WO2021106381A1

WO2021106381A1 - 情報処理装置及び情報処理方法、認証装置及び認証方法、認証システム、認証システムにおける認証方法、並びにコンピュータプログラム

Info

Publication number: WO2021106381A1
Application number: PCT/JP2020/038052
Authority: WO
Inventors: 敬太郎渡邊
Original assignee: フェリカネットワークス株式会社
Priority date: 2019-11-29
Filing date: 2020-10-07
Publication date: 2021-06-03
Also published as: EP4068124A1; US20230043031A1; JPWO2021106381A1; EP4068124A4

Abstract

多要素及び多段階認証の手続きを行う情報処理装置を提供する。　情報処理装置は、耐タンパ性のあるセキュアエレメントを用いて外部装置に対する認証手続きを行う認証手続き処理部と、前記認証手続きを含む前記外部装置に対する多段階認証のための処理を制御する制御部を具備する。前記制御部は、前記ユーザアカウント情報に紐付けされた前記セキュアエレメントの識別情報を利用した第２の認証手続きの処理を制御する。前記制御部は、前記ログイン認証手続きにおける操作の中で前記第２の認証手続きの実施を制御する。

Description

情報処理装置及び情報処理方法、認証装置及び認証方法、認証システム、認証システムにおける認証方法、並びにコンピュータプログラム

　本明細書で開示する技術（以下、「本開示」とする）は、認証手続きを行う情報処理装置及び情報処理方法、セキュアエレメントの認証処理を行う認証装置及び認証方法、認証装置が情報端末の認証を行う認証システム、認証システムにおける認証方法、並びにコンピュータプログラムに関する。

　ネットショッピングの決済を行うなどのさまざまなシーンで、クラウド上のバリューや個人を特定する行為（ログイン）において、ユーザＩＤとパスワードなどからなるユーザアカウント情報を用いたユーザ認証を行うことが一般的である。また、パスワードの総当たり攻撃などによってユーザ認証が破られるセキュリティリスクがあることから、最近では、ユーザＩＤとパスワードの以外の要素を加えた多要素認証や、同じ要素又は異なる要素を用いて複数回の認証を行う多段階認証が導入されている。

　例えば、ＩＤ及びパスワードを用いた１段階目の認証部と、利用者毎に定められた２段階目の認証方式を判別して２段階目の認証を実行する利用者別２段階目認証部を備えた個別複数段階認証方法及びそのシステムが提案されている（特許文献１を参照のこと）。

特開２０１０－６７１８４号公報

　本開示の目的は、多要素及び多段階認証の手続きを行う情報処理装置及び情報処理方法、多要素及び多段階認証を行う認証装置及び認証方法、認証装置が情報端末の多要素及び多段階認証を行う認証システム、認証システムにおける認証方法、並びにコンピュータプログラムを提供することにある。

　本開示の第１の側面は、
　耐タンパ性のあるセキュアエレメントを用いて外部装置に対する認証手続きを行う認証手続き処理部と、
　前記認証手続きを含む前記外部装置に対する多段階認証のための処理を制御する制御部と、
を具備する情報処理装置である。

　前記制御部は、ユーザアカウント情報を用いたログイン認証手続きと前記セキュアエレメントを用いた認証手続きを含む多段階認証のための処理を制御する。また、前記制御部は、前記ユーザアカウント情報に紐付けされた前記セキュアエレメントの識別情報を利用した第２の認証手続きの処理を制御する。前記制御部は、前記ログイン認証手続きにおける操作の中で前記第２の認証手続きを実施するように制御する。

　前記制御部は、前記第２の認証手続きの処理において、事前の運用により前記ユーザアカウント情報に紐付けされた前記セキュアエレメントの識別情報を利用する。あるいは、前記制御部は、前記第２の認証手続きの前に、前記ユーザアカウント情報と前記セキュアエレメントの識別情報の紐付けする処理を実施するように制御する。

　また、本開示の第２の側面は、
　ユーザアカウント情報を用いたログイン認証手続きとの組み合わせで、耐タンパ性のあるセキュアエレメントを用いて外部装置に対する認証手続きを行うステップを有する、
情報処理方法である。

