わが国では、偽造キャッシュカードを用いたなりすましによる不正な預金引出しが深刻な問題となっている。こうした問題への対応として、金融機関は、従来の磁気ストライプによるキャッシュカードのICカード化を進めている。ICカードを利用したシステムを構築する際には、ICカードはもとより、システム全体に存在する脆弱性を明確にしたうえでセキュリティ要件を導出し、当該システムがそうした要件を満足しているか否かを適宜評価していくことが、安全な金融取引を実現するために必要となる。
本稿では、金融取引において今後普及すると見込まれるICカードを利用した本人認証のシステムにおけるセキュリティ要件の導出を行う。ICカードを利用した本人認証には、暗証番号(PIN)による認証と併用するもの、生体情報を利用する認証と併用するものなど、さまざまな方式が考えられるが、本稿では、ICカードを利用した本人認証のなかでも、現在広く利用されているPINによる認証と併用する方式を対象とする。想定する脅威として、第三者によるなりすましに焦点を当てるとともに、動的/静的認証、オフライン/オンライン認証等、認証形態のバリエーションを考慮して検討を行う。また、こうした検討の枠組みや結果をどのように活用することができるかについて説明するとともに、今後の検討課題を整理する。
キーワード:本人認証、ICカード、PIN、セキュリティ要件
掲載論文等の内容や意見は、執筆者個人に属し、日本銀行あるいは金融研究所の公式見解を示すものではありません。