(2) 脅威への具体的対応策
以上の各段階における脅威とその対応策の内、重要度の高いものについて具体的な対応策を以下に示した。
1] カード認証
カードが偽造されたものでないことを保証する方策としては、(a)静的認証と(b)動的認証に分けることができる。このうち(a)静的認証は、もともとICカードは発行者の秘密鍵で署名されたデータを記憶しているところから、端末はこのデータを読み出して発行者の公開鍵を用いてICカードの正当性を確認するが、この場合に使用されるデータが固定であることが由来となっている。認証時に端末が公開鍵暗号の演算は行うが、ICカード自身は演算を行わないため、処理速度は早いがデータが固定であるため、偽造カードの作成が容易となる欠点がある。
一方、(b)動的認証はICカードに入力される乱数に対してICカード自身が秘密鍵で暗号演算を行い、端末がICカードの公開鍵によりその演算結果を検証してカードの正当性を確認する。この場合、ICカード自身が動的に暗号演算を行うため、セキュリティが向上する反面、処理速度が遅い欠点がある。
2] 端末リスク管理
カード発行者やシステム等を不正行為から保護するために端末側で対策を講じるべきリスク管理で、高額取引きやオフライン環境では検出できないような各種の脅威から保護するため、以下のチェックを行う。
(a) フロアリミットチェック:端末に一定金額のフロアリミットを設定し、一回当たりの利用金額がこれを越えていないかをチェック。
(b) ペロシティチェック:端末にオフライン上限値と下限値を設定し、オフラインで連続処理できる回数を超えていないかどうかをチェック。
(c)ランダムチェック:フロアリミットより小さい金額で端末に敷居値を設定し、フロアリミット以下の金額で一定確率によりランダムにオンラインチェック。
以上のようなセキュリティ対策を講じたとしても、システム関係者によってセキュリティが破られる恐れがあり、こうした内部関係者による脅威は極めて影響が大きいだけに、製造・設計、発行の各段階において情報を一人に集中せず分散化させるなど、システムとしての情報管理を強化する必要がある。また、ICカードは極めて大量に配布され、回収・データ変更等が困難であるだけに、時間とともに弱体化する暗号アルゴリズムを変更する仕組みについて検討する必要性がある。
