ソリューション概要
HPE IceWall技術レポート:xID(マイナンバーカード認証)サービスとIceWall MFAの連携
目次
1. はじめに
1.1 本レポートの目的
IceWall MFAは、テクノロジーパートナー各社が提供する認証方式の仕様に基づいてプラグインを開発することで、様々な認証方式と連携できます。
本レポートでは、マイナンバーカードを利用したxID認証サービスとIceWall MFAの連携について記載します。
1.2 マイナンバーカード認証活用の利点
マイナンバーカードを活用した認証は、「本人確認済み」の高い信頼性を持つデジタル認証基盤として注目されています。
ID・パスワードに依存した従来の認証方式と比較して、なりすましや不正ログインのリスクを低減できるほか、フィッシング耐性の高い認証を実現できます。
また、オンライン行政手続等におけるデジタル庁のセキュリティガイドラインにおいて、本人確認やアカウント回復の確実な手段として位置づけられており[^1]、さらに当人認証の選定候補としても位置づけられています[^2]。
2. xID認証サービスとは
2.1 xIDの概要
xID(クロスアイディ)は、マイナンバーカードを活用したデジタルID・本人確認サービスです。
スマートフォンアプリ「xID」を通じて、公的個人認証サービス(JPKI)による本人確認を行い、オンライン上で安全かつ信頼性の高い認証を実現します。
xIDはOpenID Connect(OIDC)に準拠した認証認可APIを提供しており、Webサービスや業務システムに対してマイナンバーカード認証を組み込むことが可能です。
また、スマートフォンアプリによる直感的なUXを提供することで、ユーザー・事業者双方にとって導入しやすい認証サービスを実現しています。
さらに、本人確認情報取得API(UserData)や電子証明書の有効性確認API(Re:Verification)などを提供しており、認証だけでなく、本人確認や証明書状態の確認を含めた高度なセキュリティ要件にも対応できます。
3. IceWall MFAとxID認証サービスの連携
3.1 ソリューション概要
多要素認証とシングルサインオンを実現するIceWall MFAを、xIDのマイナンバーカード認証と連携させれば、Webアプリケーションやクラウドサービスを改修せずにマイナンバーカード認証を導入できます。
3.2 システム構成
xID連携は、IceWall MFA OIDC 認証オプションを用いてxIDのOIDC認証フローと統合します。モジュール構成は下図の通りです。
3.3 処理フロー
① ユーザーがブラウザからWebアプリケーションにアクセスすると、IceWall MFAは未認証状態を検知してxID認証を開始します。OIDC認証オプション(RPプラグイン)がxIDのOIDC OP(Authorization Endpoint)へユーザーをリダイレクトします。
② xIDの認可画面が表示されます。ユーザーがメールアドレスを入力すると、xIDアプリにプッシュ通知が届きます。PCからの利用時は、ブラウザに表示される確認コードとxIDアプリ上の確認コードを照合するステップが加わります。
③ ユーザーはスマートフォンのxIDアプリを開き、xIDのPIN(暗証番号)を入力します。
④ 認証に成功すると、xIDはIceWall MFAのコールバックURLへリダイレクトします。
⑤ OIDC認証オプション(RPプラグイン)は受け取った認証コードをxIDのOIDC OP(Token Endpoint)に送信し、ID TokenとAccess Tokenを取得します。
⑥ OIDC認証オプション(RPプラグイン)はID Tokenからクレームsubを抽出し、DBサーバー(PostgreSQL)上の認証データベースのユーザーにマッピングします。認証が完了するとセッションが発行され、ユーザーはWebアプリケーションにアクセスできるようになります。
3.4 OIDC 認証オプションの認証モード
IceWall MFAのOIDC認証オプションでは、利用形態に応じて複数の認証モードを選択できます。xID認証においても、以下の3つの認証モードについて動作することを確認しました。
TEMP_USERモード(ID識別認証)
