IPA


開発成果一覧へ

 



2006年度上期 未踏ソフトウェア創造事業  採択案件評価書

 




1.担当PM

   ウィリアム 齋藤 (株式会社フォーバル 取締役副社長)




2.採択者氏名

開発代表者

田中 充 (岩手県立大学 客員教員)

共同開発者

なし




3.プロジェクト管理組織


   TAMA-TLO株式会社




4.委託金支払額


  13,000,000




5.テーマ名


 携帯電話の2次元コードリーダを活用した個人認証システムの開発




6.関連Webサイト


 なし




7.テーマ概要


 近年,フィッシング詐欺やキーロガーなどによるWeb上のサービスで使用される個人認証情報漏洩に関するトラブルが増加しています.これらは,たとえ広く普及しているPKIに基づいた SSL/TLSなどによる暗号通信方式でも根本的には防げない問題であり,従来のキーボードを用いたユーザ名およびパスワードの入力による単純な個人認証方式の限界を示すものと考えられます.
 ICカードなどのハードウェアトークンを活用したネットワークサービスの個人認証方式は,安全性を高める手段として有効であるものの,トークンの管理やデバイスドライバのインストール作業など導入コストが比較的高くなる傾向にあるため,一般利用者への普及は難しいのが現状です.その一方で,近年,個人が所有する携帯電話をハードウェアトークンとした個人認証方式が研究されていますが,導入しやすいものでもWebブラウザ上に手入力で個人認証情報を送信するものが多く,キーロガーなどによって,その情報が外部に漏洩する可能性を持つものが多いと考えられます.特に,一般利用者は端末の管理が不十分になる傾向性が高いため,その危険性は高くなります.
 こうした状況の改善のために,提案プロジェクトでは,一般利用者でも容易に適用可能な比較的安全かつ簡便な個人認証方式として,携帯電話の2次元コードリーダを活用した方式SUANを提案し,このシステムの各キャリアに対応した製品化,パッケージ化を目指します.この提案方式の利点は,一般利用者のPC 等の端末上に,特定のハードウェアやソフトウェアを必要としないため導入が容易であること,クレジットカード情報などをはじめ様々な個人情報の安全な伝達方式への拡張性を持っていること等があげられます.
 なお現状の提案方式は,man-in-the-middle攻撃型のフィッシングによる盗聴を防ぐことはできませんが,この対策手法についても検討をする予定です.




8.採択理由


 Web技術と携帯電話技術とを組み合わせた方法は独創性に富んでいる。本提案は既に確立された技術を利用しているため、非常に現実的で実践的だと思われる。




9.開発目標


本プロジェクトの目的は、現行のほとんどの携帯電話で利用されている有名なQR-Code 2-Dのバーコード読み取り機能を利用し、ウェブサイト上で生成されるQRコードを認証することにあった。本認証システムでは、チャレンジレスポンスシステムと、ユーザがサイト上に表示されるQRコードのスキャンと復号を簡単に行い、携帯電話システムを介して適切な応答を返すプログラムを開発する。また、当該の携帯電話に固有の簡単インストール登録システムが必要である。さらに、登録情報を残らず記憶し、要求側(ウェブサイト)とユーザとの同期を維持し、メーカと機器ごとに固有の携帯電話の特性を残らず処理するバックエンドシステムが必要である。

 




10.進捗概要


本プロジェクトは、総じて円滑に進められた。開発者は中間報告でほぼ完璧なアーキテクチャを提示したので、小職はいくつかのユースケースと使用条件を明確にするよう同氏に課題を与えた。中間報告以降、本プロジェクトの完成までの間に、本認証システムが対応するリストに多数の携帯電話端末が追加され、インストールと登録のソフトウェアがほぼシームレスなものとなった。最後に、開発者はわずか数行のプログラムを追加するだけで、第3者のプロバイダが容易に本認証メカニズムを組み込むことができるアプリケーションを完成させた。




11.成果


本プロジェクトでは、本認証の導入から利用できるようになるまでの作業を体験できるようなワーキングプログラムが準備されており、設置や設定が必要なインストールや登録をはじめ、実際に試験用のウェブサイトにログオンすることまでが組み込まれていた。開発者のプレゼンテーションや報告書類はうまくまとめられており、目標と要点ごとの達成方法が簡潔に説明されていた。




12.プロジェクト評価


開発者のプロジェクト、プレゼンテーションおよび報告書類はいずれも専門的であり、完成度の高いものであった。同氏のプレゼンテーションスキルは特に優れており、このようなプロジェクトに対する経験の深さを示すものであった。さらに、同氏は携帯電話端末のさまざまな妨害に対応するにあたり、いくつかの障害を乗り越えてきた。最後に、本プロジェクトに関する質問事項はそれほど多くなく、開発者の進捗状況も成果も満足のいくものであった。その意味で、本認証システムは商品性の高いものとなろう。

 




13.今後の課題


開発者はすでに開発成果を扱う会社の設立にあたり、諸準備を進めている。会社を法人組織とし、多くの著名人を取締役にも迎えた。開発者はひとつの概念をプロジェクトに展開しただけではなく、きわめて商品に近い製品にまで作り上げた。残された唯一の問題は、セキュリティの観点から開発したアーキテクチャを完全に検証することであり、そのプログラムをさまざまな「現実の世界」のユースケースに耐えうるものにし、問題が生じたら難なく復旧できるようにすることである。このほか、残された事項は、この認証技術をWindowsを介してログインするPCなど、ウェブベースでない認証スキームに拡張することである。



  ページトップへ   

 

 




  Copyright(c) Information-technology Promotion Agency, Japan. All rights reserved 2004