動車カーライフ IC カード ( 70 万枚 ) 島根県出雲市総合福祉カード ( 1 万 2 , 000 枚 ) 京都市中京区西新道錦商店街エプロンカード ( 5 , 300 枚 ) 出光興産 MYDO カード ( 700 万枚 ) 神戸市スマートカードジャパン 三鷹市エレクトリックマーケットプレイス ・ JR 東日本乗車券のスマートカード実験 ・ N がテレホンカードの非接触型 IC カードを採用。スマートカード化 参考までに、現在のところスマートカード関連の規格は次のような規格 162 ・ ISO 7816 ・ OpenCard フレームワーク ・ PC/SC がある。 PC/SC は、 Win32API べースのプラットフォームからスマ
図 2 ー 22 第 2 章サイバービジネスと情報セキュリテイ人門 SecurlD カード ( ACE 社提供資料より ) SECUÄI ロ 1 通信するための API であり、マイクロソフトを含む数社のべンダーから発 163 たため収支は赤字になってしまっているという。このため、 N は非接触 テレホンカードは年間約 4 億枚売れているが、変造カードの利用が急増し 型 IC カード」を導入することを発表している。従来の磁気力ードを使った NTT では、 1999 年度から公衆電話に近づけるだけで利用できる「非接触 規格がある。 93 等の標準化が存在している。ほかに JavaCard API や EMV 仕様などの されている。一方、非接触型 IC カードでは、 ISO/IEC 10536 、 14443 、 156 に金融用途に限定した場合には、 ISO の TC68 で審議された IS09992 が規定 接触型 IC カードの場合には、国際標準規格は ISO / IEC 7816 のほか、他 ンターフェイスを介して転送される。 イスを規定している方式で、カードリーダとカード間ではデータがこのイ さらに、 IS07816 方式は、スマートカードに対する最下層のインターフェ いるので PC / SC は不要となる方式である。 く JAVA 環境との共通インターフェイスも規定し、 Win32 もサポートして 確保するための仕様である。これは pc / sc を包含し Wind 。 ws 環境だけでな 端末、 pc などとスマートカードアプリケーションとの間で相互運用性を また、 OpenCard フレームワークは、ネットワークコンヒ。ュータ、 POS 表されている。 Windows プラットフォーム上でのみ動作する方式である。
紙幣型電子マネー。野村総研の「 e キャッシュ」のリリースページに 詳しい動作概要図がある。 Mondex (Mondex lnternational) 254 BitCash ( ビットキャッシュ ) つカード。 カードを使ったポイントカードとプリペイドカードの 2 つの機能をも 長野県駒ケ根市の駒ケ根スタンプ共同組合と赤穂信用金庫が始めた IC http ・ //www.komagane.com/komacard.htm つれてってカード ( 駒ケ根スタンプ共同組合、赤穂信用金庫 ) が始めたプリペイド機能付きのキャッシュカード ()C カード ) 。 長野県伊那市の伊那信用金庫と伊那市コミュニティーカード協同組合 http://www.inashinkin.co.jp.com/on/htm レ usfrmset. htm い ~ なちゃんカード ( 伊那信用金庫 ) N が日銀と開発した電子マネー http://www.nsc.cae.ntt. CO. jp/ NTT 電子現金 (NTT) http://www.visa.co.jp/digita レ cash. html VISA Cash (Visa lnternational アジア太平洋地域本部 ) SET とⅣ仕様を満たす電子マネー http://www.visa.com/cgi-bin/vee/nt/cash/main.html?2 十 0 Visa Cash (Visa lnternational) dex 対応電話でカード間の価値の移動が可能。 IC カードに貨幣価値を移す残高管理型の電子マネー。専用機器や M 。 n chnology. html http://www.mondex.com/mondex/cgi-bin/printpage.pl?english 十 global&te
第 2 章サイバービジネスと情報セキュリテイ人門 ある。そこで採用されたこの IC カード (CPU 入り ) は、万一盗難に遭って も解析は困難なうえ、カード自体にアクセス制限を設けたりパスワードの 情報を記録したりできるため、非常に高いセキュリティ管理が行えるのだ。 アクセス可能、課長クラスはここまで、そして役員にはここまで、 IC カードにランク化されたアクセス制限を設ければ、一般職はここまで 証と併用する等の応用も考えられるという利点がある。 さらに、 IC カードは薄く、表面にさまざまな印刷を施すことができ、社員 という 165 イントラネット利用などに非常に有効であろう。 設けることができる。これは会員制の情報サービスや企業情報システムの 「このサイトにおけるこのページまで」というように、ページ単位にまで 化できるユーザーを限定することが可能となっている。アクセス制限は のだ。当然、共有ファイルは個々のユーザーのアクセス制限に従い、復号 ー上の共有ファイルやメールに添付するファイルも暗号化の対象となる 暗号化できるファイルはローカルのハードディスクだけではない。サー 「防人」が提供するソリューションは、ファイルの暗号化である。 