関連リンク


FirstPass


FirstPass 法人のお客様へ

クライアント認証−FirstPass

電子認証はインターネットの必需品

 インターネットの世界では、もはや当たり前のものとなった電子認証技術。インターネットの発展形として存在するケータイサイトでも、今や電子認証が必要な時代になってきた。

 インターネットでは、本人確認のための身分証明書の提示などが対面で行えないため、認証を行う必要がある。認証とはそもそも「正当性を検証する作業」をいい、ユーザーに利用する権利があるかどうかや、ユーザーを識別してユーザーごとに異なるサービスを提供するためなどに利用している。

 最も一般的な認証手段としてユーザーIDとパスワードの組み合わせの利用がある。ユーザーIDは決め方に一定のルールがあり第三者でも知ることができるが、パスワードは登録した本人しか知らないはず。サービスやコンテンツを提供するプロバイダは、事前に登録されたパスワードと、アクセスの際に入力されたパスワードをサーバ上で比較し、文字列が同一であれば本人とみなしている。

 一方で、インターネット上での物品の購入や、社内システムへのアクセスを行う際には、情報の漏洩やなりすましなどに細心の注意が払われている。万が一、認証に用いられるパスワードが他人に発覚すると不正利用が行われてしまう恐れがあるため、インターネットではなりすましに強い電子認証を主に利用している。

ケータイサイトの問題点とは

 毎回操作を求められるパスワードの入力負荷を軽減するために、PCにはユーザーIDと関連してパスワードを記憶しておく機能がある。だが、PC以上に他人が使う可能性の高いケータイにこうした機能はない。デスクに置いたままにしたケータイから他人が勝手にサイトにアクセスするのを防ぐためだ。

 しかしこうしたセキュリティの高さは、使い勝手の良さとは相反する。キーボードを持つPCと違って、ケータイはパスワードで使われる英数字の入力が特に苦手なのだ。

 こうした手間を少しでもなくそうと、サイト側ではパスワード入力に数字のみの入力を指定するなど工夫を凝らしている。だが利用者の立場で見ると、残念ながらその効果は薄い。多くのサイトを使えば使うほど、ユーザーIDそのものが増えていくため、利用者は毎回のようにどのユーザーIDだったかと頭を悩ませることになる。

FOMAカードで全て解決

 利用者の利便性だけを考えれば、ユーザーIDの入力すらないほうがいい。ケータイには“電話番号”という世界唯一の番号があるのだから、サイトへのアクセス時にこれをユーザーIDとして使うという手がある。

spfoma001.gif
 FirstPassのほか、国際ローミング「WORLD WING」に対応する緑色のFOMAカード。

 ところが、電話番号というのは住所や氏名などと同じ個人の情報でもあるため、これをインターネット上に流すには問題がある。厳重なセキュリティで守られているドコモのiモード公式サイトなど特定の用途にしか使えないのが現状だ。つまり誰もが使えるわけではない。

 では、電話番号通知の手軽さで、個人情報への配慮もあり、インターネットに適したものはないか―――。

 その答えが、ケータイへの電子認証機能の搭載だ。そして、機能を実装するエリアとして、ICカード、すなわちFOMAカードに白羽の矢があたったのである。

 FOMAカードは、FOMAに内蔵する着脱可能な接触型ICカードで、電話番号のほか、電話帳データやローミング情報の格納なども可能な、書き換え型のメモリ領域を持つ。ここに電子証明書“ユーザー証明書”を格納することで、ケータイサイトへの“安全”+”簡単”なアクセスが実現できるようになった。

FirstPassの使い方

 ドコモの提供する電子認証サービス「FirstPass」はこれまで、ケータイから企業のイントラネットアクセスやシングルサインオンなど安全なリモートアクセスの手段として語られることが多かった。もちろん、それは間違いではないし、事実そうした使われ方が大勢を占める。ところが900iシリーズから全機種で「FirstPass」が利用できることで、今後は、物販サイトでのEコマースやオンラインゲームなどの会員制サイトの認証などコンシューマ向けのサービスとしても定着していきそうだ。

 昨年から販売されている「F2102V」「N2102V」、そして新しく発売される900iのFOMA契約者ならば、誰でも通信料以外は無料でこの便利なサービスを受けられるようになる。では実際にFirstPass機能はどのように使うのだろうか。利用者の立場で、順を追って見ていこう。

 まず始めに、FOMA契約をした利用者が、端末のメニューからドコモのFirstPassセンターにユーザー証明書の申請を出すことからスタートする。続いてユーザー証明書をダウンロードするのだが、この証明書はFOMAカードに格納される。ちなみにここで格納されるユーザー証明書に記載される内容というのは、「この証明書を持つ端末には確かにFOMAの契約がある」ということを意味するユニークな識別IDだけで、契約者名や住所などの個人情報などはいっさい明かされない。

 一般的なクライアント証明書の取得には、身分証明や本人確認等の手間が発生するが、FirstPassでは端末の操作だけで証明書の取得が可能だ。それはどうしてか。なぜならばドコモでは、ケータイを契約した時点で、運転免許証などの提示により本人確認が済まされているためだ。

