三井住友カード株式会社

掲載日: 2003 年 11 月 26 日
企業ネットワークにおける IC カード活用を手軽にするソリューションを提案
Microsoft® Windows Server™ 2003 と VISA IC カードを連携
 Logo
*
*
ダウンロード
*
*
*
Download File 9337-KP1.pdf
*
PDF ファイル 1,009 KB
Adobe Reader を利用して PDF ファイルを閲覧・印刷することができます。ダウンロードはこちらleave-msからできます。


ソリューション概要

プロファイル
*
*
*
三井住友カード leave-msは、1968 年に日本で初めて VISA カードを発行したクレジットカード会社であり、日本における VISA カードグループの中核的な役割を果たしています。2003 年末時点で約 1212 万人の会員を擁し、国内最大級のカード会社として知られています。また業界初のインターネット総合サービス 「Vp@ssClub (ブイパスクラブ) 」 の運営や、他社に先駆けた IC カードの本格導入、国内初のインターネット決済専用カード 「バーチャルカード」 の発行、有料道路をキャッシュレス・ノンストップで通過できる 「ETC カード」 の発行など、新しい取り組みに積極的に取り組んでいます。

シナリオ
*
*
*
クレジットカードと PKI 環境の組み合わせで、社内ネットワークのセキュリティ強化
Windows Server 2003 の標準機能を採用し、システム構築の負担の大幅軽減
カード運用負担が、三井住友カードの仕組み利用で大幅軽減

ソフトウェアとサービス
*
*
*
Microsoft Windows Server 2003
Microsoft Windows XP Professional
Microsoft Windows 2000
Microsoft Consulting Services (MCS)
VISA IC カード

メリット
*
*
*
Windows Server 2003 に標準装備されている PKI 機能を利用することで、PKI 環境の実現が容易になりました。またこれをクレジットカード (VISA カード IC カード) 組み合わせることでカード発行等に伴う運用負担も軽減され、企業における IC カード導入のハードルを著しく低減させることが可能になっています。

ユーザーコメント
*
*
*
「Windows Server 2003 と Windows XP には高度な PKI 機能が標準で搭載されています。この機能とクレジットカードの特長を融合することで、IC カード導入のハードルは著しく小さくなるはずです。また自社で IC カードを発行しようとすると最低でも 1 台数百万円するカード発行機が必要ですが、今回検証されたメカニズムを利用すればその負担も不要になります」

三井住友カード株式会社
ニュープロダクツ開発部長
松谷徹氏談



PHOTO
*
三井住友カード株式会社

 *
日本で最初に VISA カードを発行し、国内における VISA カードの中核的役割を果たすことで、日本のカード業界をリードし続けてきた三井住友カード株式会社 (以下、三井住友カード) 。ここではクレジットカードを企業ネットワークと連携させるという、新たなカード活用に向けた取り組みが進められています。企業にとって社員に対する IC カード発行の負担を大幅に軽減し、セキュリティやサービスの向上につながるソリューションとして、大きな期待が寄せられています。
(*より詳細な技術情報へ)

<導入の背景とねらい>
認証強化の手段として注目される IC カード
その導入障壁をクレジットカードで解消

PHOTO
*
三井住友カード株式会社
ニュープロダクツ開発部長
松谷徹氏

 *
ネットワークでのユーザー認証を行う方法として、これまで主流を占めていたユーザー ID とパスワードの組み合わせ。しかしこの方法だけに依存することに、リスクを感じている企業が増えてきています。パスワードはユーザーの "記憶" に依存する方法であり、記憶しやすいパスワードはディクショナリー アタックなどによって破られやすいことが知られています。その一方で破られにくいパスワードは記憶しにくいため、ユーザーは "記憶" ではなく "記録" に頼ろうとします。このためパスワードが書き残され、流出するリスクを高めてしまうのです。

このようなパスワードの脆弱性を解消する方法として、大きな注目を集めているのが IC カードの活用です。IC カードという "物理的な鍵" をパスワードと併用することで、パスワードの脆弱性をカバーできるからです。しかし IC カードによるネットワーク認証環境を実現するためには、カード発行機の導入や新たな認証システムの構築、運用体制の確立などが必要になり、導入企業に大きな負担がかかるという問題があります。社員 1,000 人規模の企業では、初期投資だけで 1,000 万円以上の負担が生じることも珍しくありません。

しかしこのような悩みも過去のものになりつつあります。法人クレジットカードとマイクロソフト製品を組み合わせることによって、IC カードの導入、運用負担を著しく軽減した仕組みが、三井住友カードによって確立されたからです。同社では Windows Server 2003 とMicrosoft Windows® XP Professional の Public Key Infrastructure (以下 PKI ※ 注1) 機能をベースに、多機能 IC を内蔵した VISA カードをユーザー認証に利用するシステムの実現プロジェクトを 2003 年 4 月に開始、6 月までに機能検証を完了させています。これによってクレジットカードの新たな活用方法を切り拓くための、技術基盤を確立したのです。

