電子IDカードと標準規格の活用を目指す新団体発足

　Equifax、Google、Microsoft、Oracle、PayPalなどの企業と、テクノロジ業界で主導的立場にある9人が米国時間6月23日、Information Card Foundation（ICF）の設立を発表した。ICFの目的は、インターネットでの電子IDカード使用に対する認識を広め、新しい標準規格の活用によるビジネスの相互運用性を高めることだ。

　「このテクノロジの採用を促すため、われわれは互いに協力し合って中立機関を設立する必要があった」と、Parity Communicationsの最高経営責任者（CEO）でICFの理事長を務めるPaul Trevithick氏は語った。

　情報カードとは、運転免許証などの物理的なIDカードのオンライン版で、電子サイフにさまざまな情報カードの機能を持たせるというのが基本的な考え方だ。そのため、カードの利用者はユーザー名とパスワードを入力しなくても済むようになる。たとえば、学生が大学のネットワークにアクセスするのに、自分の電子学生情報カードを提示するだけで済むといった具合だ。

　こうした基本コンセプトは目新しいものではない。すでに、さまざまなベンダーがいろいろな種類のカードを発表している。最近では、Microsoftが、「Windows Vista」OSに「Windows CardSpace」という独自のコンセプトを導入した。

　しかし、「ユーザー名もパスワードもまだたくさんある」と、MicrosoftのIDおよびアクセス担当アーキテクト、Kim Cameron氏は言う。「あらゆるところで、フォームに入力してログインするというデジタルの洗礼儀式を通過しなければならない。また、このことがフィッシング攻撃などの犯罪にとって最適な環境を作り出している。インターネット上では相手が犬であっても誰も気づかないのだから」とCameron氏は話した。

　これを変えるべくICFが導入したいと考えているのが、3重構成のシステムだ。ユーザーは、IDの提供元（銀行やクレジットカード発行会社など）と、利用先サイト（大学のネットワーク、金融機関のサイト、オンラインショッピングサイトなど）とに、リアルタイムに同期する暗号化接続を利用する。インターネットで誰もがいつでも利用できるクレジットカードの番号とは異なり、ICFが推奨するIDカードモデルでは、3者（ユーザー、ID提供元、および利用先サイト）がリアルタイムで同期しなければ、処理を進めることはできない。信頼できる第三者機関をこのリアルタイム処理に加えることで、新しい規格の安全性はさらに高まる。

　Trevithick氏によれば、4月に開催された情報セキュリティイベントRSA Conference 2008では、およそ50社が論議に参加したという。また、今後2008年中に行われるいくつかのセキュリティイベントでも、会合を開く予定になっている。その狙いは、このIDカードの枠組みに参加するプレーヤーをできるだけ多く集めることだ。現在ICFの舵取りを行っているのは、Trevithick氏とCameron氏のほか、Drummond Reed氏（Parity Communicationsのインフラストラクチャ担当副社長）、Mary Ruddy氏（Meristicの創設者）、Axel Nennker氏（T-Systems Enterprise Servicesのコンサルタント）、Pamela Dingle氏（Nulli Secundusのコンサルタント）、Ben Laurie氏（OpenSSLの主要メンバーでThe Bunkerのセキュリティ担当ディレクター）、Andrew Hodgkinson氏（組み込みソフトウェアの技術コンサルタント兼コントラクター）、それにPatrick Harding氏（Ping Identityの最高技術責任者（CTO））だ。

　なお、ICFのサイトは24日に正式公開される。