　本開示の第３の側面は、
　耐タンパ性のあるセキュアエレメントを用いて外部装置に対する認証手続きを行う認証手続き処理部、
　前記認証手続きを含む前記外部装置に対する多段階認証のための処理を制御する制御部、
としてコンピュータを機能させるようにコンピュータ可読形式で記述されたコンピュータプログラムである。

　第３の側面に係るコンピュータプログラムは、コンピュータ上で所定の処理を実現するようにコンピュータ可読形式で記述されたコンピュータプログラムを定義したものである。換言すれば、第３の側面に係るコンピュータプログラムをコンピュータにインストールすることによって、コンピュータ上では協働的作用が発揮され、第１の側面に係る情報処理装置と同様の作用効果を得ることができる。

　また、本開示の第４の側面は、
　第１の装置にログインするユーザのセキュアエレメントを認証する認証部と、
　前記認証に成功した前記セキュアエレメントの識別情報と前記ユーザのユーザアカウント情報との紐付けを確認する確認部と、
を具備する認証装置である。

　前記セキュアエレメントの識別情報と前記ユーザのユーザアカウント情報との紐付けを確認できたときに、ユーザの前記第１の装置へのログインを許可する。

　前記確認部は、ユーザのユーザアカウント情報とセキュアエレメントの識別情報の紐付け情報を記憶する管理装置に基づいて前記確認を行う。第４の側面に係る認証装置は、前記第１の装置にログインするユーザのユーザアカウント情報とそのユーザのセキュアエレメントの識別情報の紐付け情報を前記管理装置に登録する登録部をさらに備えていてもよい。

　また、本開示の第５の側面は、
　第１の装置にログインするユーザのセキュアエレメントを認証する認証ステップと、
　前記認証に成功した前記セキュアエレメントの識別情報と前記ユーザのユーザアカウント情報との紐付けを確認する確認ステップと、
を有する認証方法である。

　また、本開示の第６の側面は、
　第１の装置にログインするユーザのセキュアエレメントを認証する認証部、
　前記認証に成功した前記セキュアエレメントの識別情報と前記ユーザのユーザアカウント情報との紐付けを確認する確認部、
としてコンピュータを機能させるようにコンピュータ可読形式で記述されたコンピュータプログラムである。

　第６の側面に係るコンピュータプログラムは、コンピュータ上で所定の処理を実現するようにコンピュータ可読形式で記述されたコンピュータプログラムを定義したものである。換言すれば、第６の側面に係るコンピュータプログラムをコンピュータにインストールすることによって、コンピュータ上では協働的作用が発揮され、第４の側面に係る認証装置と同様の作用効果を得ることができる。

　また、本開示の第７の側面は、
　耐タンパ性のあるセキュアエレメントを所有するユーザの情報端末と、
　前記ユーザを認証する認証装置と、
を具備し、前記認証装置は、前記ユーザが第１の装置にログインするときに、前記セキュアエレメントの認証と、前記セキュアエレメントと前記ユーザのユーザアカウント情報との紐付けを確認する、
認証システムである。

　但し、ここで言う「システム」とは、複数の装置（又は特定の機能を実現する機能モジュール）が論理的に集合した物のことを言い、各装置や機能モジュールが単一の筐体内にあるか否かは特に問わない。

　また、本開示の第８の側面は、
　耐タンパ性のあるセキュアエレメントを所有するユーザの情報端末と前記ユーザを認証する認証装置を備えた認証システムにおける認証方法であって、
　前記認証装置が、第１の装置にログインするユーザのセキュアエレメントを認証する認証ステップと、
　前記認証装置が、前記認証に成功した前記セキュアエレメントの識別情報と前記ユーザのユーザアカウント情報との紐付けを確認する確認ステップと、
を有する認証方法である。

