NTT 東日本 - IPA 「シン・テレワークシステム」 - マイナンバーカードを用いたユーザー認証機能

「シン・テレワークシステム」の初版を 2020 年 4 月 21 日に公開後、相当に多くのご意見、ご要望が頻繁に寄せられました。いただいたご要望には個別に返信をできない場合もありましたが、開発チームでは、すべての内容を検討し、その大半について、ゴールデンウィークの期間を活用して開発し、ほぼすべてを Beta 5 (2020 年 5 月 14 日公開) で実現いたしました。

ここでは、それらの機能のうち、セキュリティを特に高める「マイナンバーカードを用いたユーザー認証機能」について説明をいたします。

エンタープライズ環境や高セキュリティ環境におけるセキュリティを高める仕組みとして、他にも「シン・テレワークシステム」では新たに二要素認証・ワンタイムパスワード (OTP) 機能、クライアント検疫機能・MAC アドレス認証機能およびエンタープライズ環境用ポリシー規制サーバー機能を実装しました。これらも簡単に組み合わせて利用できますので、是非お使いください。

マイナンバーカードを用いたユーザー認証機能

「シン・テレワークシステム」は、Beta 4 まではパスワード認証と証明書認証のみをサポートしていました。

このたび、さらにセキュアな、「スマートカードを用いたユーザー認証」を必要とするユーザーの方々のために、「マイナンバーカードを用いたユーザー認証機能」を実装しました。

マイナンバーカードは現在普及の傾向にあります。マイナンバーカードは、発行時に、4 桁の PIN コードで保護される「利用者証明用電子証明書」が格納されています (マイナンバーカード所有者が不要の申し出をした場合をのぞく)。マイナンバーカードに対応した IC カードリーダーをすでにお持ちの場合は、この電子証明書を用いたユーザー認証が可能です。

マイナンバーカード内の証明書の秘密鍵は、たとえ所有者本人や発行者であっても抽出することができませんので、これは現段階の技術で利用可能なユーザー認証方法の中でも最も安全なものの 1 つであるということができます。

※ 「シン・テレワークシステム」は無償・無保証の実証実験であり、すべての環境や機器で動作するとは限りません。本機能を利用するために、マイナンバーカードや IC カードリーダーを取得するために費用がかかる場合がありますが、動作しなかった場合でも、自己負担となります。

※ PIN コードを複数回間違えた場合は、マイナンバーカードがロックされます。この場合、市役所窓口でロック解除する必要があります。

マイナンバーカードを用いたユーザー認証機能の使い方

準備するもの

マイナンバーカード 1 枚 (利用者証明用電子証明書が格納されており、ご自分で設定された 4 桁の PIN コードを覚えているもの)
マイナンバーカードを読み取ることができる IC カードリーダ 1 個
最初にサーバー側 (職場側) の PC で証明書を読み出してユーザーに設定する際に 1 回だけ使用します。その後は、クライアント側 (自宅側) で毎回使用します。
地方公共団体情報システム機構公的個人認証ポータルサイトより Windows 版のマイナンバーカード利用者クライアントソフトをダウンロードしてインストールすること

「シン・テレワークシステム」のバージョン

クライアント、サーバーの両方とも、Beta 5 以降である必要があります。

1. サーバー側 (職場側) PC における「高度なユーザー認証機能」を有効にし、マイナンバーカードの「利用者証明用電子証明書」をユーザーに対して登録する (最初の 1 回のみ)

マイナンバーカードを用いたユーザー認証機能を使用するためには、まず、サーバー側で「高度なユーザー認証機能を使用する」を有効にし、ユーザーを作成し、マイナンバーカードの「利用者証明用電子証明書」をユーザーに対して登録する必要があります。

ユーザーを新規作成し、「認証方法」として「固有証明書認証」を選択します。

「証明書の指定」をクリックし、ユーザーに対して固有証明書を設定します。

固有証明書認証は、スマートカードから読み込みます。スマートカードデバイス名として「My Number Card」、製造元として「Japanese Government」を選択します。

スマートカードデバイス名として「My Number Card」、製造元として「Japanese Government」が表示されない場合は、地方公共団体情報システム機構公的個人認証ポータルサイトより Windows 版のマイナンバーカード利用者クライアントソフトをダウンロードしてインストールしてから、再度「シン・テレワークシステム」のプログラムを起動してください。

