この記事を読むのに必要な時間:およそ 1 分
機能が封印されたICカード
皆さんご存じのように銀行のキャッシュカードも,昔は磁気を利用した単純なものでした。裏側に磁気テープ部分があります。これは偽造も簡単にできるので問題でした。今やICカードが非常に普及し,当たり前のものになっています。手のひら認証などの生体認証の重要なパーツの1つになっています。電車定期券やPASMO,Nanacoのようなプリペイドカードも,高速道路のETCカードも,さらにはスマホやタブレットなどに内蔵されるSIMカードもICカードです。私たちの生活に深く入り込み,個人情報を守り,電子マネー経済の基盤にもなっています。ところでICカードには,簡単なCPUとメモリがはいっているものがあるのをご存じでしょうか(図1)。実は非常に小型なコンピュータなのです。中にはディレクトリ・フォルダーまであります。
図1 ICカードの中にはCPUとメモリがある
ICカードのしくみ
そんなICカードは,その高機能さゆえスマートカードの呼称もあります。会社の入館システムにもよく使われていますが,その目的だけに使っているのは宝の持ち腐れです。
ICカードのクレジット機能を利用した人は経験があると思いますが,クレジットで支払いをするときは,店員の方からICカードをセットした状態でレジ(写真1)に接続された10キーを差し出され,暗証番号の入力を求められます。入力した暗証番号は,ICカードから読みだされてPOSレジなど決済端末上でユーザーの入力した暗証番号と比較するのでしょうか。これではPOSレジ上に暗証番号が展開されることになり,セキュリティ上適切な処理とは言えません。本当のしくみは,ICカード内にユーザーの入力した暗証番号とICチップ内にあらかじめ保存された暗証番号とをICカード内のCPUで照合しているのです。まさに秘匿にしておくべき情報である暗証番号をICチップの外に出さないためにもICチップのCPUが活躍しています。
写真1 ネットレジ TE-5500(カシオ計算機株式会社提供)
認証システム+ICカード=鉄壁のセキュリティ
前述の例はクレジットカードの仕組みですが,これをコンピュータシステムに応用すると従来のパスワードによる認証システムの欠点を克服できます。ネットワーク犯罪者がシステムに侵入して行うことは,管理者権限を奪うことです。ユーザIDとパスワードだけで認証しているシステムは彼らの餌食です。あらゆるテクニックを使って権限を盗みとります。ユーザIDとパスワードだけなのですから,非常に鍵の機能が低いのです。さらに人間が暗証番号となるパスワードを覚えるのも限界があります。そこで,いっそのことICカードに任せてしまうのがよいのです。ICカードがなければシステムを利用できないことになりますが,そのメリットは計りしれません。
マイクロソフト社の場合は,ICカードと同社のActiveDirectoryの認証システムと組み合わせ,高度なセキュリティ環境を実現しています。このあたりの仕組みについては『なぜマイクロソフトはサイバー攻撃に強いのか?』で解説していますので,ぜひご一読ください。これを導入すると,誰がいつネットワークにログインし,どのデータを閲覧したのかまで記録が残ります。これは昨今問題になっている情報漏洩に対して非常に有効であることは言うまでもありません。自社の大事な資産である情報を確実に守ることができるのです。
ICカードを軸にシステムを見直してみませんか?
すでにICカードの有用性に気がついている企業では,認証システムと連携して使うことは当たり前になっています。ITを運用していくうえで,セキュリティは避けられない問題です。ICカード(スマートカード)を上手に導入し会社の命であるデータを守ってみませんか。『なぜ,強い会社はICカードを活用しているのか?』には,具体的な対策も含め提案をたくさんまとめております。ICカード(スマートカード)がなければ安全なIT社会は実現できません。