マイナンバーカードの安全性と量子コンピュータによる影響

1.マイナンバーカードの機能

　政府から現行の健康保険証が2024年秋に廃止され、マイナンバーカードと一体化されることが発表されました。また、2024年度の末に一体化される計画だった運転免許証については、一体化時期の前倒しの検討がされているそうです。

図1: 今後の主なマイナンバーカードの計画 (報道をもとに作成)

　便利な機能が増えつつあるマイナンバーカードですが、今回は既に実装されている公的個人認証サービスについて説明をします。
　公的個人認証サービスとは、マイナンバーカードを使ってオンライン上で本人であることを証明し、通信経路でデータ改ざんがされていないことを確認する機能ですが、これを利用することでオンライン上での本人確認(eKYC)をすることができます。現状、オンライン上の本人確認では犯罪収益移転防止法に準じていくつかの方法がありますが、主に身分証明書の撮影とセルフィーをあわせた方式が採用されています。しかし、今回は「身分証明書の撮影＋セルフィー」の方法ではなく、マイナンバーカードを読み取る方法での本人確認の仕組みについてお話します。

2.公的個人認証サービスの仕組み

　マイナンバーカードを使った公的個人認証サービスには2種類の方法があり、それぞれ想定される用途が異なっていますが、どちらもマイナンバーカードに搭載されているICチップ内の秘密鍵を利用した仕組みになっています。

図2: 公的個人認証サービスの種類（総務省 マイナンバーカードと公的個人認証制度の概要を参考に作成)

　署名用電子証明書を使った公的個人認証サービスでは、データの送信者が本人であることと送信データに改ざんがなされていないことをサービス提供者が確認できます。

図3: 署名用電子証明書を使った公的認証サービスの仕組み（総務省 公的個人認証サービス利用のための民間事業者向けガイドラインを参考に作成)

　利用者証明電子証明書を使った公的個人認証サービスでは、ログイン等の際に本人であることをサービス提供者が確認できます。

図4: 利用者証明用電子証明書を使った公的認証サービスの仕組み（総務省 公的個人認証サービス利用のための民間事業者向けガイドラインを参考に作成)

3.量子コンピュータによる暗号アルゴリズムの「危殆化」

　前述したようにマイナンバーカードは2パターンの公的個人認証サービスが利用できますが、どちらもマイナンバーカード内のICチップに格納された秘密鍵を使って暗号化をする仕組みです。秘密鍵はICチップ内に厳重に保管されており不正に持ち出そうとするとICチップ自体が破損する仕組みのため、秘密鍵を盗んで不正使用することは困難です。また、現在の技術では秘密鍵を解読することも難しいとされています。そのため、現時点ではマイナンバーカードによる認証は安全な仕組みと言えるでしょう。
　しかし、暗号化アルゴリズムは技術の進歩によって解読できるようになった過去もあり、現在安全とされている仕組みでもいずれ解読が可能になることが懸念されます。

図5: 暗号アルゴリズムの危殆化の歴史

　将来的に量子コンピュータなどによる計算能力の向上や高速な計算方法の発見などに伴って現在の暗号化アルゴリズムが危殆化した場合、現在のマイナンバーカードの仕組みでは安全ではない可能性があります。
　危殆化の問題に対処するためには鍵のサイズをさらに大きなものに変更することや、格子暗号などの耐量子コンピュータ暗号を備えること等が考えられます。
　また、仮に量子コンピュータにも解読が困難な仕組みが考案できた場合にも鍵のサイズの肥大化による処理時間増加や、現在の方式との後方互換などの課題もあり、対処に残された時間はあまり多くはないでしょう。

4.まとめ

　マイナンバーカードを使った認証は現在の技術では不正に突破することが困難なため、現時点では安全な仕組みであると述べました。

　米国標準技術研究所（NIST）のガイドラインでも、2030年までは現在のマイナンバーカードの鍵のサイズ(2048bit)が利用できるとされており、2030年頃までは安全に利用できる可能性は高いでしょう。

　また、本人確認の手段としてもマイナンバーカード自体の偽造が困難であるため、主流の「身分証明書の撮影＋セルフィー」の方法より安全と言えるでしょう。本人確認を必要とするサービスで、より安全なマイナンバーカードを使った仕組みの本人確認が今後の主流になることを期待します。

神谷 優治
株式会社Dirbato（ディルバート）
コンサルティンググループ　コンサルタント
2019年4月入社。サイバーセキュリティ領域でコンサルティング業務に従事。直近ではFISCガイドラインを活用したセキュリティ要件の検討支援やNISTガイドラインを活用した提案支援を担当。趣味はお散歩と住まいのインテリア。

【参考文献】
Karen EasterbrookEasterbrookKaren. (日付不明). BlueHat v18 || Record now, decrypt later - future quantum computers are a present threat. 参照先: https://www.slideshare.net/MSbluehat/bhv18-record-now-decrypt-later-future-quantum-computers-are-a-present-threat
テレビ朝日. (日付不明). 【独自】マイナカード機能のiPhone搭載　再来年以降. 参照先: テレ朝news: https://news.tv-asahi.co.jp/news_economy/articles/000280672.html
公的個人認証サービス プロファイル仕様書 2.0 版. (日付不明). 参照先: https://www.j-lis.go.jp/data/open/cnt/3/2187/1/13_profile_genkou.pdf
高橋睦美. (日付不明). 量子コンピュータ時代到来後に備え、今から耐量子コンピュータ暗号を開発する理由. 参照先: ITmedia: https://atmarkit.itmedia.co.jp/ait/articles/1902/26/news021.html
総務省. (日付不明). 公的個人認証サービス利用のための民間事業者向けガイドライン . 参照先: https://www.soumu.go.jp/main_content/000400619.pdf?_fsi=Qxxnzaif
東京⼯業⼤学 科学技術創成研究院 未来産業技術研究所/社会情報流通基盤研究センター. (日付不明). 本⼈限定情報開封機能の導⼊に向けて. 参照先: http://asist.ssr.titech.ac.jp/wp-content/uploads/ASIST-SYMPO-2022-4-ASIST-OBI.pdf
独立行政法人情報通信研究機構. (日付不明). 格子暗号の実用化に向けて. 参照先: https://www.nict.go.jp/publication/NICT-News/1303/02.html
日本経済新聞社. (日付不明). マイナ保険証、医療DXの基盤に　免許証も一体化前倒し. 参照先: 日本経済新聞: https://www.nikkei.com/article/DGXZQOUA131P40T11C22A0000000/
日本経済新聞社. (日付不明). 保険証、24年秋にマイナンバーカードと一体化　政府発表. 参照先: 日本経済新聞 電子版: https://www.nikkei.com/article/DGXZQOUA1304R0T11C22A0000000/