「クレジットカードの IC 化は偽造対策を目的に始められたものでしたが、付加価値を高めるものとしても大きな期待が寄せられています」 と話すのは、ニュープロダクツ開発部長を務める松谷徹氏。IC カードで可能になる付加価値としては、企業内の少額決済 (キャッシュレス) や入退室管理などが挙げられますが、コンピューター ネットワークがビジネス基盤として重要な役割を担うようになった現在では、ネットワークに対するユーザー認証も重要な付加価値の 1 つになると指摘します。

「Windows Server 2003 とWindows XP には高度な PKI 機能が標準で搭載されています。この機能とクレジットカードの特長を融合することで、IC カード導入のハードルは著しく小さくなるはずです」(松谷氏)

※注1 :PKI (Public Key Infrastructure)
公開鍵暗号技術と電子署名を利用したセキュリティ基盤。認証局が発行した電子証明書や暗号処理のための鍵によって、ネットワーク経由でアクセスしてきたユーザーの本人確認や、通信内容の暗号化による盗聴防止、通信内容の正当性保証などを行うことができます。

<システム概要>
Windows の標準機能で PKI 環境を実現
証明書発行では独自開発の機能も

今回の技術検証で利用されたシステムは、まずサーバーとして Windows Server 2003 を利用。このサーバーの上で、ユーザー認証情報を管理する Active Directory®、電子証明書の認証を行う認証局 (CA) 機能、遠隔地からのアクセスをトンネリングする VPN 機能、そしてセキュア Web 機能を実現しています。一方クライアントとしては Windows XP Professional とMicrosoft Windows® 2000 の両方が利用され、いずれのマシンにも安価なスマートカードリーダーが接続されています。このカードリーダーに、あらかじめ電子証明書が書き込まれた VISA IC カードを差し込むことで、ネットワークログオンに対する認証が受けられるのです。

ネットワークへのアクセスをコントロールする方法としては、3 種類のメカニズムが検証されています。まず第 1 はドメインに対するアクセス。これは Windows 環境における基本的なアクセス制御方法であり、最も普及しているものだと言えます。第 2 は VPN を利用したアクセス制御であり、Windows Server 2003 の VPN サーバー機能と RADIUS サーバー機能によって、L2TP (Layer 2 Tunneling Protocol) / IPsec (Internet Protocol security) と PPTP (Point to Point Tunneling Protocol) によるリモートアクセスが検証されています。そして第 3 は IEEE 802.1x に基づく無線 LAN 認証です。ここではバックエンドに Windows Server 2003 の RADIUS (※ 注2) サーバー機能が利用され、EAP-TLS (※ 注3) (Extensible Authentication Protocol-Transport Layer Security) によるアクセス制御が検証されています。

アクセス制御以外にも、S/MIME 対応メールソフトウェアと組み合わせたメール暗号化など、PKI を活用したアプリケーションの動作確認も行われています。またクライアントに Windows XP を利用した場合には、サーバーに Windows Server 2003 を利用することで、スマートカードを利用したリモートデスクトップの認証が行えることも確認されています。

* PHOTO
*
三井住友カード株式会社
ニュープロダクツ開発部
グループマネージャー
姉川彰氏
さらに注目したいのが、電子証明書の発行にも工夫が凝らされている点です。三井住友カードでは大量の電子証明書 PKCS#12 (※ 注4) を一括してエクスポートする独自機能を認証局側に追加すると共に、三井住友カードのカード大量発行機にこのデータをカードにインポートする機能を実装することで、短時間での電子証明書の発行およびこれを搭載したスマートカードの発行を可能としています。また電子証明書の期限切れ等に伴う証明書更新も、Windows Server 2003 の標準機能を活用して、各ユーザーがスマートカードをリーダーに差し込んだ際に自動更新ダイアログが表示され、ワンクリックで実行することが可能です。

※ 注2 : RADIUS (Remote Authentication Dial-In User Service)
クライアントサーバモデルに基づいた、ダイアルアップ接続ユーザー認証システム。ユーザーからのアクセスを受け付ける 「アクセスサーバー」 に対し、ユーザー情報を管理する 「RADIUS サーバー」 がユーザー認証サービスを提供します。

※ 注3 : EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)
無線 LAN 等で利用される認証規格 「IEEE 802.1x」 に対応した、認証プロトコルのひとつ。クライアントとサーバーの両方がそれぞれ、相手に対して自分の身元を証明 (相互認証) できる点が大きな特長です。リモートアクセス認証にスマートカードを利用する場合には、原則として EAP-TLS 認証を利用することが前提条件になります。

※ 注4 : PKCS (Public Key Cryptography Standards)#12
電子証明書や公開鍵、秘密鍵を含む秘密情報を、安全に保存、送信するために定められたデータ形式。この形式のデータをファイルとしてエクスポートすることで、PKCS#12 に対応したアプリケーションに秘密情報を引き渡すことが可能になります。なお PKCS とは公開鍵暗号技術をベースとした各種規格群のことで、PKCS#12 はその規格群の 1 つです。