　本開示によれば、セキュアエレメントを用いて多要素及び多段階認証の手続きを行う情報処理装置及び情報処理方法、セキュアエレメントを用いて多要素及び多段階認証を行う認証装置及び認証方法、セキュアエレメントを用いて認証装置が情報端末の認証を行う認証システム、認証システムにおける認証方法、並びにコンピュータプログラムを提供することができる。

　なお、本明細書に記載された効果は、あくまでも例示であり、本開示によりもたらされる効果はこれに限定されるものではない。また、本開示が、上記の効果以外に、さらに付加的な効果を奏する場合もある。

　本開示のさらに他の目的、特徴や利点は、後述する実施形態や添付する図面に基づくより詳細な説明によって明らかになるであろう。

図１は、ユーザ認証システム１００の機能的構成例を示した図である。図２は、ユーザ認証システム１００において、２要素及び２段階認証を実現するプロセスを示した図である。図３は、ユーザ端末１１０の変形例を示した図である。図４は、ユーザ端末１１０の他の変形例を示した図である。図５は、ユーザ端末１１０のさらに他の変形例を示した図である。図６は、第１のフェーズのシーケンス例を示した図である。図７は、第１のフェーズの他のシーケンス例を示した図である。図８は、第１のフェーズのさらに他のシーケンス例を示した図である。図９は、第２のフェーズのシーケンスを示した図である。図１０は、第２のフェーズの他のシーケンスを示した図である。図１１は、第２のフェーズのさらに他のシーケンスを示した図である。図１２は、第２のフェーズのさらに他のシーケンスを示した図である。図１３は、第２のフェーズのさらに他のシーケンスを示した図である。

　以下、図面を参照しながら本開示に係る実施形態について詳細に説明する。

　例えば、ユーザＩＤとパスワードにＩＰアドレス認証を組み合わせた２要素認証が知られている。ＩＰアドレス認証は、経路を確認してユーザの真正性を認証する仕組みであるが、偽装が比較的容易であると思料される。このため、ＩＰアドレス認証を用いた２要素認証ではセキュリティを十分に担保できない。

　また、ユーザＩＤとパスワードを用いた認証手続きに、ＳＭＳ（Ｓｈｏｒｔ　Ｍｅｓｓａｇｅ　Ｓｅｒｖｉｃｅ）やメールを用いて一時的なパスワードなどの認証コードを通知する認証手続きを加えた２段階認証が知られている。しかしながら、他人のＳＭＳを傍受する「ＳＭＳインターセプト」がＮＩＳＴ（Ｎａｔｉｏｎａｌ　Ｉｎｓｔｉｔｕｔｅ　ｏｆ　Ｓｔａｎｄａｒｄｓ　ａｎｄ　Ｔｅｃｈｎｏｌｏｇｙ）より勧告されており、ＳＭＳを通じて通知される認証コードが第三者に閲覧される可能性がある。ＳＭＳ認証は高コストであるという課題もある。また、メールは、例えばメールパスワードが盗まれるといった、１段目のユーザＩＤとパスワードを用いた認証手続きと同様のセキュリティリスクがある。

　また、スマートフォンなどの多機能情報端末向けの２段階認証用アプリケーションも開発されている。この種のアプリケーションは、例えば、ユーザＩＤとパスワードなどからなるユーザアカウント情報とともに入力しなければならない所定桁数のコードを提供する。しかしながら、アプリケーション内に秘密鍵に相当する情報が保管されるため、オペレーティングシステム（ＯＳ）の脆弱性などに起因する漏洩リスクがある。

　これに対し、本開示は、多要素認証や多段階認証にセキュアエレメントを活用することで、ユーザ認証の堅牢化に寄与するものである。

　ここで、セキュアエレメントとは、「ＩＣカード」や「ＩＣチップ」など耐タンパ性のあるハードウェアで保護されたデバイスである。耐タンパ性とはＩＣカードやＩＣチップが内部解析（リバースエンジニアリング）や改変が極めて困難なことを意味し、解析できないように難読化するといった論理的な手段や、保護層を剥がすと回路が破壊されてしまうといった物理的な手段によって実現される。また、セキュアエレメントは、秘密鍵を内包しており、所定の外部サーバなどとの間で傍受不能なセキュア通信を行うことができる。

