【新企画】
昨年から本格的に始動したエレクトロニックコマースだが、昨年まではそのほとんどが実験的に行なわれるもので、実際に使える所は少なかった。しかし今年になってようやく私たちにも利用できるものが増えてきた。一口にエレクトロニックコマースや電子決済と言っても、クレジットカードを使った支払いから、カラオケを一曲歌ったときにわずかな金額を支払うといったような使い方まで幅広い。今回から始まるこのシリーズでは、WWWサイトのセキュリティの信頼性や「本当にお金を払ってまで使う価値があるの?」といった不安要素を検証し、さまざまな支払い方法(決済技術)を体験レポートする。
第1回目は「TSM(トッパン・セキュア・モール)」。凸版印刷で2年半運営しているCyber Publishing Japanの中から派生して電子商取引専門のサイトとして独立したものだ。TSMでは基本的技術としてSSLと呼ばれる方法を利用して、実用レベルで日本で唯一の「店と利用者の相互認証」を実現している。
インターネットでショッピングをしたことがある人なら、WWWブラウザーのウインドウ隅にある「鍵」がつながった状態を見かけたことがあるだろう。知らず知らずに使っているこれがSSLだ。そもそもSSLには相互認証の機能はあるのだが、通常よく使われているのは片側(店側)だけの認証で、相互の認証ではない。この場合、ユーザーにとっては店が確認できるので安心だが、店側は本当に注文した人がその人かどうか分からないといった状態だ。
今回ご紹介するTSMの場合、簡単に言えばお互いの身分証明書を見せている感じだろうか。この方法ならそれぞれ相手の確認ができて、安心して買い物ができるというわけだ。この身分証明書に当たるのが電子証明書と呼ばれるもので、一度証明書をもらえば一定期間、証明書を使って買い物をすることができる。けれど電子証明書自体が不正に発行されては全く意味が無いから、TSMでは利用者の住んでいる住所が正しいか、そしてクレジットカードの与信調査によって支払能力があるかの2点を確認している。その上で認証局を利用して、ネットワーク上の身分証明書にあたる電子証明書を発行する。
SSLは認証と同時に取引内容が盗聴されないように暗号化も行なっている。このSSLを使うためにはSSL対応のブラウザーが必要だが、Netscape NavigaterやInternet ExplorerがSSLに対応しているのでほとんどの人が利用できるだろう。実際にSSLが機能しているかどうかは、Netscape Navigater 3.0では左下の鍵をみれば一目瞭然だ。SSLが機能していない時(通常時)は鍵が壊れているし、正しく機能している時は鍵が壊れていない。またInternet Explorer 3.0では、SSLが機能すると、ウィンドウの左下に今まで無かった鍵が表示される。SSLは利用者の安全性と通信内容の暗号化による為のスピード低下に配慮するため、公開暗号技術、秘密鍵暗号技術、認証技術の複合した技術を使っている。このような複雑なしくみを使って、クレジットカードで買うような商品をより安全にインターネット上で購入できるようになっている。ここまで分かったところで、さっそくTSMに入会してみよう。
入会手順の大まかな流れ
まずはTSMのWWWサイトへアクセスしてみよう。WWWサイトのアドレスが普通とは違いhttps://となっているので注意!。さっそくSSLが使われているため、警告メッセージが表示されるかもしれない。今後も何度か同じ表示がされるが特に気にしなくても大丈夫。SSLモードになったかどうかは画面左端の鍵がちゃんと表示されているかどうかでわかる。WWW上のフォームに従って氏名、住所等の連絡先及び簡単なアンケートを答えると、後から入会申込書が郵送されてくる。
申込書に連絡先、メールアドレス、引き落とし先クレジットカードなどの必要事項を記入し、TSM運営事務局へ返送する。返送してから2日後に、電子メールで会員登録完了通知が届いた。電子メールには会員番号だけ記載されていて、パスワードは別途郵送で通知されるとのこと。このあたりは面倒くさいなあという感じがする。