ソフト「 VirusScan 」が組み込まれており、ウイルス除去にも有効である。 どちらにもネットワークアソシェイツ ( 旧マカフィー ) のアンチウイルス る。「防人」には個人べースの「 personal 」と法人向けの「 Pro 」がある。 るのが、同社の販売するソフトウェア「防人 ( さきもり ) 」シリーズであ また、こうした暗号化技術と IC カードによる個人認証をコントロールす れたデータ交換を経て個人認証を受ける仕組みである。 につながれたカードリーダーに差し込んでパスワードを入力し、暗号化さ 機をつないだ pc で発行、管理する。クライアント側はこのカードを端末 なる。この IC カードは、 SCD (Security Control Device) というカード発行 方式で役職などに応じた制限 ( 最大 9 ランクまで分類可 ) ができるように
第 2 章サイバービジネスと情報セキュリテイ人門 ゴリズムを用いている。離散対数問題そのものは古くから知られているが、 DSS で採用されているアルゴリズムは比較的新しいもの ()9 年に Schnorr によって提案されたもの ) であり、研究者によって十分吟味されていない ため、 DSS はいくつかの占で RSA より劣っているとも言われている。 capstone 計画を進めている NIST と NSA が DSS を採用し、なせ A を採用 しなかったかは明らかにされていない。時間が経てば、多くの暗号研究者 によって DSS は十分安全な電子署名規格であると認められるかもしれない が、 DSS にはまだいくつかの課題が残されていると警告する研究者もいる。 そうしたなか、 95 年 1 月、国防総省は、同省が調達するパソコンやワー クステーションには、 NSA がデザインした Fortezza カードが利用できるよ うにするため、少なくとも 2 つの PCMCIA Type Ⅱのスロットが必要とな ることを明らかにした。 Fortezza カードには、暗号標準である E 、電子 署名標準である DSS 、メッセージのダイジェスト化の標準である SHS のす べてを満たすソフトウェアがチップ化されて収納されることになるという。 この Fortezza カードは、 capst 。 ne 計画でこれまでに得られた成果を集大成 したものとなるといわれる。 暗号機能を持った PCMCIA カードは、すでに商用のものが存在している が、 Fortezza カードが他の商用暗号カードと異なる点は、暗号機能と電子 署名機能の両方を持っていることである。このカードにはモデム機能の付 いているものと付いていないものがあるが、モデム機能付きのカードの場 合、普通に電子メールの受発信を行うように、メールを暗号化して電子署 名を添付して送信し、受け取った暗号化されたメールを復号化して電子署 名を確認することができる。 この、 Fortezza カードの暗号アルゴリズムは SKIPJACK ( 2 章 1 , ( 12 ) 参 照 ) である。これはデバイス・キーが分割され、復号化するための鍵を N ッノ、 ・チップと同じ考え も格納されているのだが、この鍵も同じように寄託される仕組みになって 方に基づくものである。 Fortezza カードにはこの他に電子署名用の秘密鍵 IST と財務省に寄託される仕組みであり、クリ
いる。 NSA はこのカードをすべての連邦政府機関のセキュリティ確保だけでな く、民間企業にこの商用パージョンを開発させて、世界中に普及させる方 針を固めているといわれる。こうした背景からか、 95 年 10 月にはネットス ケープ社が Fortezza カードのサポートとネットスケープ・コミュニ や web サーバー用のソフトウェアに改良を加えて Fortezza カードをセキュ リティ用のトークンとして利用できるようにするという計画を発表して世 間を驚かせている。 現在、米連邦政府機関は PCMCIA カードの採用や www 以外にも、民生 用の技術や規格を取り入れたシステムを開発し、普及しようとしている。 Fortezza カードを用いた情報システム開発もその一環である。 ANSI (Ame rican National Standards lnstitute) では現在、金融機関のための次世代セ キュリティ規格を開発中といわれるが、これに Fortezza カードが採用され る可能性があるともいわれ、 Fortezza カードを巡る動きは当分見逃せない。 5 関心を呼ぶスマートカードと電子マネー ( 1 ) 電子マネー普及の鍵を握るセキュリティ インターネットが広範に普及するなか、電子商取引 ( エレクトロニック コマース ) の実現に向けて、世界各国でさまざまな取り組みが進められて いる。とりわけ、お金の情報を電子化し、オープンなネットワークの中で も利用可能とするような「電子マネー」については、電子商取引実現のた めの基幹技術として、実用化に向けた研究・実験が一段と活発化してきて いる。 98 年に入って大蔵省は、電子マネーの普及に必要な環境整備について検 討してきた「電子マネー及び電子決済に関する懇親会」の報告書をまとめ ている。報告書では電子マネーの発展を促すため、電子マネーの発行を金 152