なお、今回の技術検証には当初から Microsoft Consulting Services (以下 MCS) が参画しており、検証内容や実施方法の検討、技術情報の提供、検証の実施等などで強力な支援を行っています。「MCSと一緒に検証を行うまでは、私どもには PKI に関する知識はほとんどありませんでした」 と松谷氏。しかし MCS のコンサルタントが “べったりと張り付くように” 参加したことで、必要なノウハウを短期間で入手することが可能になったといえます。また今回の検証にはマイクロソフトの他にも複数の IT 企業が参加していましたが、MCS はこのような複数社が参加するチームのとりまとめ役としての役割も担いました。多岐にわたる機能検証をわずか 2 か月間で完了させるために、MCS は大きな貢献を果たしたと言えるでしょう。

ビジネスモデル図
*
ビジネスモデル図 [拡大図]

<導入とメリット>
IC カード導入と運用の負担を大幅に軽減
ユーザーの利便性やセキュリティの向上も

今回検証されたメカニズムを活用することで、ユーザー企業は大きく 4 種類のメリットを享受できるようになります。

PHOTO
*
三井住友カード株式会社
ニュープロダクツ開発部
部長代理
東田雅之氏

 *
まず第 1 は、IC カード導入に必要な負担を大幅に軽減できることです。「たとえば社内で IC カードを発行する場合には、最低でも 1 台数百万円するカード発行機が必要です」 と言うのは、三井住友カード ニュープロダクツ開発部 部長代理 東田雅之氏。クレジットカードと一体で発行すればこのコストが不要になると指摘します。また Windows Server 2003 に標準装備された PKI 機能を利用すれば、PKI 環境への初期投資も抑制でき、複数製品を組み合わせることで発生するリスクも回避できます。

第 2 は運用の負担が軽減すること。一般的な IC カードソリューションでは、カード発行を社内で行う必要があり、大変な労力を必要とします。この種のソリューションで一般的に利用されているカード発行機は、手差しで 1 枚ずつ電子証明書を記録するようになっているからです。電子証明書の更新を行う場合にも、カードを回収して再発行するという手間がかかります。またカードにアプリケーションを追加する場合には開発負担もかかるため、ユーザー企業だけで対応することはとても現実的ではありません。しかし今回検証されたメカニズムなら、これらの問題を根本から解決できます。松谷氏によれば 「カード発行関連の運用コストは、これによって半分程度になるはず」 と言います。

* PHOTO
*
三井住友カード株式会社
ニュープロダクツ開発部
岸本広己氏
第 3 はユーザーの利便性が高まることです。既に VISA カードは世界で 10 億枚を超える発行実績があり、決済のインフラとしての役割を果たしています。三井住友カード ニュープロダクツ開発部 グループマネージャー 姉川彰氏は 「これに PKI 機能などを載せていけば、IC カードに求められる複数の機能を、1 枚のカードに集約することも可能になります」 と言います。ユーザーは複数のカードでポケットや財布を膨らませることなく、文字通り "スマート" に IC カードを活用できるのです。

そして第 4 はセキュリティレベルを高めることも可能になることです。「クレジットカードは個人認証の仕組みとして高い実績を持っており、発行時にもカード会社から個人に直接郵送されるなど、セキュリティ的な問題が発生しないように工夫されています」 と、三井住友カード ニュープロダクツ開発部 岸本広己氏。またクレジットカードは決済に直結しているため、管理に関するユーザーの意識が高い点も大きな特長です。ネットワーク認証の機能しかもたない IC カードなら、ユーザーが他の人に貸してしまう可能性があります。しかしクレジットカードなら、そのようなことが起こる可能性は著しく低くなるからです。

<今後の展望>
PKI とクレジットカードの組み合わせを
新たなソリューションの柱に

三井住友カード ニュープロダクツ開発部では今後、今回検証されたメカニズムをベースに、クレジットカードと PKI を組み合わせたソリューションを提案していく計画です。また三井住友カードが提案する IC カードソリューションは PKI にとどまらず、最近注目されている非接触 IC カードでの入退管理機能と組み合わせた社内のトータルセキュリティを提案しています。オフィスに入室するための鍵としての役割もカードに持たせれば、ユーザーのカードに対する意識が更に高まり、PC の鍵と合わせてカード所有による本人の認証力を高めることもできます。

さらに三井住友カードでは、スマートカードリーダー/ライターにカードを差し込んでインターネット上でアプリケーションをダウンロードすることで、ユーザー企業の環境構築に応じてカード上のアプリケーションの追加やバージョンアップなどの機能拡張を実現するサービスも用意しています。これによりカードの再発行を行うことなく新しい機能を追加できるので、ユーザー企業は多機能 IC カード導入後でも社内のインフラを段階的に構築することで導入コストを下げることが可能となるだけでなく、一度採用した機能にとらわれず常に新しいアプリケーションを手軽に導入できるというメリットがあります。

これらによって法人カードのユーザー企業に新たな付加価値をもたらすと共に、三井住友カードの新しいビジネスモデル確立を目指しています。


本ケーススタディに記載された情報は初掲載時のものであり、閲覧される時点では変更されている可能性があることをご了承ください。
本ケーススタディは情報提供のみを目的としています。Microsoftは、明示的または暗示的を問わず、本書にいかなる保証も与えるものではありません。
ページのトップへ