電子メールが到着後から更に3日後。郵送で会員登録完了通知がやってきた。こちらにはパスワードと今後の作業方法が書かれており、会員番号は記載されていない。郵便と電子メールの両方の会員登録がそろった時に初めて利用できる点は、安全性に気を配っていると感じられる。おそらくこれで本人がそこに本当に住んでいることを確認しているのだろう。
郵送されてきた会員登録通知の指示の通りに、WWWにアクセスしてみる。電子証明書使用条件を良く読むと、電子証明書の有効期限が1997年9月30日となっていて、どうやら期限が過ぎたらもう一度取り直す必要があるらしい。確か期間は1年間のはずだったのに…と思いながら進めていくと、次にWWWブラウザーの選択画面が出る。利用条件でNetscape Navigator 3.0のみとなっていたのを思い出し、期間が短縮されている件と併せて凸版に問い合わせてみることにした。それによると、「5月からInternet Explorerにも対応します」とのこと(だったら表示しなければいいのに!)。また期間については、「電子証明書がまだ完全ではないので、再度発行し直すために期限が短くなっている」という返事だった。
さて、いよいよ電子証明書生成の中核だ。まず会員IDとパスワードの入力画面が表示されるので、電子メールで送られてきた会員IDと、郵送されてきたパスワードを入力する。すると電子証明書用のパスワードを聞かれた後、30秒位で利用者自身の公開鍵と秘密鍵が作成され、同時にベリサインのDigital ID Centerへ公開鍵の登録および電子証明書発行申請手続きが行なわれる。ちなみに一度この作業を行なうと、2度と同じ作業はできない。もし間違えて電子証明書自体を消してしまったときは、ベリサインのDigital ID CenterよりWWWブラウザーにダウンロードすることができる。
ベリサインのDigital ID Centerへ公開鍵の登録手続きが終わると、電子証明書発行に必要な個人識別番号(PIN)が電子メールで通知される。このとき届いた電子メールのサブジェクトに「bata」や個人名の部分に「TEST」といった文字が印刷されていたのが気になったので、またまた凸版に問い合わせてみる。「仮の電子証明書だからTESTの文字が付いている」と説明を受けた。とりあえず問題ないらしいので、電子メールに指示されているとおりWWWサイトにアクセスし、送られてきたPINを入力してみる。このとき重要なのは、必ず電子証明書発行申請を行なったマシンで作業すること。そうでないと登録した公開鍵と自分がもっている秘密鍵が合わず、うまくいかない。
作業が無事完了するとNetscape 3.0のメニュー「Options-Security Preferences-Personal Certificates」の中にToppan Printing Co.,LTDと書かれた項目が増えている。これがようやく取得できた証明書だ。
入会を思い立って入会申込書を依頼してから、実際に利用できるようになるまで2週間以上かかった。実際使えるようになるまでは、今の段階でははっきり言って時間がかかるし手間もかかる。作業の流れやどの程度の時間がかかるかといったような見当がつけられないし、電子証明書や公開鍵、秘密鍵といったような専門的な用語が飛び交うから、初めての人には何のことやらちんぷんかんぷんで、やってる作業自体が正しいかどうかが分かりづらいだろう。
TSMを利用するための設定は、「1会員につき1台のコンピュータ」でしかできないということ。できれば会社と自宅など複数のマシンで利用したいのだが、現状では無理とのことだった。なお、現在は認証局自体のプログラムが完成されておらず、暫定的なシステムで電子証明書を発行しているので、有効期限が短くなっている。このあたりの説明も事前にあってほしいところだ。
それでは、できたての電子証明書を使って商品を購入してみよう。
購入手順の大まかな流れ
TSMにアクセスして欲しい商品を探してみよう。とはいっても、お茶の「松坂屋」とコンピュータ書籍の「トッパン」の2店舗しかない。とりあえず松坂屋からお茶を買ってみることにする。しかし、見てみると商品の名前が18個並んでいるだけで、商品名をクリックしなければ、実際の商品写真や説明、値段が分からないところはちょっと不便だ。
