マイナンバーカード認証が比較的安全な理由

読書と編集 千葉直樹です

パスワード認証はどれも同じじゃないの?

マイナンバーカードを使う時、暗証番号を入れたり、パスワードを入れたりします。

SNSとかいろいろなインターネットサービスを使うときにもパスワード入力します。

これ、同じように見えてまるで違うんです。

それはなぜでしょう?

ICチップの働き

マイナンバーカードに限らず、最近のクレジットカードなどはICチップ付きになっていますよね。

あれなんでしょう?

あれ、薄くて小さいですけど、コンピュータなんです。

パソコンやスマホみたいななんでもできるコンピュータというわけではなくて、決まった動きをするものですが、コンピュータそのものです。

コンピュータは簡単にいうとデータを入出力する部分と、計算する部分と、データを記憶する部分でできています。

カードに入っているICチップもきちんとこれらの機能を持っているのです。

データの入出力の方法には2種類あって、クレジットカードでよく見る表面に出ている端子に直接接触する入出力機器を使う方法と、SUICAみたいに端子が出ていなくて、代わりに電波を使う方法があります。マイナンバーカードとか、最近のクレジットカードは両方に対応していることもあります。

電波を使う方法を使っているものには、運転免許証とかパスポートもあります。ほとんど意識しないでしょうけど^^;

計算する部分が主にやっているのは暗号の計算です。基本的にICチップから出てくる情報は暗号化されていると考えて良いです。

データを記憶する部分には、証明書などが入っているわけですね。

で、これが大事なところですが、このICカード、正しくないアクセスをしようとすると壊れるようになっています。正しくないというのは、決められた電圧より高い電圧をかけるとか、チップの中身を見るためにどこかを切ったり削ったりするとかですね。

ちょっと横道にそれますが、クレジットカード捨てる時、ハサミを入れるでしょう?このとき、ICチップの部分にもハサミを入れてください。確実にICチップを破壊することができます。これやらないで捨てると、悪い人が拾って使える可能性がありますからね。券面に書かれていることを見えないようにすることも大事だけど、ICチップを確実に壊すというのはもっと大事なんです。

ICチップ使った認証はなぜ安全?

SNSなどのいろいろなサービスの認証って、ユーザ名とパスワードを使うのがほとんどですよね。

これ、結構危険な方法なんです。

なぜかというと、パスワードがインターネット上を流れるからですね。

もちろん、今はそれらの情報を送信する通信路が暗号化されているので、ある程度の安全性が確保されているのですが、でもパスワードそのものを送信するというのはあまり気持ちのいいものではありません。通信路の暗号化はブラウザとサーバの間で行われているもので、サーバの中では復号化されたパスワードが使われることになります。ここでなにかおきたらパスワードが流出する可能性がないとは言い切れないのです。

この方法、当たり前になりすぎてそういうものだと思っている方が多いかもしれませんが、もう50年くらい前からある古典的な認証方法なのです。つまり古い。

では、ICチップを使う場合はどうなるのでしょう?

ICチップを使ったログインをするときに暗証番号とかパスワードを入力しますが、これはICチップに入力されます。ICチップはそれが正しいかどうかチェックして、正しければ正しいという情報と暗号化された証明書を返してきます。正しくなければエラーを返してきます。

ここまで、インターネット上に出ていく情報はありません。

サービスを行うサーバの利用権を認証してもらうためには、ユーザIDとICチップから受け取った暗号化された証明書を送ります。

暗号化された通信路をユーザ名と暗号化された証明書が通っていくことになります。ちょっと安心感が高まりますよね。

では、証明書を受け取ったサービスのサーバはどんなことをするかというと、証明書を取り出してチェック……なんだけど、まず認証機関に証明書見るための鍵もらいます。

もらった鍵で証明書とり出すことができて、中身が問題(有効期限が切れてないかとか)なかったらOKとします。

サービスのサーバはそのユーザが正しいものとしてサービスを提供します。

サービスのサーバは認証情報を保持する必要がありません。自分のところでユーザの認証情報を管理するのはそれが流出する可能性を考慮した設計が必要で、それはとてもコストがかかります。

サービス側も安心なのですね。

証明機関は証明書を発行したり鍵を管理することに機能を絞り込んでセキュリティの高いシステムを作ることができます。実際、証明用のシステムが実際にどこにあるかという情報は秘密にされているし、出入りする人の管理も厳しいし、インターネットからの攻撃にも常に備えています。

複雑ですけど、パスワード流す仕組みよりは安全だということがわかったでしょうか?

要するに

暗証番号とかパスワードは自分とICチップとの間だけでしかやり取りしないで済むのですね。

クレジットカードはPIN認証がだいぶ増えてきました。あれもそうです。あのカードを刺す端末で暗証番号入れるでしょう?あれ、あのテンキーのついた端末内でカードに入力した暗証番号が正しいかチェックして、カードがOKですって返してきたら決済が進む仕組みになっています。

お店はクレジットカード情報を管理しなくても良い。そういう仕組みなのですね。

こんなわけで、ICカードを組み合わせた認証はより安全なのです。

将来は

マイナンバーカードは、上記の機能に加えて電子署名するための暗号鍵と証明書を持っています。これを使うと自分の作成した電子文書の真正性を証明することができます。

他にもさまざまな機能を載せられる可能性があるのがICチップ付きのカードということになるのですね。

パソコンも、ハードウエア上にあるそのマシン特有の情報を使ってカードのICチップと同様の認証機能を載せる方向に動いています。

指紋とか、顔の情報を使うようになったら、その情報がネット上に出ていくのはまずいので、認証は手元のデバイスで行って、認証しましたっていう情報だけネットに流すかたちになるでしょう。

個人情報は自分の手元で管理するという時代の入り口に、マイナンバーカードを始めとしたICチップを使ったシステムがあると考えると、本来やるべき個人情報保護の仕組みがイメージしやすくなるかもしれません。

Follow me!

読書と編集のオンラインスクール

いつでも受講できる講座を用意しています!

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください