|
ケータイを利用してオンラインショッピングを楽しんだり、振込や残高照会などのオンラインバンキングを利用する。さらには、外出先からケータイを使って社内イントラネットにアクセスして、スケジュールなどを確認するなど、ケータイを利用したモバイルアクセスがごく日常的に利用されるようになってきた。
これまで、このようなオンラインサービスの利用にはパソコンが利用されることが多かったが、小型で、しかも普段から常に携帯しているケータイを利用できるメリットはやはり大きい。実際に利用してみると本当に便利で、一度でもケータイからサービスを利用してしまうと、もはや手放せなくなってしまうほどだ。
しかし、その一方で、ケータイを利用したオンラインサービスの利用に満足していないユーザーが少なくないのも事実だ。たとえば、インターネットを経由して重要な情報をやり取りすることにセキュリティ上の不安を感じたり、サイトにアクセスするたびにユーザーIDやパスワードを入力する煩雑さが敬遠されることも珍しくないだろう。
このような傾向は、特に法人ユーザーに顕著だ。確かに、ケータイを利用して社内イントラネットなどにアクセスできるようになれば、便利なうえ、企業としての生産性も向上することは間違いない。しかし、このような環境には、非常に高いセキュリティが要求される。ケータイとサーバーの間でやり取りされる情報は暗号化によって保護しなければならないし、不正なアクセスを排除するためにアクセスしてきたユーザーが必ず本人であることも確認できなければならない。
このため、モバイルアクセスを提供する側にとっては暗号化や認証のしくみを用意することが要求されるうえ、ユーザーにとってはサイトにアクセスするたびにIDやパスワードを入力し、それを管理しなければならない煩雑さが付きまとっていた。
本当に安全で、しかも手軽にサービスを利用できるようになるためには、これらの問題の改善が急務となっているわけだ。
 |
 |
| |
FOMAのメリットを最大限に活かしたFirstPassは、オンラインショッピングなどのサービスをより便利にしてくれる。(girls shoppingは3月上旬対応予定)
|
このような現状を踏まえて、NTTドコモから登場したのが「FirstPass」と呼ばれるサービスだ。FirstPassとは、簡単に言えばFOMAを利用した電子認証サービスのことだ。前述したように、ユーザーが社内イントラネットやショッピングサイトなどにアクセスする際には、暗号化や認証などのしくみが不可欠となる。これを、FOMAの仕組みを活かし、ユーザーやオンラインショッピングなどのサービス提供者が複雑な手続きをすることなく利用できるのがFirstPassだ。
認証の仕組みにはSSL(Secure Socket Layer)で広く使われているPKI (公開鍵暗号基盤)と呼ばれる技術が使われている。サービス提供者のサーバーを証明する証明書発行は認証サービスベンダが行い、ユーザーを証明する証明書発行はNTTドコモがFOMA契約に基づいて行っている。これにより、サービス提供者は、インターネットで標準的なWebサーバーとサーバー証明書を用意し、NTTドコモへのサービス利用申し込みをするだけで、特別なシステムの導入は不要だ。このシンプルかつ堅牢な仕組みにより、インターネット上で問題になりがちな、盗聴、なりすましなどといったセキュリティ上の問題を未然に防ぐことができる。
もちろん、このようなSSL認証は、これまでにも利用されてきた。では、これまでのサービスとFirstPassとの違いはどこにあるのだろうか? FirstPassの最大の特徴は、SSLで利用するユーザー証明書をFOMA契約毎に自動発行し、全てのFOMA端末に搭載されている「FOMAカード(グリーン)」に格納する点だ。ユーザーがFirstPassの利用申込みをする(端末のメニュー操作で行う)ことにより、FirstPassセンターにて発行されたユーザー証明書がFOMAカードにダウンロードされる。これをユーザー認証の際に利用することで、認証に必要な手順を大幅に削減できる。
SSL認証の場合、おおまかな通信の流れは以下の図のようになる。サーバーとクライアントの間で証明書のやり取りを行った後に通信を暗号化するわけだ。このとき、一般的なSSL認証の利用方法の場合、クライアントの認証は、暗号化通信開始後にユーザーIDとパスワードが要求されるのだが、FirstPassでは前述したようにFOMAカードに格納されたユーザー証明書を利用するため、この手順が簡略化される。
なぜなら、FOMAカードに格納されたユーザー証明書にはFOMA契約を証明するための識別番号が記載されており、これをユーザーIDの代わりに利用し、サイト側のユーザー情報と識別番号を紐付けられるからだ。これは具体的な接続手順を見た方がわかりやすいだろう(下図)。FirstPassの場合、ユーザーが目的のサイト(たとえば社内イントラネットなど)に接続すると、ユーザー証明書が送られた後に、「PIN2コード」と呼ばれるパスワードが要求される。このPIN2コードでの認証ができると、サーバーから送られてきたチャレンジデータに秘密鍵(ユーザー証明書に書かれた公開鍵の対になる鍵)で署名を行いサーバーに返送する。このようなプロセスでユーザー認証が完了することになる。
