ネットワークにおけるセキュリティ強化には、利用者を特定し様々なサービスの利用を制御する認証技術の進化が不可欠である。確実な利用者認証はなりすましやフィッシング詐欺の防止につながり、ひいては株式のオンライントレードやインターネット・バンキングといった様々なオンライン取引を安心して利用できる環境の実現にもつながる。
そこでNTTコミュニケーションズは、複数の技術を組み合わせて二重三重の認証をする「マルチファクター認証（多要素認証）」の研究を重ねており、そのひとつの形態として、「ひかり認証サービス」の実用化に向けた実験に取り組んでいる。
ひかり認証サービスとは、次世代ネットワーク（NGN: Next Generation Network）の回線識別情報に、リスクベース認証、2WAY-SSLなど他の認証技術を組み合わせる認証サービスである。ひかり認証サービスは、利用者の手間やコスト負担をほとんど増やすことなく、セキュリティレベルを格段に向上できるのが特長だ。これからのブロードバンド・ユビキタス社会において、基盤となる技術へと育っていくことが期待される。

開発の背景・システム概要

米国のインターネット・バンキングでは「マルチファクター認証」が標準化

　インターネットでの取引や売買が増えて、インターネット・バンキングも広く普及した。一方で、インターネット・バンキングに伴う犯罪も増加している。
ガートナーの調査によれば、米国のフィッシング詐欺による消費者の被害総額は、2006年は前年の5倍に相当する28億ドルに達したという。日本においても、金融庁が所管する約700の金融機関を対象にした調査によると、インターネットバンキングで不正に預金を引き出された被害は2005年以降、主要銀行から信用組合まで計105件、総額1億7400万円に上り、郵政公社が2004年以降に把握した94件、総額1億3900万円と合わせると199件、3億1300万円に達しているという。そこで米国では、2005年10月、FFIEC（連邦金融機関検査協議会）が米国内銀行に向けて「インターネット・バンキング環境における認証に関するガイダンス」を発表。2006年末までに、「マルチファクター認証（多要素認証）」を導入して、セキュリティ体制を強化することを義務づけた。これまでほとんどの銀行がオンライン顧客をユーザー名とパスワードによる「一要素認証」だけで認証していたのを改め、複数の技術を組み合わせて二重三重の認証をするべきであると勧告したのである。
米国の金融界は、このFFIECガイドラインに対応するために、マルチファクター認証の導入ラッシュ状況になっている。日本でも、一部の銀行は、ワンタイムパスワードトークン※や乱数表を配布するなど、マルチファクター認証への取り組みを始めた。
ただし、ネットワーク上での認証機能を強化すべきであるのは、バンキングに限ったことではない。今後、生活にかかわるありとあらゆる事象をネットワーク上で処理するブロードバンド・ユビキタス社会を実現するためには、認証をマルチファクターで行うことは大前提ともいえる。
しかし、専用のハードウェアが必要になったり、複雑な操作が必要になるような方法では、広く一般に普及させることは困難だ。そこでNTTコミュニケーションズが開発を進めているのが、回線の識別情報を要素の1つとして用いるマルチファクター認証「ひかり認証サービス」である。
回線の識別情報による認証は、通信キャリアがネットワークサービスの機能として提供できる。つまり、利用者にインストールの手間やコスト負荷をかけることなく、認証機能を強化できるのが、ひかり認証サービスの最大の特長である。

※ワンタイムパスワードトークン：数秒ごとに切り替わるログインパスワードが表示されるデバイスを用いた認証方法。

実証実験について

回線識別情報をベースにマルチファクター認証を行う「ひかり認証サービス」

サービス紹介ムービー

本編を再生 インターネット･バンキング・ デモンストレーション （4分32秒）

　ひかり認証サービスとはどのような技術であるか、これから行われる実証実験に沿って説明していきたい。
NTTグループは、グループ各社の連携のもと、一般にも公開する形で次世代ネットワーク（NGN）の実証実験を行っている。NTTコミュニケーションズは、このNGN実証実験において、これまでも「ハイビジョン映像配信サービス」、「NGN網とOCN網のNNI（網間インターフェース）接続」、「地上デジタル放送のIP再送信」といったさまざまな新技術のトライアルを行ってきたが、2007年の第3期に取り組むトライアルのひとつとして、ひかり認証サービスのトライアルを実施する。
今回のひかり認証サービス・トライアルの内容は、回線識別情報とリスクベース認証の組み合わせ、回線識別情報と2WAY-SSLの組み合わせという、2つのタイプのマルチファクター認証の検証である。
基本となる回線識別情報は、NGNで提供される利用者回線レベルでの認証だ。一方、リスクベース認証とは、利用者の端末情報や、行動特性の利用者情報を自動的に取得、数値化し、その数値でリスク係数を算出・判定する技術である。
回線識別情報とリスクベース認証を組み合わせると、たとえばインターネット・バンキングで送金をする際に、利用者がいつも利用する時間に自宅からアクセスしていると判断できれば高額な送金を許可し、接続場所が異なったり行動パターンが不審な場合は、送金金額を制限したり、取引を停止するといったサービス設定が可能になる。
また、2WAY-SSLとは、クライアントがサーバに対してSSL認証するだけでなく、クライアント証明書をあらかじめ利用端末へ登録しておき、サーバからクライアントに対してのSSL認証も行う技術である。クライアントとサーバが双方向でSSL認証を行うため、認証端末を固定して、セキュリティ性がきわめて高いマルチファクター認証を行える。今回のトライアルでは、証明書配布の自動化も実施する。
今回のトライアルでは、これらの技術の組み合わせが実際に機能することを確かめるだけでなく、安定したサービスを維持するための運用ノウハウを蓄積することを目的としている。
ひかり認証サービスは、利用者にとって従来と同様にIDとパスワードを入力するだけで、特別な負担なしでセキュリティレベルを上げられる利便性の高い認証サービスである。生体認証など、多様な認証技術と組み合わせて、認証レベルに応じたサービス設定もきめ細かく行えるなど、柔軟性が高く、適用範囲も広い。これからのブロードバンド・ユビキタス社会を支える基盤の一つとして育っていくことが期待されるセキュリティ技術なのである。