二要素認証 (シマンテックが新製品発表)

日経新聞平成26年2月19日とITPro同日付サイトでの報道です。シマンテックがOTPとリスクベース認証による新しい認証方法を発表しました。VIP Access Pushという商品です。VIPとはValidation and ID Protectionの略で、従来からある製品です。今回はそれに新しい機能を追加しました。基本機能は次のようなものです。

まず、VIPにOTPや端末固有のクレデンシャル情報を併用した二要素認証です。リスクの高いアクセス要求に対するリスクベース認証機能もあります。標準としてOTPを使い、30秒間隔で数字6桁のOTPを表示します。今回の新機能はOTPを置き換えるものです。

ID/PWによる認証の後に、アクセス要求者のモバイル端末に確認画面をプッシュ通知します。確認ボタンを押すことで認証を完了します。モバイル端末はインターネット接続されているので二経路、多要素認証が可能となります。価格は1000ユーザー規模で、1ユーザー年2400円だそうです。

このニュースを見た時に、筆者は普通なら「良く考えたな。警察庁や金融庁は、やたらOTPを推奨するけど、高いし、面倒だし、誰があんなもんを日常ツールに使うか?それよりも携帯を使った方が、普段持ち歩くデバイスで経路は二重化できるし、費用も安いし、使い慣れている。」と思ったことでしょう。

しかしながら、今回は、素直に誉めることができませんでした。このニュースの直前に別の製品の紹介を受けていたからです。こちらも、携帯電話を使います。IDとPWでログイン要求があると、事前登録した携帯に電話コールをし、サーバーがワン切りします。携帯にはサーバーのIP電話番号が残ります。それに、返信操作を行います。シグナルを受けたサーバーは、自動的にワン切りします。ですから、通話料は往復ともに、チャージされません。サーバーはOTPと同様に、本人がアクセス要求したと確認できます。返信のタイムアウトは、自由に設定できますし、スマホバンキング操作中であっても、コール受信可能ですし、確認返信も可能です。この方法だと、通話料、デバイス・コストは不要で、6桁OTPのメモ取り、入力も不要です。

この製品の紹介を受けた時には、そんな簡単な話で良いのかと思いました。しかし、いろいろと考えても、OTP同等の本人確認が可能なのです。まさにコロンブスの卵です。携帯電話であれば、購入時に本人確認は済んでいますし、電話網は閉ざされた世界ですから、なりすましリスクはインターネットよりも数段低いでしょう。

この製品の販売者が筆者の所に相談に来た時には、インターネットバンキングにおける本人確認での利用を期待していたようです。でも、筆者は、推奨しませんでした。何故なら、IBの多くはベンダーによる共同システムを使っているからです。地銀や信金だけでなく、メガバンクの一部ですら、共同IB提供の3ベンダーの同意と協力なしには何もできません。3社ともに、OTPをサービス提供しだして間がありません。一方、IB利用者はこんな面倒なツールを使いたがらないので、利用者が増えません。銀行は、新聞にOTP提供という記事を書いてもらって、自行のセキュリティ重視姿勢を示しますが、提供ベンダーとしてはコスト回収が見えません。そこに新しい手法が出てきたら、更にコストが嵩みます。

そこで、筆者は、銀行の場合は、機密DBのアクセス承認に留めた方が良いと提言せざるをえませんでした。特に、横浜銀行のカード偽造事件直後ですから、こうした機密情報に対するアクセス要求があった場合に、要求者の上位監督者の携帯にワン切り通知するだけでも、喜ばれる筈だと言ったのです。本音ではIBで使ってもらいたいのですが。銀行には、技術を採用する判断力も権限もないので仕方ありません。(念の為に申し添えますと、横浜銀行偽造カード事件の時、容疑者がアクセスしたATMログは、ATMベンダーの保守、トラブル対応の為のログで、銀行管理下にあるデータではなかったそうです。これも問題をややこしくしており、飛行機の欠陥でおきた事故に、航空会社がどこまで責任を負うべきかと同じ問題となります。)

こうした新手法もやがては、犯罪者達に裏をかかれるでしょう。それまでの製品寿命なのですが、銀行は永続的な解決策を求めます。割り切りが必要なことを経営者も認識すべきです。この新製品は、極めて安い料金が想定されています。シマンテックの料金の10分の1程度です。開発ベンダーは、自社で販売し、導入支援せずに、SIerによる販売と導入を前提としています。ですから、当稿ではベンダー名や製品名を明示しません。

PCサーバーと1アカウントあたり月20円程度で、二経路多重認証が実現できる方法なのですが、実は他にコストと時間手間隙のかかることがあります。IBであろうが、DBアクセス認証であろうが同じです。タイムアウト設定や認証要求に反応しない回数によるログイン停止措置など、この製品の仕様設定は簡単ですが、業務サーバー側の対応にコストがかかります。このワン切り認証サーバーとのデータ送受、リスクベース認証の条件設定、利用者毎のアクセス権限管理などです。共同IBであれば、採用する銀行、しない銀行とに分かれます。ベンダーの負担は、意外と重くなるでしょう。結果、コストも上がります。折角のコロンブスの卵を活用できそうもありません。

乗り合いバスだけで目的地に向かうTV番組があります。殆どは、何とか目標時間内に目的地に到着します。事前にスタッフが調べておいて、絶対無理とか簡単というコースは選んでいないのでしょう。この種の番組を見ながら、共同システムと同じだと思います。マイカーの自由自在が全てのケースでベストとは思いませんが、少なくとも、サービス内容や安全対策など、横並びではなく、自主判断を重んじるには共同化というのは辛い。もっとも、顧客には自営、共同など関係ありません。結局は価格とサービスと商品で選びます。セキュリティは顧客のリテラシーと労力に負う面が大きいので、安全と利便性を適正なコスト内でバランス取ることが重要です。サービス戦略の基本です。それを、行政やベンダーに丸投げすることは自己否定となるので、避けなくてはなりません。

                                    (平成26年2月25日 島田 直貴)