 ユーザー証明書をダウンロードしたケータイからFirstPass対応サイトにアクセスすると、まずSSL通信が開始される。以降の送受信データが暗号化されるわけだが、実はSSLを使ったユーザーIDとパスワードを使う認証でもここまでの動作は変わらない。だがそれらの入力画面が出る代わりに、ユーザー証明書の送信が自動的に開始される。この時、ユーザー証明書の送信を確認する画面が出るのだが、もし、信頼できないサイトから証明書を求められたら、送信を拒否することができる。証明書には、氏名や住所、メールアドレスなどの個人情報は記載されていないが、識別IDを悪用される恐れがある。これをなりすましに使えるわけではないが、ユーザーの行動を記録することはできる。

 ユーザー証明書送信に続いて、本人確認を行うための「PIN2コード」入力が促される。これは4桁から8桁の任意の数字で、利用者が自身で設定し、省略不可能な暗証番号である。PIN2コードが一致した時点で、特殊な信号が自動送信され、認証が完了し、該当ページの表示が許可されるのである。

 PIN2コードを入力するだけでアクセスできるこの方法はすべてのサイトで共通なので、サイト毎に設定されるユーザーID・パスワードの入力に比べると覚えやすさも遥かに上だ。

spfoma002.gif
ユーザーIDとパスワードを知られてしまうと、他のケータイ・PCからでもなりすましによる被害を受けることもある

spfoma003.gif
たとえ端末を盗まれてもPIN2コードは利用者が設定しているため操作はできないし、証明書の番号を知っていてもそのFOMAカードでなければ操作もできず、他人がなりすますことは難しい

FirstPass対応へのススメ

spfoma004.jpg
「FirstPassはインターネット標準規格のPKI(Public Key Infrastructure:公開鍵暗号基盤)を利用しているので、安全性が非常に高く安心してお使いいただけます」と語るエマージングビジネス部モバイルEC推進室の小野川雅士氏

 ではここで、コンシューマ向けのコンテンツプロバイダがFirstPassに対応した場合のメリットを考えてみよう。まず最大のポイントは、ユーザーへの利便性の提供だ。ユーザーに対して、ユーザーIDとパスワードによる認証を必要とせずに会員向けページへ誘導できるので、アクセスのしやすさとなって効果が現れる。当然リピート率のアップにも期待が持てるはずだ。

 ユーザーへの利便性は、そのままプロバイダ自身のメリットにも直結する。FirstPass対応の端末を持つユーザー──すなわちFOMAを利用中の先進ユーザーがアクセスしやすいということは、リッチコンテンツのダウンロードなど単価の高いサービスの販売機会が増えるのである。ケータイ向けのコンテンツ事業者にとって実に魅力的な話ではないだろうか。

 さらに、ユーザーが唯一操作するPIN2コードはどのサイトでも共通だから、FirstPass対応サイトが増えれば増えるほど相乗効果が高まっていく。もちろんショッピングモール丸ごとFirstPass対応ということになれば、会員の囲い込みにも有効になりそうだ。とすると、早い者勝ちの世界でもありそうだ。NTTドコモ、エマージングビジネス部の小野川雅士氏に、FirstPass対応サイトの現状についてお聞きした。

 「現在は企業イントラへのアクセスなど、セキュリティを重視する場面でFirstPassをご利用いただいています。会社にアクセスしてメールを見たり、スケジュールを見たりという使い方になりますが、特にiアプリと連携してサーバにアクセスするようなシーンでFirstPassが有効だと考えます。今後、コンシューマ向けのサービスとして定着するのは時間の問題ですね」

ハードルは低く、セキュリティは高く

 iモードサイト普及の最大の理由は、インターネット標準であったこと。そして今、SSLクライアント認証がインターネットで最も普及している電子認証技術であることを考えれば、FirstPass対応を拒否する理由はどこにもない。ではコストの点はどうだろうか。実はこれこそがFirstPassの最大のメリットであり、ドコモにとっての切り札でもある。

 「コンテンツプロバイダには登録事務手数料として3000円をいただきますが、それ以降は無料でご利用いただけます。毎月3000円がかかるのでは? と誤解される方もいるのですが、無料なんです。もちろん端末をお使いのお客様に対しても通信にかかるパケット代以外の月額利用料金や付加使用料はかかりません。ケータイの基本機能として提供させていただいているので、こうした提供ができるわけです。」(小野川氏)

 ユーザーIDやパスワードを忘れてしまったことで、会員登録したサイトに足を運ばなくなってしまうユーザーは相当数に上るという。FirstPassの導入によって会員をしっかり囲い込むことができるのであれば、コンテンツプロバイダにとってはたとえ費用がかかったとしても割に合うのかもしれない。そして利用者にとってもこれからは、FirstPass対応サイトであるかどうかが、コンテンツ選びの基準になりそうだ。

関連リンク
▼FirstPass
▼FirstPass 法人のお客様へ

[ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.