これまでのサイトでは、ユーザーIDの入力、パスワードの入力と2度の手間がかかるうえ、利用するサイトによっては英数字を組み合わせた複雑で長い文字列を入力する必要があった。しかし、FirstPassで必要なのは数字4桁〜8桁のPIN2コードの入力だけと非常に手軽に認証が完了するのが特徴となっている。
|
 |
| |
非常に高い堅牢性をもつ緑のFOMAカードで、万全の安全性を確保。 |
| |
|
「認証手順が簡略化されるのはいいが、セキュリティは大丈夫なのか?」そんな心配も一切必要ない。
前述したように、FirstPassの場合、FOMAカードに格納されたユーザー証明書と秘密鍵がないと認証ができない。このため、サイトにアクセスできるのはユーザーが所有する端末(厳密にはFOMAカード)からのみとなっている。従来のようにユーザーIDとパスワードで認証する方式の場合、ユーザーIDとパスワードが外部に漏れてしまえば、第三者が本人になりすましてしまう危険性もある。こういった心配がない点では、ワンランク上のセキュリティが実現できていると言える。
もちろん、端末やFOMAカードを紛失するなどして、他人に勝手に利用されてしまうことなども考えられるが、これもPIN2コードによって保護されているため、ほとんど心配はないだろう。さらに、FOMAカードは高い耐タンパ性(カードに対して行われる物理的攻撃への耐性)も備えており、FOMAカード内のメモリーに直接アクセスして情報を盗み見るなどの行為も事実上不可能となっている。
このような高い安全性が実現されていることは、ユーザー側だけでなく、サイトの提供者側としても非常に心強いだろう。たとえば、ショッピングサイトなどでは、なりすましなどによる不正なアクセスによって直接被害を被ることを避けられるだけでなく、高いセキュリティが確保されていることをユーザーに訴求することまでもできる。また、企業での利用では、第三者によるイントラネットなどへの不正アクセスを確実に防止することが可能となる。
セキュリティ上の問題が、ユーザーだけでなく、サイト提供者側としても重要な問題になってきていることを考えると、手軽に、しかも従来以上に強固なセキュリティを実現できるFirstPassは見逃せないサービスと言っていいだろう。
|
 |
| |
ユーザー側の設定作業はたった一回のみという手軽さ。FOMAの契約時に個人情報を登録してあるため、サービス利用時にいちいち入力する必要はない。 |
| |
|
実際の利用方法も非常に手軽だ。まずはユーザー側だが、FOMA端末からiモードメニューに表示されている「ユーザー証明書操作」を選択し、FirstPassセンターに接続し、ユーザー証明書の発行を申請する。すると、すぐにユーザー証明書が発行されるので、これをFOMAカードにダウンロードするだけだ。これらの操作を行うためのパケット料金は必要になるが、サービスの利用料金などは無料となっており、手軽に利用することができる。
なお、PIN2コードは初期値が「0000」に設定されているため、これは必ず変更してから利用する必要がある。また、ユーザー証明書には申請日から2年という有効期限があり、有効期限を過ぎた場合は再度申請とダウンロードが必要になる。1枚のFOMAカードで5回まで証明書の申請が可能だ。
一方、サイト提供者側(法人が対象)も、MMサービスセンタ(0120-890-360)に郵送で手軽に申し込みが可能となっている。登録手数料として3,000円(登録ドメイン単位で接続端末数ごとではない)が必要となるが、インターネットの標準技術を使ったサービスなので、導入にはNTTドコモの法人営業部をはじめとし、SIベンダ、メーカーなど、提案から導入までをトータルにサポートしてくれる会社も多いので安心だ。
具体的な利用シーンとしては、これまでにもいくつか紹介したが、社内イントラネットへのモバイルアクセス環境の構築に加え、オンラインショッピングやオンライントレーディング、オンラインゲームなど、会員制サイトでの利用が考えられるだろう。高いセキュリティを実現できるだけでなく、面倒なアクセス手順を必要としないという点をユーザーへのメリットとして掲げることができることはサイト提供者として大きな魅力だ。
また、オンラインショッピングなどのコンシューマー向けサイトなどでは、ユーザー証明書によって、ユーザーの情報を的確に把握することができるため、個人の履歴に応じた効率的な商品の訴求、コンテンツのパーソナライズなどといったマーケティング要素を考慮したサイト構築も容易に可能となっている。
ユーザーにとっては手軽かつ安全に利用できるというメリットが、サイト提供者にとっては高いセキュリティを実現でき、しかもマーケティングにも活用できるというメリットがあり、あらゆる面で大きなメリットを生むサービスと言えそうだ。
|
