ネット銀行を簡単かつ安全に――ケータイ認証の可能性 ：神尾寿の時事日想

[神尾寿，Business Media 誠]

　10桁＋4桁＋6桁＋3桁。

　これは筆者がメインバンクにしている新生銀行のネット取引で、ログイン時に入力する文字数だ。取引店番号＋口座番号を合わせた10桁の数字、4桁の暗証番号、英数字6桁のパスワード、さらに3桁は「セキュリティカード」という暗号表から指定された箇所の英数字を拾って入力する。ここまでして初めてログインできるのである。正直に言おう。うんざりだ。

　新生銀行ほどでないにしろ、他の銀行のネット認証も似たり寄ったりである。筆者は三井住友銀行とソニー銀行の口座も持っているが、どちらも暗証番号の多さに辟易する。例えば三井住友銀行では、ネット取引のログイン時に契約者番号10桁（口座番号ではない）＋第一暗証4桁が必要で、取引や設定変更には他に第二暗証番号と第三暗証番号を使う。ソニー銀行は店番号3桁＋口座番号7桁＋ログインパスワード4〜8桁を使い、取引時には取引暗証番号とユーザーが任意で設定した3つのパスフレーズを利用するといった状況である。

シンプルで安全な「2経路複合認証」

　9月25日、ソフトバンクBBが携帯電話を本人認証の鍵に利用する認証システム「SyncLock」を発表した。詳しくはレポート記事に譲るが、これは携帯電話からPC画面にランダムに表示される4桁の「シンクロ番号」を入力することにより、携帯電話を本人認証の鍵として利用するというもの。PC側では事前に携帯電話SIM情報に基づいて登録した「KeyID」を、携帯電話側ではPC画面に表示された「シンクロ番号」を入力して、シンクロサーバーで両者を適合させて認証する「2経路複合認証」という手法を用いることで、シンプルで安全な認証を行うのが特徴だ。

SyncLockの仕組み

　SyncLockの仕組みでは、ネット上でやりとりされる「シンクロ番号」や「KeyID」情報は単体では意味をなさない。前者は毎回変更されるし、後者はKeyIDを登録した携帯電話がなければ認証できないからだ。また、認証に携帯電話を組み合わせるので、キーロガーでIDやパスワード情報を盗み取っても不正アクセスはできない。携帯電話の紛失や盗難が起きた場合も、キャリアに連絡して携帯電話回線を停止すればSyncLockの不正利用は防げるという。

　このようにSyncLockのセキュリティ性能は高いが、ユーザー側の毎回の操作は「PC画面に表示された4桁の数字を携帯電話で入力するだけ」と簡単だ。しかも携帯電話はいつも身につけているので、暗号表カードやワンタイムパスワード生成トークンを持ち歩くような面倒もない。銀行のネット取引で毎回23桁の英数字入力を強いられている筆者からすれば、今以上の安全性で4桁の数字入力ですむSyncLockの仕組みは非常に魅力的なソリューションだ。

「ケータイ認証キー」の可能性

　今回、発表されたSyncLockは、まず、住友信託銀行系のネット銀行である住信SBIネット銀行が採用するという。その後、他の金融機関や各種ネット取引でどれだけ広がるかは分からないが、携帯電話と別のデジタル機器を組み合わせて認証する「2経路複合認証」の仕組みは今後さらに広がる可能性が高い。SyncLockでも、PCだけでなく「カーナビやゲーム機、キオスク端末、ATMなどへの応用も考えている」（ソフトバンクBB 認証メディア事業戦略室室長の中島啓一氏）模様だ。

　安全で、なおかつ簡単な認証をどのように行うか。

　ネットとリアルの双方で、電子的な取引やコンテンツ流通が急速に広がる中で、「認証」の重要性は高くなっている。一方で、安全性は高いが、認証手段が煩雑化すれば、それはユーザーの利便性を損ない、サービスの利用促進という点ではマイナスになる。

　そのような中で、SyncLockのように携帯電話を補完的なツールとして使い、安全性を高めながら操作をシンプルにする試みは高く評価できる。「携帯＋4桁の番号入力」で今まで以上の安全性が得られるのならば、これまでネット取引に不安や使いにくさを感じていたユーザー層にも訴求できるだろう。今後、“ケータイ認証キー”のソリューションが広がり、様々な電子取引やサービス利用時の認証で「安全性と使いやすさの両立」が重視されることに期待したい。