サービス設計に役立つガイドライン「NIST SP800-63B」とは

　楠氏が、「サービス設計の参考にして欲しい」と話すガイドラインが、2017年6月に、米国の国立標準技術研究所（NIST）で発表された、デジタル認証に関するガイドライン（Digital Identity Guidelines）の最新版「NIST SP 800-63-3」である。

　日本語翻訳版も公開されており、「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」など国内基準にも影響を与えている。

　たとえば、ID認証とライフサイクル管理について定めたのが「SP 800-63B」だ。

　前述したSMS認証については、セキュリティの弱点があることから、「異常な振る舞い」のようなリスク指標を考慮すべきだとされ、ドラフト段階では多要素認証として「認めない」とされていた。

「NIST SP800-63B」のポイント

　楠氏はこのほかにも、「SP 800-63B」のポイントについて解説した。まず、認証のたびに乱数表を生成する二要素認証については、「乱数表は使い捨てとすること」が要求されている。

　そして、パスワードの定期変更については、ユーザーに変更するよう要求すべきではないが、パスワードが危殆化した証拠がある場合は、変更を強制すべきだとしている。

　また、パスワードの文字制限についても「最低8文字であることを要求」し、「最低でも64文字を許可すべき」だとしている。

　パスワードを忘れたユーザーに対する「秘密の質問と答え」については、たとえば、「あなたが飼った最初のペットの名前は？」というように、本人以外でも答えられ得る質問は使わないことが推奨されている。


　生体認証については、それ自体を認証に用いるのではなく、物理的な認証機器の一部としてのみ利用されるものだとしている。こうしたガイドラインと現実とのギャップを改めて精査した上で、「二段階認証なら安全というわけではないというのを教訓にしてほしい」と楠氏は警鐘を鳴らす。

キャッシュレス決済向けガイドラインを解説

　続いて楠氏は、キャッシュレス推進協議会が2019年4月にキャッシュレス決済の安全性を高めるために公開した「コード決済における不正流出したクレジットカード番号などの不正利用防止対策に関するガイドライン」について言及した。

　楠氏はガイドラインについて「2018年12月に、PayPayにおいてクレジットカード情報が不正利用される事案が発生したことが契機となって定められた」と説明する。事案の背景には、クレジットカード登録時のチェック機構の不備や、ダークウェブで売買されるクレジットカード番号が不正利用に用いられたことが指摘されている。

　ガイドラインでは、クレジットカード登録時の対策として、インターネットの画像認証である「CAPTCHA（キャプチャ）」を用いたボットのチェック、排除や、クレジットカードによる決済時に利用される本人認証サービス「3Dセキュア」を活用することなどを推奨している。

　さらに今後は、最新バージョンである「3Dセキュア2.0」を用いたスマホの多要素認証が主流になってくることが考えられる。3Dセキュア2.0は、ユーザーの行動をアクセスログから分析して本人認証を進める「リスクベース認証」にも対応する。

　これは、以前のアクセスや通常の“振る舞い”を分析して、これまでとは異なる環境からの接続などがあった場合、別途、パスワード入力を求めるものだ。

【次ページ】「7payアプリの不正利用」はなぜ起きたか