　以下では、ユーザＩＤとパスワードによる認証とセキュアエレメントを利用した認証という２要素及び２段階認証を行う実施形態について説明するが、セキュアエレメントを利用した認証をユーザＩＤとパスワードの以外の要素と組み合わせた２要素及び２段階認証、あるいはセキュアエレメントを利用した認証を２以上の要素と組み合わせた多要素及び多段階認証であってもよい。

　また、以下では、便宜上、ユーザＩＤとパスワードなどのユーザアカウント情報による認証、セキュアエレメントを利用した認証の順で２段階認証を実施する実施形態について説明するが、認証を行う順番は逆であってもよい。セキュアエレメントを利用した認証を、他の２以上の要素を組み合わせて、任意の順番で多段階認証を実施してもよい。

Ａ．システム構成例
　図１には、本開示を適用した、２要素及び２段階認証を行うユーザ認証システム１００の機能的構成例を概略的に示している。図示のユーザ認証システム１００は、ユーザ端末１１０と、クラウド１２０からなる。ここでは、ユーザがユーザ端末１１０を使ってネットショッピングなどの決済を行うシーンを想定している。

　ユーザ端末１１０は、第１の認証手続き処理部１１１と、第２の認証手続き処理部１１２と、セキュアエレメント１１３と、制御部１１４と、通信部１１５を備えている。

　第１の認証手続き処理部１１１は、ユーザから入力されたユーザＩＤとパスワードなどからなるユーザアカウント情報を用いて、クラウド１２０に対して１要素目又は１段階目となる第１の認証処理のための手続きを行う。第１の認証手続き処理部１１１は、例えば、ネットショッピングサイトの閲覧や決済時のログインなどのウェブサイト操作を行う、ブラウザなどのアプリケーションとして実装される。

　第２の認証手続き処理部１１２は、セキュアエレメント１１３内の情報（以下では、仮にセキュアエレメント１１３を識別する「ＳＥ識別子」とする）を用いてクラウド１２０に対して２要素目又は２段階目となる第２の認証処理のための手続きを行う。上述したように、セキュアエレメント１１３は、耐タンパ性のあるハードウェアで保護されたデバイスであり、秘密鍵を内包している。第２の認証手続き処理部１１２は、セキュアエレメント１１３内の秘密鍵を用いたセキュア通信により、クラウド１２０に対する２要素目又は２段階目の第２の認証処理手続きをセキュアに行うことができる。第２の認証手続き処理部１１２は、第１の認証手続き処理部１１１を実装するウェブサイト操作用アプリケーションであってもよいし、ウェブサイト操作とは独立してセキュアエレメント１１３に対する処理を行う専用アプリケーションとして実装されてもよい。

　制御部１１４は、第１の認証手続き処理部１１１及び第２の認証手続き処理部１１２による認証処理手続きのためのシーケンスを始め、ユーザ端末１１０全体の動作を統括的に制御する。

　通信部１１５は、ユーザ端末１１０とクラウド１２０間の通信処理を行う。第１の認証手続き処理部１１１による１要素目又は１段階目の認証処理手続き、並びに第２の認証手続き処理部１１２による２要素目又は２段階目の認証処理手続きは、通信部１１５を介して行われる。

　一方、クラウド１２０には、第１のサーバ１２１と、第２のサーバ１２２と、紐付けデータベース１２３が配置されている。

　第１のサーバ１２１は、ユーザ端末１１０の第１の認証手続き処理部１１１から送られてくるユーザＩＤとパスワードなどからなるユーザアカウント情報の真正性をチェックして、１要素目又は１段階目の認証処理を行う。第１のサーバ１２１は、ユーザアカウント情報を保有するウェブサイトであり、例えば、ユーザ端末１１０上で動作するブラウザなどのウェブサイト操作用のアプリケーションによって操作される、ネットショッピングサイトなどのウェブサイトである。

