フィンテック系の事業者が台頭し、競争が過熱化する中で、サービス提供会社と開発会社がセキュリティホールを見抜けず、約5500万円もの被害が出たこの事件は記憶に新しい。
今回の事件に代表にされるような「不正アクセス」を未然に防ぐためのヒントとなるのが「マイナンバーカード」だ。
しばしば悪者的に揶揄される存在であるマイナンバーカードが、なぜ不正アクセス防止のヒントになるのか。
本コラムでは、エストニアに拠点を置く筆者が、同国でいかにe-ID(エストニア版マイナンバー)が不正利用を防止するための認証技術として活用されているかを紐解き、日本のマイナンバーカードの活用の可能性を探る。
なぜマイナンバーカードが不正アクセス解決の鍵になるのか
技術者の世界では、しばしばユーザビリティとセキュリティのトレードオフ問題が議論される。 ユーザーの利便性を向上させようとするとセキュリティが落ちてしまうし、逆も然りというわけだ。
今回の不正アクセス問題も、ユーザーに配慮をするあまり、セキュリティに穴ができてしまった、つまりユーザービリティとセキュリティのバランスが取れた設計ができなかったが故に発生してしまったと理解している。
筆者が在住しているエストニアでは、本人確認の手段としてマイナンバーカード、同国でいうe-IDカードが活用されている。もちろん、物理的なカードを提示することで本人確認書類として活用もされているが、同国では電子的に本人確認を行うことも可能だ。
e-IDについて、簡単に説明する。
同国では15歳以上の国民はe-IDカードを保有することが義務付けられている。カードに埋め込まれているチップをPCに接続したカードリーダーで読み込むことで、電子上の本人確認を行える仕組みだ。
その際、4桁のPIN1(主にログインなどに使用される暗証番号)と5桁のPIN2(主に電子署名の際に使用される暗証番号)が要求されるため、カードを保有しているだけでは認証を行うことはできない。 とはいえ、いくら電子化が進んでいるエストニアでも、認証のたびに毎回カードを挿入する認証プロセスでは、ユーザービリティが低く、利用普及も進まない。
