ネット経由で契約情報を書き込める「eSIM」、とりわけ端末に組み込まれる「内蔵タイプ」のものは、MNPに伴うSIMの入れ替えが不要となることから、MNPの障壁を下げるものとして期待されている(以下、eSIMは端末に内蔵するタイプを前提として話を進める)。
今回の会合では、大日本印刷(DNP)とタレスDISジャパン、MM総研の3社からヒアリング(意見聴取)を行った上で、総務省としての整理案が示された。
先に総務省による整理案に触れておくと、eSIMの普及促進策が以下の通り示された。
促進策の案は、これまでの議論からある程度予測できる。「予定調和」ともいえる。
ただ、先行して行ったヒアリングで出たeSIMの契約方法とeSIMのセキュリティに関する話には、興味深い論点が見え隠れしている。
MM総研の調べによると、全世界で55カ国以上、100以上のキャリアがeSIMを導入しているという。とりわけ、米国、イギリス、フランス、ドイツでは主要なMNOが全てeSIMに対応している。
ただ、eSIMの契約方法は以下の通りキャリアによって大きく差異がある。
「eSIMといえばオンライン」というイメージが強い人もいるかもしれないが、オンライン申し込みに対応しないキャリアもある。また、契約(eSIMデータの書き込み)におけるトラブルが発生した際のサポート体制も、キャリアによってマチマチのようだ。
eSIMを普及させるには、店頭やオンラインにおけるサポート体制の検討も欠かせない。
現時点におけるeSIMの認知度と利用率は、日本はもちろん海外でも低いという。単純に対応端末が少ないからだ。
AppleのiPhoneは2018年モデルからeSIMに対応しているが、中国大陸向けのモデルは非対応となっている。Samsung Electronics(サムスン電子)のGalaxyシリーズも、設計上はeSIMを搭載できるモデルが多い。しかしeSIMの搭載にはそれなりのコストがかかることもあり、投入先の国/地域/キャリアによっては、eSIMを搭載せずに販売している。
要するに、eSIM端末の普及については「世界では〜」を枕にして説明することが難しい状況にある(スマホそのものの仕様についてもそうだが……)。
しかしGSM Association(GSMA:移動体通信の業界団体)の予測では、2025年には新規出荷される新端末の少なくとも4分の1、ベストなシチュエーションでは43%程度がeSIM対応になるとされている。
MM総研は、eSIM対応端末が増えるに従ってeSIM自身の認知度と利用率も高まると見立てている。とりわけ、日本ではシェアの高いiPhoneがeSIMを搭載しているため、特にMNOがeSIM対応を進めれば、認知度と利用率は確実に高まるだろう。
eSIMの導入は、オンライン(人と会話せずに申し込める形態)での申し込みを前提に議論が進んでいる。しかし海外でも、オンライン申し込みに非対応なキャリアが存在する。恐らく、それは本人確認の確実性に起因するものと思われる。総務省の整理案にeKYCの導入が盛り込まれたのは、本人確認をより確実とする観点からである。
しかし、盲点になっているのが、eSIM“そのもの”のセキュリティである。
eSIMの基本設計は、通常のSIMカードと大きくは変わらない。取るべきセキュリティ対策もおおむね同じだ。物理的なデータ解析(電子顕微鏡を使ったROMパターンの読み取りなど)に加えて、ソフトウェア上の不備を突いたデータ解析(PINコードの照合アルゴリズムの不備を突いたI/O解析など)への対策は欠かせない。
カード側の不備に起因するセキュリティリスクが見つかった場合、通常のSIMカードなら対策を施したカードへの交換で解決できる。キャリアも、自社のセキュリティ要件を満たすSIMカードを採用できる。
しかし、内蔵タイプのeSIMにセキュリティ上の不備があった場合、eSIMチップだけの交換は困難である。問題を完全に解決するには、セキュリティの問題のないeSIMを備える端末に交換しなければならない。
eSIMは端末メーカーが端末に組み込んで出荷する。使われるeSIMをキャリア側で指定できないため、eSIM自体のセキュリティをキャリアが担保しきれないことが課題である。
DNPやタレスDISジャパンの担当者の話を総合すると、eSIM端末をよりセキュアに使うには、以下のプロセスが必要だという。
上記をまとめると、セキュリティ上のリスクが報告されたeSIM(を搭載する端末)に対して、プロファイルの書き込みを拒否できる仕組みを用意すべきということになる。
eSIMを識別する方法として、eSIM内のeUICC(プロファイルを格納するICチップ)が保有しているID(EID)を確認する方法がある。プロファイルを管理する「SM-DP+サーバ」は、プロファイルを発行する際にEIDを照合する。この照合プロセスで、致命的な脆弱(ぜいじゃく)性を持つeSIMにはプロファイルをダウンロードさせないという実装をすれば、キャリア側のセキュリティリスクを相当に軽減できる。
ただ、ユーザー目線でいうと、自分の端末がどんなeSIMを使っているのかは、外観からは分からない。「eSIM対応サービスを契約するぞ!」「普通のSIMカードをeSIMに切り替えるぞ!」とeSIM対応端末を用意したのに、なぜかeSIM用のプロファイルをダウンロードできない……なんてことも考えられる。
そこで、契約用アプリを作ってeSIMの利用可否を判断させるという方法も取れる。
Android端末の場合は、API(命令セット)を使って端末に内蔵されたeSIMのEIDを取得できる。このAPIを使ってEIDを事前に取得することで、問題のあるeSIMを持つ端末で契約する場合には「この端末ではSIMカードを発行します」といった誘導も行える。
iPhone(iOS)の場合は、検証すべき端末の種類が少ないため、キャリアによる検証で対応できる。契約用アプリで機種情報を取得してeSIM利用の可否を表示する実装も不可能ではないはずだ。
eSIM普及に当たっては、本人確認の確実性に加えて、eSIM自体のセキュリティの確保も重要な課題となりそうだ。
Copyright © ITmedia, Inc. All Rights Reserved.