OSへのログイン、会員制Webサイトの利用、重要データの保護──。一連のセキュリティに必ずついて回るのが、どうやってパスワードを管理するかという問題だ。人が記憶できる情報には限りがある。結局、セキュリティ管理の頻度が増えれば増えるほど、同じパスワードを使い回すことになり、かえってセキュリティは低下していく。
テキスト入力するパスワードの代替として、ICカードやトークン(一度だけ利用可能なパスワードを発行する専用端末)を使ってアクセス制限に取り組む例もある。しかし、ICカードを使うにはパソコンにカード読み取り装置を付ける手間がかかる。トークンは専用端末が必要なほか、システム利用料の高さがネックとなり普及していない。利便性と安全性をハカリにかけてどう調整するかは、セキュリティ対策で常に課題になる。
この課題を、携帯電話を使って解決しようという新サービスが登場した。ソフトバンクグループで携帯電話事業を手がけるBBモバイルの「SyncLock」システムと、野村総合研究所の「SecuSURF SA」だ。前者は主にパソコン上に保管されたデータの保護を、後者はWebサイトへのアクセスを念頭に置いたサービスだが、携帯電話をカギにする点は共通だ。
まず、一般ユーザーを対象にサービス提供が始まっている「SyncLock」システムの個人版「SyncLock Personal」の仕組みからみていこう。
通常、パソコン上のデータを保護する場合、暗号化ソフトでファイルを暗号化し、その際に設定したパスワードでデータを復号化する。SyncLockでは、暗号化したファイルを復号化するプロセスに携帯電話を使う(図)。暗号化したファイルをダブルクリックして、パソコン画面に表示されるデータを携帯電話から順次入力していくとデータが復合化される。
個人向け利用料金は月数百円
事前にパソコンにソフトをインストールしたり、センター側へ携帯電話を登録する必要があるなど、手順はやや煩雑。ただ、SyncLockでは、通常は専用装置が必要な声紋や指紋を利用した生体認証を、携帯電話を使うことでデータ復号化のカギに利用できる(指紋認証は対応端末を使用しているのみ)。当初は個人向けのサービスとして提供され、3年後には数十万人規模の利用を目標に掲げる。利用料金は6カ月3300円(月額換算550円)から。2006年4月からはエンタープライズ版の提供が予定されている。
野村総研のSecuSURFは会員制サイトに対するなりすましの防止が狙い。ユーザーがサイトへアクセスする際に、センター側が一回だけ利用できるワンタイムパスワードを携帯電話に知らせる。野村総研では第三者による悪用を防ぐほか、フィッシング詐欺なども防止する効果が期待できるとしている。
SecuSURFはサイトの運営者側が契約して、自社サイトの会員など利用者向けにサービスを提供することを想定している。利用料は1ユーザー当たり年数百円程度。サイト側にとっては、通常は専用端末を配布しなければ利用できないワンタイムパスワードの仕組みを、ユーザーの携帯電話を使って導入できる点がメリットとなる。既に銀行を中心に数社が導入を検討中。野村総研では1年間で20社からの受注を目指す。
パソコンのキーボードに入力した情報を読みとってパスワードなどを盗み見る「キーロガー」の例もあるように、パソコンで入力する情報は必ずしも安全とは限らない。パスワードのような重要データの入力先をパソコンと異なるものにするだけでもセキュリティが向上するのは間違いない。一方で、携帯電話の機能は、電子マネーやクレジットカードのように高いセキュリティが要求される用途にも広がっている。
Webサイトへのアクセスやデータ保護までも取り込んでいく携帯電話は、もはや電話というよりも「カギ」に近い存在になりつつある。今後はパソコンだけでなく、携帯電話に対しても高いセキュリティが求められる。