要な個人情報である秘密鍵とデジタル ID を保存することで「端末なりす まし」が懸念されていたが、 Ne ign を利用することで重要な個人情報で ある秘密鍵とデジタル ID がスマートカードに保存され、常に利用者が携 帯することを可能にしている。この NetScape Communicator で S/MIME に よる署名・暗号メールを送る場合、クライアント認証機構によるイントラ ネットでのアクセス制御での利用が可能になる。 リトロニック社の「 CryptOSTM 」と呼ばれるスマートカード API は、業 界の規格である「 SecureSockets Layer (SSL) 」、「 secure Mu1tipurpose lnter net Mail Extensions (S/MIME) 」、 RSA 社の「 public Key Cryptographic stand ards (PKCS # 11 ) 」、「 x. 509 認証」および「 Common Data Security Architect ure (CDSA) 」などをベースとしているが、さらに、スマートカード上に VeriSign Digital ID をダウンロードすることも可能としており、すぐに利 用可能な形のパッケージで提供されている。 このように、それぞれのスマートカード、電子マネーの間には使われる であろう場面・状況等の想定に差異があることから、個々の要求条件の重 要度や優先度に対する考え方において異なる思想の下に開発されており、 さらにコストとの兼ね合いもあって、必ずしも全ての条件を実現していな 仏ジェムプラス ( マルセイユ ) は世界最大の IC カード会社である。同社 では電子マネー時代をにらんで Java ( ジャパ ) を使った複数の応用ソフ トを 1 枚のカードに組み込み搭載した製品の実用化を急いでいる。 Java をミドルソフトとして組み込んであり、複数の応用ソフトを動かすパソコ ンのように処理させる。 Java で開発したクレジット、電子マネー、 ID ( 身元証明 ) などさまざまな応用ソフトを通信回線経由でカードの中にダ ウンロードして取り込めるのが特徴である。これにより、 1 枚の IC カード を複数のサービス会社が共有でき、 IC カード普及の弱点とされているカー ド発行コストの低減につなげられるという。この Java 組み込みカードの 価格は 1 枚 1200 円程度を予定しており、すでにクレジット会社や銀行、電 168
型 IC カードならば変造がきわめて難しく、セキュリティ面の付加価値性が 高いとして採用を決めている。今後は従来のテレホンカードは将来的には 全廃する方針らしい。これにより、現在全国に 80 万台ある公衆電話はテレ ホンカードに対応する次世代型の機種に順次切り替える予定である。非接 触型の IC カードは、従来の IC カードよりも薄く、差し込まなくても公衆電 話のアンテナに近づけるだけでカードに記憶されている利用度数などの情 報を送り込むことができるのが特徴であり、定期券や切符に代わる証明手 段としての研究も進められている。 IC カードによる個人認証を組み込んで、より高度なセキュリティを実現 しようとする国産の製品も多く出現している。個人認証の際には「記憶に よって ID とパスワードを入力する」のが一番べーシックな方法だが、外 にも漏れやすいのが難点とされていた。 株ローレルインテリジェントシステムズは、認証と暗号化の技術をベー スに注目すべきセキュリティシステムを製品化している。同社のコンセプ トは「暗号化技術と個人認証を組み合わせた高いレベルのセキュリティ構 築」であり、個人認証に IC カードシステムを採用しているのが特徴である。 同社が開発した暗号アルゴリズム ( 暗号化の方式 ) である SXAL/MBAL は 1993 年に公開され、 1995 年に ISO に登録されている。 この暗号化技術は 2 種類の暗号を組み合わせて使用していること、 IMB のハードディスク上のファイルを約 1 秒で暗号化できることなどの特徴が ある。苦心して開発した暗号アルゴリズムが、ハッカーによってすぐに解 読されてしまうことはそう珍しいことではないうえ、暗号アルゴリズムは それ自体が高度なうえ米国の輸出規制の対象になっており、米国の技術を そのままの形で使用することができない。そこで重要になってくるのが国 産の優れた暗号アルゴリズムである。こうした事情からも SXA レ MBAL が 今脚光を浴びている。 個人認証には、メモリカードや磁気力ードなどのメディアを使用する手 法もあるが、壊れやすい・解析されやすい・偽造しやすいなどの問題点も 164
目 3 本格化してきた電子公証と認証局 ( 1 ) 認証とは ( 2 ) 認証機関 ( 3 ) 認証局のサービス事業者 (CA) ( 4 ) いよいよ動き出した電子認証決済「 SET 」 4 電子署名の仕組みと応用 ( 1 ) 電子署名とは ( 2 ) べリサイン社のデジタル ID 製品 ( 3 ) 電子署名用の規格案 (DSS) と Fortezza カード 5 関心を呼ぶスマートカードと電子マネー ( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 ) 電子マネー普及の鍵を握るセキュリティ 電子マネー実現方式のプロトコル 出そろってきた電子マネー スマートカードの次世代サービス スマートカード ( ℃カード ) とセキュリティ 第 3 章企業のセキュリティ対策 7 カ条 1 企業システムのセキュリティの基本 ( 1 ) ( 2 ) ( 3 ) ( 4 ) イントラネットやモバイルを導入する前に バスワードで安心する「危険」 バスワードだけでは安全でない理由 暗号バスワードに注目集まる 次 ・ 132 ・ 132 ・ 135 ・ 138 ・ 142 ・ 145 ・ 14 5 ・ 148 ・ 150 ・ 152 ・ 152 ・ 154 ・ 158 ・ 166 ・ 172 ・ 172 ・ 174 ・ 176 ・ 177 7