ネット取引「身元保証」
NTTデータ・日本ベリサイン
~日経新聞 2007/04/06 9 面から
NTTデータ、電子認証大手の日本ベリサインがインターネット上での
詐欺を防ぐための新サービスを相次ぎ始める。金融機関などを装った
ウェブサイトを作ってパスワードなどを盗み出したり、盗んだパスワード
で金品をだまし取る犯罪を排除するため、ネット上の「身元保証」の
仕組みを整備する。詐欺犯罪の急増でネットバンキングや電子商取引
などの信頼性が揺らぎかねないとの危機感が高まっていることに対応
する。
●● 匿名性が保てることが特長の一つであったインターネットですが、
社会のインフラとして普及するにつれ、利用者の本人確認が必要に
迫られてきたといえます。
従来、本人確認の方法として最も普及しているのが、ID+パス
ワードによる認証方式です。
ただ、これは、IDとパスワードを本人しか知り得ないという前提
の上に成り立っており、キーロガーなどのソフトやフィッシング詐欺
によって、IDとパスワードが盗まれたり、パスワードを解析される
などして他者に破られたりした場合、防ぎようがありません。
昨今は、パスワードを推測しにくいものにしたり、定期的に変更
するよう推奨されていますが、これは逆に本人が忘れてしまう
危険性を伴います。
また、キーロガーやフィッシング詐欺による盗難の場合、意味が
ありません。
そこで、最近、ネットバンクサービスを中心に普及しているのが
ダブルパスワード方式です。
まず、サイトへのログインにはID+パスワード方式を利用し、
振り込みなどの重要な取引の際には、再度別のパスワードを
入力させる方法です。
このパスワードが、ネットバンクから支給された装置に表示される
ワンタイムパスワードであったり、事前に決められた数列表から
パスワードを読み取る方式であったりと様々ですが、その2度目の
パスワードは、本人しか持ち得ないものを利用して本人確認をする
という方法になります。
今朝、記事になったNTTデータが5月に開始するサービスは、接続元が
本人が利用するパソコンであるかどうかを認証する方式になります。
現存のインターネットブラウザには、以前から電子証明書のしくみが
組み込まれています。
そのため、すでにこのしくみは、一部金融機関などで利用されて
いますので、目新しいサービスというわけではありませんが、NTT
データという大手企業が、多くの企業に共通のインフラとしてこの
認証方式を提供することにより、各企業毎に電子証明書を取得する
手間が不要になり、一つの電子証明書で複数のサービスを利用できる
ようになるという利点が生まれます。
利用する企業側にとっても、開発コストが抑えられるなどのメリット
があり、ネットバンクやネット通販を中心に広まる可能性は高いと
いえそうです。
今後、インターネットは徐々に匿名性の高いしくみから身元保証が
できるしくみへと変貌していくことになるでしょう。
インターネットの安全性が高まったとき、ウェブはさらに快適な
ものになりそうです。
《関連Webサイト》JNSA
インターネット安全教室
http://www.jnsa.org/caravan/