PIN コードを入力する画面が出ますので、マイナンバーカードの発行時にご自分で指定された「利用者証明用電子証明書の PIN コード (4 桁)」を入力してください。数回間違えると、市役所へ行ってリセットしなければならなくなりますので、十分ご注意ください。

マイナンバーカード内に格納されている証明書ファイルが列挙されます。

「USERCERT」を選択して「OK」をクリックします。この「USERCERT」が、個人用の証明書です。

「CACERT」も格納されていますが、こちらは都道府県知事の証明書です。

「USERCERT」の読み込みに成功したら、ユーザーオブジェクトの「固有証明書」の内容がアップデートされますので、目視で確認して「OK」をクリックします。

これで、職場側 PC (サーバー側) の事前設定は完了しました。

2. クライアント側 (自宅側) PC における操作 (ログインする度に毎回)

クライアント側 (自宅側) PC から、職場側 PC に接続しようとすると、以下のユーザー認証の画面が表示されます。

「スマートカード認証」を選択し、ユーザー名を入力します。

次に、マイナンバーカードのデバイスを選択し、マイナンバーカード内の証明書と秘密鍵を指定します。

初めてサーバーに接続する際には、証明書と秘密鍵の名前を指定しなければなりません (2 回目以降は指定する必要はありません)。

証明書として「USERCERT」、秘密鍵として「USERKEY」を選択します。 ※ 間違って「CACERT」を選択しないようにしてください。

マイナンバーカード内で秘密鍵による RSA 演算が行なわれ、セキュアなユーザー認証が実施されます。

ユーザー認証に成功すると、普段どおりリモートデスクトップが表示されます。

ご注意

上記の仕組みによる「マイナンバーカードを用いたユーザー認証」は、マイナンバーカード内の X.509 (RSA 2048 bit) の証明書を、クライアント側の証明書として、公開鍵認証の仕組みを用いて利用するものです。
上記の方法の場合、クライアント証明書の認証の仕組みには、CA (認証機関) は使用されません。証明書をあらかじめユーザーに対して登録しておき、その証明書の秘密鍵をクライアントが有していることを確認することで認証を行ないます。
したがって、マイナンバーカード内の公的個人認証サービスの証明書の CA (認証機関) に対する失効状態の確認は行なわれません。仮にマイナンバーカードの証明書を失効させていた場合でも、認証は成功します。
通常、「シン・テレワークシステム」のサーバーを使用するときは、ユーザーは自分 1 名のために自らユーザー認証を行なう設定を実施し、その際にパスワードの代わりにマイナンバーカード内の証明書を用いた公開鍵認証を行ないますので、上記のように、CA (認証機関) を使用しないことで失効情報の確認を行なわないモデルは、セキュリティ上特段の問題は無いと考えられます。(サーバー側もクライアント側も自分自身が使用している限り問題は発生しません。)
ただし、マイナンバーカードが盗まれ、また、PIN コードも知られてしまった場合は、仮にマイナンバーカードの証明書を失効させていても、そのマイナンバーカードを持つ第三者は、ユーザーに代わってユーザー認証を成功させることができてしまいます。
また、上記と同じ理由により、上記の仕組み (固有証明書認証) の場合は、ユーザーと証明書が 1 対 1 で事前登録されているモデルであることから、ユーザーの証明書の有効期限 (notAfter) はチェックされません。ユーザーの証明書の有効期限にかかわらず、クライアント側が正しい証明書を提示し、秘密鍵を用いた演算を行なうことができることを証明した場合は、ユーザー認証が完了します。したがって、有効期限が切れたマイナンバーカード内の証明書を用いて引き続きユーザー認証を行なうことが可能です。

その他のエンタープライズ環境や高セキュリティ環境におけるセキュリティ機能

エンタープライズ環境や高セキュリティ環境におけるセキュリティを高める仕組みとして、他にも「シン・テレワークシステム」では新たに二要素認証・ワンタイムパスワード (OTP) 機能、クライアント検疫機能・MAC アドレス認証機能およびエンタープライズ環境用ポリシー規制サーバー機能を実装しました。これらも簡単に組み合わせて利用できますので、是非お使いください。