　第２のサーバ１２２は、セキュアエレメント１１３とＥｎｄ　ｔｏ　Ｅｎｄ（Ｅ２Ｅ）で認証できる秘密鍵を保有している。そして、第２のサーバ１２２は、ユーザ端末１１０の第２の認証手続き処理部１１２からセキュア通信により送られてくるＳＥ識別子の真正性をチェックして、２要素目又は２段階目の認証処理を行う。

　紐付けデータベース１２３は、各ユーザのユーザアカウント情報（例えば、ユーザＩＤでよい）と、各ユーザが所持するセキュアエレメント１１３のＳＥ識別子とを紐付けして、両者の対応関係示す紐付け情報を管理するためのデータベースである。第１のサーバ１２１と第２のサーバ１２２は、連携して、紐付けデータベース１２３に登録されている紐付け情報を活用して認証を行うことができる。

　第２のサーバ１２２が、ユーザ端末１１０から送れてきたＳＥ識別子の真正性をチェックして、正しいセキュアエレメント１１３であることが判ったとき、さらに紐付けデータベース１２３に照会してそのＳＥ識別子に紐付けされているユーザアカウント情報を取り出し、第１のサーバ１２１で認証処理されたユーザアカウント情報と一致するかどうかを確認することで、２要素及び２段階の認証処理を実現することができる。

　図２には、ユーザ認証システム１００において、２要素及び２段階認証を実現するプロセスを模式的に示している。図示の実現プロセスは、第１のフェーズと第２のフェーズの２段階からなる。

　第１のフェーズでは、ユーザ端末１１０側のユーザのユーザアカウント情報と、ユーザが所持するセキュアエレメント１１３のＳＥ識別子を紐付けする紐付け情報を、クラウド１２０側の紐付けデータベース１２３に登録する処理を行う。本実施形態に係るユーザ認証システム１００において、セキュアエレメント１１３を利用して堅牢化した２要素及び２段階認証を実現するには、第１のフェーズでユーザアカウント情報とＳＥ識別子の紐付けを事前に行っていることが前提となる。

　なお、ＳＥ識別子は、セキュアエレメント１１３と第２のサーバ１２２間のセキュアな通信経路上で個体を特定できる情報である。ＳＥ識別子は、セキュアエレメント１１３が製造される段階でセキュアエレメント１１３内に埋め込まれてもよいし、ユーザ端末１１０とともにセキュアエレメント１１３が出荷された後に一意性を保証しながらセキュアエレメント１１３に書き込まれる値であってもよい。

　図１では簡素化のため１台のユーザ端末１１０しか描いていないが、実際にはユーザ認証システム１００上には多数のユーザ端末が存在し、紐付けデータベース１２３ではユーザ端末毎（又は、ユーザ毎）にユーザアカウント情報とＳＥ識別子の紐付け情報が登録されるものとする。

　なお、ユーザアカウント情報とＳＥ識別子との対応関係は１対１には限定されない。例えば、１つのユーザ端末（又は、１つのユーザアカウント）を複数のＳＥ識別子に紐付けする場合（１人のユーザが複数のセキュアエレメントを使い分ける場合など）や、複数のユーザ端末を１つのＳＥ識別子に紐付けする場合（１人のユーザが複数のユーザアカウントを使い分ける場合など）も想定される。

　第２のフェーズでは、ユーザがユーザ端末１１０を使ってネットショッピングなどの決済を行う場合などにおいて、クラウド１２０上のバリューや個人の特定する行為（ログインなど）を実施する。本実施形態では、上述した第１のフェーズにおいて、紐付けデータベース１２３で紐付けされたユーザアカウント情報及びＳＥ識別子を用いて、２要素及び２段階でバリューや個人の特定を行う点に特徴がある。