IceWall MFAの認証データベースにユーザーを事前登録せずに利用できるモードです。外部の認証サービスから返されるユーザー識別子(sub値)がそのままセッションのユーザーIDになるため、「誰がアクセスしてくるか事前にわからない」一般消費者向けサービスなどに向いています。
xID連携では、xID認証が成功するとxIDから返されるsub値でセッションが作成されます。ユーザー登録の手間なく、xIDで認証できた人にそのままサービスを提供できます。
DB_USER+ニックネームモード(ID識別認証)
外部の認証サービスから返されるユーザー識別子(sub値)と、組織内で管理しているユーザーID(例:user01)をあらかじめ紐付けておくモードです。外部の認証手段を使いつつ、社内システムでは従来のユーザーIDでアクセス制御を行いたいケースに適しています。
xID連携では、認証データベースにxIDのsub値を事前登録しておくことで、xID認証後に対応する社内ユーザーIDでセッションが作成されます。
追加認証モード
パスワード認証など既存の認証方式の後に、追加の認証要素を挟むモードです。既存の仕組みを残したまま認証要素を上乗せできるため、段階的なセキュリティ強化に向いています。TEMP_USERモード・DB_USERモードいずれとも組み合わせられます。
xID連携では、たとえばパスワード認証の後にxID認証を求める二要素認証の構成が実現できます。
4. 動作イメージ
xID連携プラグインによるマイナンバーカード認証の画面遷移を示します。
手順0: xIDアプリ初期セットアップ
xID認証を利用するには、あらかじめスマートフォンにxIDアプリをインストールし、マイナンバーカードを読み取ってアカウントを作成しておく必要があります。以下にセットアップの流れを示します。
1. スマートフォン(iOS/Android)でxIDアプリをインストールします。
2. アプリを起動し「作成する」をタップします。利用規約・プライバシーポリシーを確認の上、それぞれ「同意する」をタップします。
3. 「次に進む」をタップし、マイナンバーカードの署名用パスワードを入力します。署名用パスワードは5回連続で間違えるとロックされるため注意が必要です。
4. マイナンバーカードにスマートフォンをかざして読み取りを行います。読み取り完了後、利用規約を確認の上「同意する」をタップします。
5. xID専用のPIN(4〜12桁)を決めて入力します。このPINはxIDアプリ専用であり、スマートフォンやマイナンバーカードの暗証番号とは異なります。Face IDをPINの代わりに使用する設定も可能です(設定ON推奨)。
6. メールアドレスを入力し、届いた確認メール内の「メールアドレス確認」をタップして認証を完了します。最後に通知の許可を選択し(認証時にプッシュ通知を受け取るため許可推奨)、「利用開始する」をタップするとセットアップは完了です。
手順1: アプリケーションへのアクセス
ユーザーがブラウザからIceWallで保護されたWebアプリケーションのURLにアクセスすると、IceWall MFAが未認証状態を検知し、xIDの認可画面へリダイレクトします。
手順2: xIDアプリでの認証
xIDアプリにプッシュ通知が届きます。PCでの利用時は、ブラウザに確認コードが表示されるので、xIDアプリ上で正しい確認コードを選択します。続けて、xIDのPIN(暗証番号)を入力して本人確認を行います。
手順3: 認証完了とアプリケーション画面の表示
xID認証が成功するとIceWall MFAにリダイレクトされ、セッションが発行されます。ログイン完了後、Webアプリケーションの画面が表示されます。
5. xIDの他APIを使うことで可能になる拡張
xIDは認証認可API(OIDC)に加えて、マイナンバーカードの公的個人認証基盤(JPKI)を活用したAPIを提供しています。IceWall MFAと組み合わせることで、認証だけでなく本人確認や電子証明書の有効性確認までカバーした構成が可能になります。
5.1 本人確認API(UserData)
本人確認APIは、xIDのUserDataエンドポイントを通じて、認証済みユーザーの個人情報を暗号化された状態で取得するAPIです。
