マイナンバーカードの中には「署名用電子証明書」と「利用者証明電子証明書」の2種類の電子証明書が格納されていますが、サービスへの認証に使用されるのは利用者証明電子証明書の方です。署名電子証明書は、本人確認と提出書類の改ざん防止などに使用します。
マイナンバーカード発行時には、秘密鍵と公開鍵のペアが市町村から発行されます。さらにその公開鍵に対して「地方公共団体 情報システム機構」(J-LIS)という機関が、マイナンバーカードの発行番号や有効期間といった情報とひもづけて、電子証明書として発行します。
これらの秘密鍵と、公開鍵として機能する電子証明書がICの中に格納され、電子証明書を取り出すときに使う暗証番号を設定して、マイナンバーカードは配布するのです。
電子証明書を発行するJ-LISは「認証局」という役割を持ちます。認証局は、電子証明書を発行し、発行した電子証明書が正しいものかを判別します。このJ-LISから発行された電子証明書と秘密鍵を使って、個人がサービスに対して認証する手順は以下の図のようになっています。
この利用者証明電子証明書の場合は、ログイン先のサービスと認証局が別で、信頼できる第三者を認証局とすることで信頼性を高めています。
一方で、サービスと認証局を同一にして、自分のサーバで発行した電子証明書を自分で認証することも可能です。電子証明書の由来を第三者に証明されていない分、信頼性は低くなりますが、会社のリモートワークなどの業務システムで、電子証明書をインストールした会社指定の端末だけがログインできるようにしたい場合など、利用者が限られている場合はこれでも十分でしょう。
ただし、電子証明書だけでシステムにログインできてしまうのは問題です。知識認証か生体認証を加えて二要素認証にしたり、その端末への認証を強化するなどの対策をしておくべきです。
前回と今回の記事で、ITに用いられている所有物認証の方式を大体紹介できたかと思います。また、今回紹介した公開鍵暗号は、認証に限らず通信の暗号化や改ざん防止など他のセキュリティにも利用されているもので、現在のインターネットを成り立たせている重要な数学的技術です。ご興味のある方は、ぜひ調べてみてください。
次回からは、生体認証のハナシに移りたいと思います。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR