知っておきたいICカードのタイプと使われ方  
長谷川 晴彦 ペンティオ株式会社 代表取締役 2005/8/12

 欧米に比べ、ICカードの普及が遅れていた日本だが、最近になってJRが発行する「Suica(スイカ)」「ICOCA(イコカ)」などのICカードが広く普及するようになり、日本人にとってもなじみの深いものになりつつある。
 また近年、クレジットカードやキャッシュカードのスキミング被害の急増、個人情報保護法(個人情報の保護に関する法律)の施行などの影響で、セキュリティの観点からもICカード化のニーズが高まりつつある。書き込まれたデータが第三者に簡単に読み取られてしまう磁気カードに比べ、ICチップに情報を書き込むICカードは安全性が格段に高い。そこでクレジットカード会社や銀行などの金融機関は2004年ごろから、クレジットカードやキャッシュカードのIC化を急速に推し進めている。
 さらに今後、免許証やパスポートのIC化も計画されており、いよいよ日本も本格的なICカード時代を迎えようとしている。
 そこで、「ICカードがわれわれの生活をどう変えるのか」「そのセキュリティは万全なのか」「ICカードを安全・便利に使える環境をつくるには、どのような技術が求められるのか」といったテーマに対して、最新のトレンドを踏まえ、用途とセキュリティの観点からICカードの基礎的な知識を解説してみたい。

 接触型ICカードと非接触型ICカード
 ICカードはハードウェア面、ソフトウェア面それぞれの視点で、いくつかの種類に分類される。それぞれ性能や用途が異なるので、まずは種類別の特徴を見ていこう。
 ハードウェアという切り口では、ICカードは「接触型」と「非接触型」に分類される。接触型とは、カード端末機のリーダ/ライタ端子と接触するモジュール端子を持つタイプでカードと端子が直接接触して通信を行う。確実な通信を行える接触型は主に、より堅牢なセキュリティが求められる決済や認証の分野で使われている。
 一方の非接触型とは、カード内部にアンテナの役目を果たすコイルが内蔵されており、端末のリーダ/ライタから発生している磁界にカードをかざすと無線通信でデータのやりとりができる。SuicaやICOCAに代表される鉄道改札や入退室管理など、より利便性を求められるジャンルで活用されている。

図1 接触型ICカードと非接触型ICカード

 さらに非接触型は、データの読み書きができる距離や通信方式の違いによって、より細かく分類されている。まず距離の違いによって「密着型(〜2mm)」「近接型(〜10mm)」「近傍型(〜70mm)」などのタイプに分けられる。また、通信方式の違いによってType A、Type B、FeliCa方式の3タイプに分類される。ちなみにType AはNTTのICテレホンカード、Type Bは住民基本台帳番号カード(住基カード)、FeliCa方式はSuicaやEdyにそれぞれ応用されている。
 無線による通信となるとやはり心配になるのがセキュリティだ。最近ではクレジットカード機能、キャッシュカード機能を持ったSuicaなども登場しており、後述する接触・非接触の双方のインターフェイスを持つハイブリッドやデュアルインターフェイスと呼ばれるカードが採用されている。
 当然、「キャッシュカードやクレジットカードの情報を、非接触の無線通信時に傍受されるのでは」という危惧(きぐ)が生まれる。事実、同一チップ上で接触・非接触双方のインターフェイス機能を持つハイブリッドカードの場合、理論的にはそういったことが起きる可能性はゼロではない。
 そこで、非接触カードの無線通信は乱数を使って鍵を変化させるなど、厳しく暗号化されており、データの漏えいや改ざんを防ぐ仕組みになっている。


 接触と非接触の両方の機能を兼ね備えたICカード
 以上のように、接触型には確実な通信が可能という利点が、非接触型には利用者の利便性が高いという利点がある。両者の特長を同時に兼ね備えたのが「ハイブリッドカード」と「デュアルインターフェイスカード」である。
 ハイブリッドカードは1枚のカード上に接触型と非接触型の2つのICチップを搭載している。一方のデュアルインターフェイスカードは、1つのチップに接触・非接触両方のインターフェイス機能が備わっている。
 いずれもこれまでのICカードよりも、さらに広い応用範囲があるカードとして注目されている。前述したクレジットカードやキャッシュカード機能が付いたSuicaなどはまさにそれで、安全性重視のクレジットカード/キャッシュカード機能は接触で、利便性やスピードが大切な改札機能は非接触でと、1枚のカード上で機能分担を行っている。

 
ICチップの内部構造

 図3のようにICチップ内部は一般的にCPU、RAM、ROMからなるソフトウェア部と、データを蓄積しておくためのデータ部から構成されている。ICカードはこのような構造が一般的である。
図3 ICチップの内部構造
 また、カードOSには各社独自のOSを搭載したNativeカードと、汎用OSを搭載したJavaカード、MULTOS(マルトス)カードがある。後者はカード作成後にアプリケーションを追加/変更できるようになっている。
 例えば、ICカードの所有者を認証するためにバイオメトリクス認証などを行う場合、チップ内部で登録情報と入力情報を照合するためのアプリケーションを搭載する。このような用途にJavaカードやMULTOSカードが採用され始めているが、基本的には高価なため実際のサービスにはなかなか応用されにくいというのが現状である。
 このようにICカードにはハードウェア面、ソフトウェア面にさまざまな種類があり、その組み合わせによって種類はさらに多岐にわたっている。

 日本のICカードは世界標準とは異なる独自路線
 さて、日本では「おサイフケータイ」としてFeliCaが活用されるなど、非接触型カードを使った各種サービスが日常生活に浸透しつつあるため、「ICカード=非接触型」という考え方が主流となっている。しかし、ICカード先進地域であるヨーロッパでは接触型がスタンダードだ。
 もともと欧州のICカードは携帯電話に差し込む「SIMカード(Subscriber Identify Module:加入者識別モジュール)」として普及してきたという歴史がある。通信キャリアと携帯電話端末が日本のように固定化されず、SIMカードを入れ替えることでキャリアや携帯電話端末を自由に変えることができる。非常に便利なシステムの基盤となるSIMカードは接触型である。
【参考:SIMカードって何?】
http://www.nokia.co.jp/phones/about_phones/sim.shtml 余談であるが、「日本のICカードは世界標準から相当にずれている」という声をICカード関連業界で聞くことがある。接触・非接触の違いもそうであるが、さらに非接触のType別でも日本の選択は確かに独特だ。例えば、住基カードは事実上の世界標準であるType Aを使わず、ワールドワイドではほとんど使われていないType Bを採用している。
 またFeliCa方式は、かつてはType Cと呼ばれたこともあった。しかし、仕様が完全には公開されておらずブラックボックスが多かったために世界標準規格になれなかったという経緯を持つ。
 今後、免許証や保険証、パスポートなどさまざまな公共分野でカードのIC化が推進されていく予定だが、どのような仕様のICカードが採用されていくのかというのは、注目に値するテーマである。


 ICカードの利用のされ方
 どのようなカードがどのように使われているかを見てみよう。
●金融、決済
 クレジットカードや銀行のキャッシュカードなどが含まれる分野だ。確実なデータのやりとりと高いセキュリティレベルが必要とされるため、この分野では接触型が採用されている。
 最近、スキミングや偽造キャッシュカードによる預金の不正引き出しなど、さまざまな問題が指摘され、IC化が急速に進み始めている。チップにデータを書き込むICカードは磁気カードに比べて、内部データを読み出されたり改ざんされたりするリスクが極めて少ない。IC化が進めば、スキミングやキャッシュカードの不正使用などはかなり防げるはずだ。
 ただし、特にクレジットカードの場合、カードだけをIC化しても、店舗に置かれる端末のICカード対応が進まないことには、本当の意味で普及したとはいえない。実際、加盟店にメリットのない端末の切り替えは遅れ気味で、IC化推進のネックとなっている。
 ちなみにICクレジットカードと端末との通信方式や暗号化技術は、国際的なデファクトスタンダードである「EMV」という規格によって規定されている。EMVとは、ユーロペイ(Europay=現Mastercard International)、米国のマスターカード(Mastercard International)、ビザ(Visa International)の間で合意された3社の統一規格であり、頭文字を取ってEMVと呼ばれている。
●交通
 日本で最もICカードが普及している分野である。SuicaやICOCAをはじめ、高速道路で料金徴収に使われるETC(ただしETCカードは車内のリーダに差し込む接触型カードである。ゲートとの通信はリーダが無線通信を行っている)など、主に短時間、もしくはノンストップで改札や料金徴収が行えるというサービスレベルの向上を目的に使用されている。従って使われているのは非接触型になる。
●サービス・流通
 最近ではポイントカード、メンバーズカードとしてICカードを発行する企業が増えてきた。会員の個人情報や購買記録をカード内に蓄積して、それを顧客管理に役立てたり、クレジットカードと一体化させるなど、さまざまな用途で使われ始めている。
 また、自動販売機やコンビニエンスストアでの非接触カードによる電子マネーとしての活用法もこのジャンルに含まれる。
●企業セキュリティ
 企業内では主に身分証明、入退室管理、個人情報管理などの用途でICカードが使われている。入退室管理用には、かざすだけで情報のやりとりができる非接触型が使われており、企業内部からの情報漏えいが社会問題化している今日、数多くの企業で採用され始めている。
 また、従来はPCのOS内部/証明書ストアに格納していたPKI用の秘密鍵を、ICカードやICカード用チップを搭載したUSBトークンなどの中に格納して持ち運ぶという安全な使い方が普及の兆しを見せ始めている。
 PCベースでの鍵の管理は、PCの紛失、第三者による使用や不正アクセスなどが懸念される。だが、ICカードやUSBトークンは内部のチップ上に情報が書き込まれているので外部からアクセスすることが困難だ。さらに携帯性にも富んでいるので、PCに比べて安全性も利便性も高いPKIデバイスということができる。
 今後はICカードやUSBトークンが個人認証の鍵となり、カードを差し込んだPCだけがネットワークへのアクセスやサーバへのログインを認められるようになる時代が来るだろう。
 その一方で、「カード所有者が本当にアクセス権を持った人物本人か」を認証する、さらに堅牢なセキュリティシステムの開発が望まれている。より堅牢性の高いデバイスによる個人認証が求められるわけだが、米国では早くからデバイス認定の基準としてFIPS140-2という規格が用いられている。
 FIPS140-2は暗号モジュールに関するセキュリティ要件を規定した規格であり、NIST(米国標準技術研究所)とCSE(カナダ通信安全保障機構)が評価・認定を行っている。個人認証を行う共通鍵暗号用の機器に、この規格に準拠したデバイスを使うことにより、より高い安全性が確保されるというわけだ。
【参考記事】
暗号モジュール評価の基礎知識●公共分野
 住基カードに非接触型ICカードが採用されるなど、公共分野でのICカード利用も次第にその規模と範囲を拡大させつつある。現在、偽造防止、違反歴のカード内管理などを目的とした免許証のICカード化が各県警単位で進められているほか、ICチップを搭載したICパスポート導入も検討が進められている。
 ICパスポートについては、特に米国からの強い要請を受けている。旅券のチップ内に個人の基本情報や顔画像、生体情報などを記録して、テロ防止・治安対策に役立てようというのがその目的である。

 IC化によるメリット
 このようにICカードはさまざまな分野で幅広く使われ始めているが、IC化のメリットは主に次の4つに集約されるといってもいいだろう。
●認証、識別
 入退室管理やPKIデバイスとしてICカードが使われているように、ICチップ内に個人情報を書き込み、それによって本人認証を行う。
●セキュリティ
 ICカードは従来の磁気カードに比べて、データの不正取得や改ざんが難しいため、安全性からのIC化のニーズは高い。
●データキャリア
 交通カードや電子マネーなど、情報をカードに蓄積して持ち歩くことで、より高い利便性を実現することができる。
●オフライン
 カード内にデータをストックできるので、従来の磁気カードのようなオンラインによるデータ管理の必要が減り、コストダウンが見込める。
 今後は上記4つを複合した多機能なICカードが登場し、一般化していくはずである。つまり、社会生活を営むうえでICカードは必要不可欠なツールになるというわけで、それだけに万が一不正使用された場合の損害は、従来のカードの比ではなくなることが考えられる。
 大切なのはより堅牢なICカード・セキュリティシステムを一刻も早く実現し、増大し続けるニーズに対して、安心と利便性の双方を提供していくことだと思う。もちろん、安全性と利便性のバランスを取るためには、多種多様なICカードの中から目的に見合ったカードを選ぶことも重要だ。
 後編では、ICカードにおけるセキュリティ要件について解説する。