金融分野では、キャッシュカードの偽造によるなりすまし防止を目的とするセキュリティ対策の1つとして、ICカードを利用した本人認証システムの導入を進めている。現時点では、CD・ATM取引への導入が中心であるが、今後はデビットカード取引、インターネット・バンキングなど、さまざまな場面での利用も想定されるであろう。
こうしたICカードを利用した本人認証システムをセキュリティの観点から有効に活用するためには、個々のアプリケーションに応じた適切なセキュリティ対策技術の採用が重要である。そうした方法の1つとして、想定される脅威を明確にしたうえで、セキュリティ要件を導出し、要件を充足する対策技術を採用することが考えられる。まず、挙げられる方法としては、対策技術に関する最新動向を把握しつつ、「目安の1つ」となる各種の国際標準や技術仕様を参照し、望ましい対策技術を探るという方法がある。
本稿では、こうしたアプローチに基づき、ICカードを利用した本人認証システムを対象に、関連する既存の国際・業界標準や技術仕様の記述を整理しつつ、セキュリティ要件とそれらを満足する対策技術について考察を行う。また、本考察に基づき、金融機関がこれらの文献を参照して対策技術の検討を行う際の留意点を示す。
キーワード:技術仕様、国際標準、セキュリティ要件、本人認証、ICカード
掲載論文等の内容や意見は、執筆者個人に属し、日本銀行あるいは金融研究所の公式見解を示すものではありません。