コンタクトレンズとパスワードは鮮度が命──ワンタイムパスワード：クライアントセキュリティ大作戦（3/4 ページ）

[小林哲雄，ITmedia]

三井住友銀行は希望者、JNBは全員にトークンを配布

　国内では三井住友銀行とジャパンネットバンク（JNB）がセキュリティトークンを利用するプレスリリースを出している。

　三井住友銀行は今年1月12日に発表した。同社のインターネットバンキング「One'sダイレクト」の利用者のうち、希望者は月105円でOTPによる認証を利用できる。元々One'sダイレクトはマトリックスカードを配布していたが、OTPも利用するようになる。希望者にはすでに配布を開始しているほか、利用促進のキャンペーンも行っている。

　JNBは1月26日に発表した。JNBはインターネット専業で店舗を持たないため、トークンは基本的に全員配布となるが、これに伴い口座維持管理料が月105円から189円に値上げとなる（管理料免除条件あり）。配布は5月ごろより順次開始し、9月ごろを目処に全員に配布を完了するという。どちらもRSAセキュリティのRSA SecurIDハードトークン（SID700）を採用するようだ(※4)。

　ここで使用するセキュリティトークンは、1分ごとに異なる6桁の数字を表示する装置だ。トークン自身の持つ固有のIDと時刻をキーとした一種のハッシュ値を表示する装置と思えばよいだろう。認証サーバはユーザーIDとトークンに表示される数字を入力する。認証サーバはユーザーIDと、そのユーザーに渡したトークンのIDと現在の時刻から計算したトークンが表示するはずの値を比較し、合致した場合に正規のユーザーとしてログインを認めるというわけだ。

　この場合にトークンの時刻管理が問題になる。サーバとトークンの時刻がずれていれば、計算結果の値が異なってしまうからだ。トークンの解析や設定ミスを防ぐために時刻合わせなどの設定手段を用意するわけにはいかないものの、トークンの時刻精度はサーバよりも明らかに低いため、長期間の利用の間にズレが生じる。また、ユーザーが表示を読み取ってから入力して送信するまでのタイムラグも考慮する必要がある。

　RSA SecurIDではこれをサーバ側で吸収する。トークンとサーバの想定した時刻差が±2分（つまり5つの候補）のいずれかに合致する場合は時刻差を自動補正し（図2）、その時点でのサーバとの時刻の差を記録する。±4分ならばサーバは次にトークンに表示される数値を入力させて合致した場合に補正を行う。

図2●トークンとサーバの時刻差の自動補正

　±5分以上±40分以内のズレが生じた場合は連続した2回分（12桁）の番号の入力が要求され、その入力がトークンの正しい計算数字と判断された場合に自動補正される。

　トークンは今回使われているSID700の他にもカードサイズのものやPDA／携帯電話／パソコン上のソフトウェアタイプのものも存在する。今後の普及により、日本でも他のタイプのトークンが利用されるかもしれない。