高木浩光＠自宅の日記

■ ICカードによる認証とは何なのか

阪神北部TIKIカードのサービスが31日で終了するとのこと。

「TIKIの紹介」によると、

「ＩＣカードの普及等によるＩＴ装備都市研究事業」はＩＴを強力に推進するため、住民が個人の情報を安全確実に管理・利用することを可能とする重要なキーデバイスであるＩＣカードシステムを中心とした情報システムを地域に導入し、効果を検証することを目的としています。

とある。ICカードは何やら強固な認証を提供してくれるものと読めるし、ICカードというのはそういうものだと日ごろから耳にしている。

ところが、認証の画面に行ってみると、ActiveXコントロールのインストールがあった後、以下の画面が現れる。

「TIKIカードIDとパスワードを入力してください」とあり、「TIKIカードID」を手で入力できる欄がある。そしてその横に、「→CARD」と書かれたボタンがある。なんだろうか、これは。

このHTMLのソースを見てみると、この「→CARD」ボタンを押したときの動作は次のように書かれている。

    IccRw.MSG = "〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓";
    IccRw.Action();
    if (IccRw.RET == -1) {
        alert("キャンセルしました。");
    } else {
        document.form1.TIKI_ID.value = IccRw.VAL;
        document.form1.PASSWORD.focus();
    }
...
<input type="text" name="TIKI_ID" size="26" maxlength="20">

つまり、このボタンを押すと、ICカードからTIKIカードIDを読み出して、入力フォームの「TIKIカードID」入力欄にその番号を挿入するだけのようだ。あとは、ユーザがパスワードを手入力して「開始」ボタンを押すわけだ。

つまり、このICカードは、ここではただ単に、ID番号の手入力の手間を省くためだけに存在しているにすぎない。これは、人々が安全性について「ICカード」から連想するものと一致しているだろうか。

（他にも気になる点があるが、事実かどうか確認できていない。）