　まず、第１のサーバ１２１は、ユーザ端末１１０の第１の認証手続き処理部１１１から送られてくるユーザＩＤとパスワードなどからなるユーザアカウント情報の真正性をチェックする。ユーザアカウント情報の真正性が確認されると、続いて、第２のサーバ１２２は、ユーザ端末１１０の第２の認証手続き処理部１１２からセキュア通信により送られてくるＳＥ識別子の真正性をチェックする。そして、第２のサーバ１２２が、ユーザ端末１１０から送れてきたＳＥ識別子の真正性をチェックして、正しいセキュアエレメント１１３であることが判ったとき、さらに紐付けデータベース１２３に照会してそのＳＥ識別子に紐付けされているユーザアカウント情報を取り出し、第１のサーバ１２１で認証処理されたユーザアカウント情報と一致するかどうかを確認することで、ユーザに対する認証処理が完結する。

　すなわち、第２のフェーズでは、ユーザＩＤとパスワードなどからなるユーザアカウント情報を認証することに加えて、事前にユーザアカウント情報と紐付けされているＳＥ識別子をセキュアエレメント１１３と第２のサーバ１２２間のセキュア通信を介して確認するという、２要素を用いた認証処理が課される。したがって、パスワードの漏洩やパスワードの総当たり攻撃などによってユーザアカウント情報を用いたユーザ認証が破られたとしても、正しいセキュアエレメント１１３を所持していない限りログインすることができない。

　また、第２のフェーズでは、ユーザＩＤとパスワードなどからなるユーザアカウント情報によるログイン時において、ＳＭＳやメール、２段階認証用アプリケーションを用いて２段階認証を行う場合に、事前にユーザアカウント情報と紐付けされているＳＥ識別子をセキュアエレメント１１３と第２のサーバ１２２間のセキュア通信を介して確認することが課される。したがって、ＳＭＳを通じて通知される認証コードが第三者に閲覧されたり、メールパスワードが盗まれたり、ＯＳの脆弱性のためにアプリケーション内の秘密情報が漏洩したりしたとしても、正しいセキュアエレメント１１３を所持していない限りログインすることができない。

　第２のフェーズでセキュアエレメント１１３を利用して堅牢化した２要素及び２段階認証を実現するには、第１のフェーズでユーザアカウント情報とＳＥ識別子の紐付けを事前に行っていることが前提となる。ユーザが事前にＳＥ識別子との紐付けが行われていないユーザアカウント情報を用いて第２のフェーズ（ログインなど）を試みた場合には、例えばウェブサイトである第１のサーバ１２１は、第１のフェーズにおける紐付け処理のためのウェブサイト操作を、ユーザ端末１１０の第１の認証手続き処理部１１１に求めるようにしてもよい。

　なお、紐付けデータベース１２３におけるユーザアカウント情報とＳＥ識別子の紐付けに有効期間を設定できるようにしてもよい。例えば、有効期間が経過した紐付け情報が無効であることを示すフラグ情報を設定したり、無効になった紐付け情報を紐付けデータベース１２３から削除したりするようにしてもよい。そして、紐付け情報の有効期間が経過したユーザアカウント情報を用いて第２のフェーズ（ログインなど）が試みられた場合には、例えばウェブサイトである第１のサーバ１２１は、第１のフェーズにおける紐付け処理のためのウェブサイト操作を、ユーザに改めて求めるようにしてもよい。

Ｂ．システム変形例
　ユーザ端末１１０の一例は、スマートフォンなどの多機能情報端末である。但し、図１ではユーザ端末１１０を単一の装置として描いているが、ユーザが所持する複数の装置やデバイスを用いてユーザ端末１１０の機能が実現される場合もある。

　図３には、ユーザ端末１１０の変形例を示している。図示の例では、ユーザ端末１１０は、スマートフォンなどの多機能情報端末３０１と、セキュアエレメント１１３としての非接触ＩＣカード３０２という２つの装置に分離して構成される。多機能情報端末３０１は、第１の認証手続き処理部１１１と第２の認証手続き処理部１１２の機能、並びにクラウド１２０と通信する通信部１１５（図３では図示しない）の機能を搭載するものとする。

　多機能情報端末３０１内の第１の認証手続き処理部１１１は、例えばスマートフォン３０１上で動作するブラウザアプリケーションであり、ネットショッピングサイトの閲覧や決済時のログインなどのウェブサイト操作を行い、ログイン時にユーザから入力されたユーザＩＤとパスワードなどからなるユーザアカウント情報を用いて第１のサーバ１２１に対するログイン認証のための第１の認証処理手続きを実施する。