OIDC認証フローで取得したアクセストークンを用いてUserDataエンドポイントにリクエストすると、氏名・生年月日・住所・性別などの情報がクライアント公開鍵で暗号化されて返却されます。クライアント側で秘密鍵を使って復号することで、マイナンバーカードに記録された本人情報を取り出せます。
IceWall MFA RPプラグインの設定でUSERINFO_ENABLEDを有効にすると、認証フローの中でUserInfoエンドポイントからsub(ユーザー識別子)を取得し、セッションに紐付けることができます。さらにバックエンドアプリケーションからUserDataエンドポイントを呼び出せば、認証済みユーザーの本人確認情報を業務処理に活用できます。
5.2 本人確認情報更新API(Re:Verification)
本人確認情報更新APIは、ユーザーのマイナンバーカードの電子証明書が現時点で有効かどうかをJ-LIS(地方公共団体情報システム機構)に照会して確認するAPIです。
OIDC認証だけではxIDアプリのPINや生体認証による本人確認にとどまり、マイナンバーカードの署名用電子証明書の失効や有効期限切れは検出できません。本人確認情報更新APIを併用することで、電子証明書が失効していないかをリアルタイムに検証でき、より厳密なマイナンバーカード認証を実現できます。
処理の流れは以下の通りです。バックエンドアプリケーションが、IceWall MFAのセッションに保存されたアクセストークンを使ってRe:Verificationエンドポイントにリクエストを送信します。xIDサーバーはJ-LISに署名用電子証明書の失効情報を照会し、結果をステータスとして返します。
電子証明書が最新の場合はユーザー操作なしで即座に結果が返り、サービスを継続利用できます。証明書に変更がある場合は、xIDアプリにプッシュ通知が送られ、ユーザーがマイナンバーカードを再度読み取ることで情報が更新されます。
今回のPoC検証では、IceWall MFAによるOIDC認証の完了後、バックエンドのCGIアプリケーションからRe:Verification APIを自動的に呼び出す構成の検証を実施しました。これにより、ユーザーがWebアプリケーションにアクセスするたびに電子証明書の有効性が確認され、失効済みの証明書によるアクセスを防止できる構成であることを確認しました。
6. まとめ
マイナンバーカードを活用した本人確認・認証サービスであるxIDとIceWall MFAの連携について記載しました。
IceWall MFAのOIDC認証オプション(RPプラグイン)により、xIDが提供するOpenID Connectベースの認証フローと連携でき、Webアプリケーション側の改修なしにマイナンバーカード認証を導入できます。
今回の検証では、ID識別認証としてTEMP_USERモードとDB_USER+ニックネームモード、追加認証としてパスワード認証+xID認証の組み合わせ、さらにUserInfoエンドポイントからの情報取得を含む複数の認証パターンで正常動作を確認しました。
マイナンバーカードの普及に伴い、公的個人認証を活用した認証基盤の需要は今後も広がっていくと見込まれます。IceWall MFAのプラグインアーキテクチャを活かすことで、お客様のセキュリティ要件に合わせたxID連携の構成が可能です。
*本レポートの構成は一例であり、実際の導入にあたっては、ご要件の詳細や既存環境に応じて実装検討を承ります。
[^1]: デジタル庁 「行政手続等での本人確認における デジタルアイデンティティの取扱い に関するガイドライン(DS-511)」
[^2]: デジタル庁 「行政手続等での本人確認における デジタルアイデンティティの取扱い に関するガイドライン 解説書(DS-512)」
xIDは、xID株式会社の商標または登録商標です。
マイナンバーカードは、地方公共団体情報システム機構(J-LIS)が発行する個人番号カードの通称です。
2026.6.26 新規掲載
執筆者: xID株式会社
日本ヒューレット・パッカード合同会社
プロフェッショナルサービス統括本部 IceWall本部 認証コンサルティング部 関邨 賢人
参考リンク:
お問い合わせ:
a50015696jpn