さて買いたいモノが見つかったら「ショッピングバッグに入れる」ボタンを押す。するとどの電子証明書を使用するかを選択する画面と、WWWブラウザーのパスワードを入力する画面が表示される(ブラウザーを立ち上げなおした時は毎回)ので、トッパンの電子証明書を選択する。さらに買い物を続けるときは、買いたいものを選んで「ショッピングバッグに入れる」を繰り返す。
買う物をすべて選び終わったら、商品発送情報を入力する画面へ移る。
ここでは再度利用者を確認するためにTSMの会員IDとパスワードが聞かれる。そうして利用者が確認できた段階で再度購入商品の最終確認が行なわれ、この時点で「申込書確認」ボタンを押すと購入が確定される。キャンセルは効かない。よく確認してから先へ進もう。
さて、試しているうちに偶然わかったことがある。一度申込用紙を表示してから間違いに気付いて商品を変更した。しかし「やっぱり前のままでいいや」と思いなおし、WWWブラウザーの前画面を使って変更前の申込用紙を表示させて「申込書確認」ボタンを押したら、申込商品の確認をせよと警告メッセージが表示された。このあたりはしっかりチェックがかかっていてさすがだなと思った。
きちんと申込ができると申込番号が表示されて処理が完了。メールでも同様の確認メールがくる。申込内容を確認するにはWWW上の購入履歴で見られる。ちなみに商品は3日後、郵便局よりお茶が届いた。星の村八女茶は少々高いが、香りも良くおいしくいただいた。
商品を一度ショッピングバッグに入れておいて、購入せずに途中で止めた場合、コンピュータの電源を切っても再度アクセスするとショッピングバッグの中の商品はしっかり残ったままになっている。ブラウザーの操作をチェックしている点は、セキュリティーの高さがうかがえる。
一方で操作方法だが、商品を削除する場合は0を入力して削除を行なうなど、分かりづらい点がいくつかある。配送先を自宅以外にも指定することができるので、せっかくなら包装の種類や表書きなども指定できれば便利かなと思った。また、商品の数が少なく、買い物の楽しみがないのが残念だ。
入会をして電子証明書を取るまで時間がかかる点と、若干分かりづらいところがある点が気になった。実際に買い物する時は画面や操作などにもう一工夫ほしいところであるが、操作ミスに対しての処置がされているので安心して買える印象をもった。一番の問題は購入できる商品だろう。売っているものがどこでも買える商品では、入会金を払ってまで買う人がどれほどいるか疑問だ。商品に関しては今後増える予定があるということなので期待したい。またTSMでは入会時に会員番号やパスワードを別々の方法で送付してくる点や、電子証明書ではベリサイン社のクラス2パブリック証明書の基準を満たしていることから、日本で実現されているモールの中ではかなり安全だと言えるだろう。
入会条件:
費用:1,019円/年
利用開始までの時間:17日間(97/03/19~97/04/05)
プラットフォーム:Macintosh、Windows95などNetscape Navigator 3.0が利用出来る環境
利用技術:ベリサイン、SSL(RSA)
代金支払方法:後払い、カード引き落とし
安全性:SSLや郵送、電子メールが適宜利用されていた。特に会員IDとパスワードを別々の方法で送付してきている。
評価基準(三段階評価)
設定の簡便 :★☆☆
安全性の配慮:★★★
利用金額 :★★☆
日本VeriSign社
https://www.verisign.co.jp/
SSLでのセキュアなWWW通信の解説図
https://www.verisign.co.jp/did/SSL/how-to-ssl.html
インターネットコマースとオンライン認証
http://www.k-isit.or.jp/~tonton/OAWG/authentication/
SSL(Secure Sockets Layer)
http://robin.sl.cae.ntt.jp/~motoda/SSL/
('97/5/9)
[Reported by Watcher小林]