 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
「PCからオンライン取引、ケータイで認証」-ソフトバンクBBの新発想・認証サービス |
||||||||||||||||||||||
|
||||||||||||||||||||||
|
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
||||||||||||||||||||||
同サービスは、携帯電話を本人認証の鍵として利用する独自の認証システム「SyncLock」を利用したもの。従来、Webサービスの認証ではID・パスワードが定番として利用されている。しかし、「サービスごとに別々のアカウントを管理するのには限界がある」と中島氏が話すように、すでに個人で管理しなければならないID・パスワードの数は飽和状態にある。「とはいえ、第三者への漏えいの危険性を考えると、覚えきれないからと紙に書くこともできない」(同氏)。 そこで同サービスでは、認証時にPC画面にランダムに表示される4けたの数字を、“携帯電話から入力”することで認証を行う。これによりID・パスワードを覚える必要がなくなるとともに、PCと携帯電話というまったく管理主体の異なる2経路からの複合認証が可能になるので、情報が漏えいする心配がまったくなくなるというのだ。
例えば、オンラインバンキングでSyncLockによる認証を行おうとした場合を考えると、エンドユーザーはまずkeyIDを使って4けたの数字が表示されるWebページへアクセスすることになる。4けたの数字が表示されたら、携帯電話から入力用のWebページにアクセスして、そこから数字の入力を行う。keyIDと4けたの数字がシンクロしているので、PCからkeyIDを、ケータイから4けたの数字を入力することで、本人認証が成立するというわけだ。つまり、これで認証は完了。 一種のワンタイムパスワード(OTP)認証だが、「認証要求」と「認証対応」をPC1台で行わない点が、OTPトークンなどを利用する場合と決定的に異なる。OTPトークンを利用した認証では、認証要求をPCから行って、トークンに表示されたパスワードをPCから入力する。一方のSyncLockでは、PCは4けたの数字を表示するだけ。それ以降の入力インターフェイスは携帯電話に移行し、PCには鍵穴が存在しないことになるので、「PCを標的にしたハッキングやDoS攻撃を受ける可能性がゼロになる」(中島氏)。また、偽サイトとはシンクロしないため、フィッシング詐欺を100%防止することも可能だ。 OTPトークンではなく、日常にすっかり定着した携帯電話を認証用デバイスに利用できるメリットも大きい。「OTPトークンは毎日持ち歩くアイテムとしてはまだまだ一般的ではないため、しばしば意識から漏れて、自宅に忘れたまま出社してしまう。紛失しても、ひょっとしたら何日かは気が付かないかもしれない。それに対して携帯電話を忘れるということは、時々あるにせよ、ほとんどの人にとってまれなことであろう。さらに紛失した場合も、多数のパスからサービス利用停止の申請が行えるため、手配も楽」(同氏)。 また、「携帯電話は進化してもシステム構造は変わらない。暗号化技術のようなハイテク技術に依存していないので、陳腐化することがない」(同氏)。これは、SyncLockを利用する企業からすると、コスト的にも安心できる点といえる。 なお、認証方式としては4けたの数字入力のほかに、従来のID・パスワードやQ&A、声紋認証、指紋認証などを追加することができる。これらの認証ソリューションの中から、エンドユーザーが自分で必要だと思うものを好きに選んで組み合わせられるため、「サービス提供者側から強制される認証行為と違って、面倒くささも薄れるのではないか」(同氏)とのこと。 ソフトバンクBBからのシステム提供方式としては、認証機能をASP方式で提供する「グローバルキーサービス」と、認証システムすべてを専用設置する「専用キーサービス」の2つを用意。認証の強度はいずれも同等で、ユーザー企業のサービスポリシーやビジネスモデル、予算などに応じて柔軟に選択できるとしている。
■ URL ソフトバンクBB株式会社 http://www.softbankbb.co.jp/ プレスリリース http://www.softbankbb.co.jp/news/press/2007/p0920_02.html
( 川島 弘之 )
|
