普及に期待したい「ケータイでワンタイムパスワード生成」 ：神尾寿の時事日想

[神尾寿，ITmedia]

　4月24日、RSAセキュリティとNTTデータは、国内外で70％以上のシェアを占めるワンタイムパスワード製品のデファクトスタンダードであるRSA SecurIDの携帯電話版を共同で開発したと発表した。4月25日より同製品の販売を開始するという（4月25日の記事参照）。

　周知のとおり、ワンタイムパスワードとは「使い捨てのパスワード」であり、RSA SecurIDでは60秒ごとに変化するパスワードを認証に使う。指紋認証や静脈認証のような生体認証、FeliCa認証などに比べてPCやATMなど利用機器側に改修が必要がないのがメリットであり、“盗まれても次の瞬間に使えなくなるパスワード”は安全性も高い。

　最近では、スパイウェアやキーロガーによるPC利用からのパスワード盗難、ATMの盗撮事件などがセキュリティ問題になっているが、これらに対してワンタイムパスワードは有効なソリューションである。多くの企業が社員の外部環境からの接続認証に使っているほか、コンシューマー向けでは三井住友銀行やジャパンネット銀行のインターネットバンキングで導入されている（1月13日の記事参照）。

パスワード生成機要らずのケータイ対応

　ワンタイムパスワードは有望なセキュリティソリューションの1つであるが、これまで大きな課題があった。それは専用のパスワード生成機（ハードトークン）が必要だということだ。ハードトークン自体の大きさはキーホルダー程度のものだが、銀行や企業が大量導入するとなれば、トークンの運用・管理、配布の体制が必要になる。またユーザー側も、ワンタイムパスワード認証のサービスが増えれば、複数のトークンを持ち歩かなければならないという面倒があった。

　今回、RSAセキュリティとNTTデータが発表した新サービスでは、このパスワード生成機の機能を携帯電話アプリ（iアプリ・BREWアプリ・Vアプリ）で提供する。別途トークンが要らないので、導入企業側にはコスト削減のメリットになり、ユーザー側はトークン取り扱いの面倒から解放される。

　NTTデータによると、ブラウザ連携機能もあるとのことなので、携帯電話向けのモバイルバンキングやオンライントレード、クレジット決済サービスの認証なども簡単に利用できるのも注目である。

　またワンタイムパスワードは、街中ATMでの利用でも期待できる。卑近な例で恐縮だが、筆者は先日、三井住友銀行の口座を生体認証に切り替えたところ、生体認証が「使えるATMの少なさ」に使い始めて改めて閉口した。特にコンビニATMの対応が進んでいないのが使いにくい。また他銀行ATMでも、生体認証に非対応だったり別方式だったりするケースが多く、“間違いなく使えるのは三井住友銀行の支店だけ”というのが現状だ。高いセキュリティと引き替えに、利便性が犠牲になってしまうのだ。

　その点、ATMでのワンタイムパスワード認証ならば、入力するのは“1回限りの数字”のみ。ATM側に特別なハードウェア対応は必要ない。これならコンビニATMや他銀行ATMで使えないという問題も解決しやすそうだ。利便性を大きく損ねず、安全性が高められる点に期待できる。

ケータイ自体のセキュリティ性能は今後も向上する

　むろん、携帯電話にパスワード生成機能を持たせると、「携帯電話を紛失した時にどうするのか」という反論・反発を招くことになるだろう。おサイフケータイに対しても、未経験者ほど、そういった紛失に対する不安の声がある。

　しかし、その点は大きな問題ではないと筆者は思う。おサイフケータイの登場と普及に伴い、キャリア側は様々なセキュリティ機能を携帯電話に盛り込んできている。例えば、ドコモでは指紋認証機能を以前から一部機種で導入しており、902iS以降は生体認証機能端末を増やすという。逆説的だが、おサイフケータイで紛失リスクが高まったことにより、その対策機能が充実し、使いやすくなってきているのだ。携帯電話自体のセキュリティ性能が上がる中で、紛失リスクの問題は減少してきている。

　ワンタイムパスワードの可能性を考えれば、パスワード生成機が携帯電話アプリになることによる、コスト削減と利便性向上の影響は大きい。普及の弾みにもなるだろう。今後の動向に注目である。