　多機能情報端末３０１内の第２の認証手続き処理部１１２は、非接触ＩＣカード３０２にアクセスして、非接触ＩＣカード３０２に内包された秘密鍵を用いたセキュア通信により、非接触ＩＣカード３０２が持つＳＥ識別子の真正性をチェックする第２の認証処理手続きを第２のサーバ１２２に対して実施する。また、第２の認証手続き処理部１１２（又は、多機能情報端末３０１）は、非接触ＩＣカード１１２にアクセスするための非接触通信機能（カード読み取り機能）を装備している。なお、非接触通信には、近距離無線通信規格であるＮＦＣ（Ｎｅａｒ　Ｆｉｅｌｄ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ）などに則った通信方式を利用することができるが、ここでは詳細な説明を省略する。

　また、図４には、ユーザ端末１１０の他の変形例を示している。図示の例では、ユーザ端末１１０は、パーソナルコンピュータ４０１と、スマートフォンなどの多機能情報端末４０２という２つの装置に分離して構成される。パーソナルコンピュータ４０１は、第１の認証手続き処理部１１１の機能を搭載する。また、スマートフォン４０２は、第２の認証手続き処理部１１２の機能と、ＩＣチップなどで構成されるセキュアエレメント１１３を搭載する。パーソナルコンピュータ４０１と多機能情報端末４０２はそれぞれクラウド１２０と通信する通信部１１５（図４では図示しない）の機能を搭載するものとする。なお、パーソナルコンピュータ４０１と多機能情報端末４０２間の通信機能は必要ではない。

　第１の認証手続き処理部１１１は、例えばパーソナルコンピュータ４０１上で動作するブラウザアプリケーションであり、ネットショッピングサイトの閲覧や決済時のログインなどのウェブサイト操作を行い、ログイン時にユーザから入力されたユーザＩＤとパスワードなどからなるユーザアカウント情報を用いて第１のサーバ１２１に対するログイン認証のための第１の認証処理手続きを実施する。

　また、多機能情報端末４０２内では、第２の認証手続き処理部１１２は、セキュアエレメント１１３にアクセスして、セキュアエレメント１１３に内包された秘密鍵を用いたセキュア通信により、セキュアエレメント１１３が持つＳＥ識別子の真正性をチェックする第２の認証処理手続きを第２のサーバ１２２に対して実施する。

　また、図５には、ユーザ端末１１０のさらに他の変形例を示している。図示の例では、ユーザ端末１１０は、パーソナルコンピュータ５０１と、スマートフォンなどの多機能情報端末５０２と、セキュアエレメント１１３としての非接触ＩＣカード５０３という３つの装置に分離して構成される。パーソナルコンピュータ５０１は第１の認証手続き処理部１１１の機能を搭載し、多機能情報端末５０２は第２の認証手続き処理部１１２の機能を搭載する。パーソナルコンピュータ５０１と多機能情報端末５０２はそれぞれクラウド１２０と通信する通信部１１５（図５では図示しない）の機能を搭載するものとする。また、多機能情報端末５０２は、非接触ＩＣカード５０３にアクセスするためのＮＦＣ通信方式などの非接触通信機能（同上）を装備するものとする。なお、パーソナルコンピュータ５０１と多機能情報端末５０２間の通信機能は必要ではない。

　第１の認証手続き処理部１１１は、例えばパーソナルコンピュータ５０１上で動作するブラウザアプリケーションであり、ネットショッピングサイトの閲覧や決済時のログインなどのウェブサイト操作を行い、ログイン時にユーザから入力されたユーザＩＤとパスワードなどからなるユーザアカウント情報を用いて第１のサーバ１２１に対するログイン認証のための第１の認証処理手続きを実施する。

　多機能情報端末５０２内の第２の認証手続き処理部１１２は、非接触ＩＣカード５０３にアクセスして、非接触ＩＣカード５０３に内包された秘密鍵を用いたセキュア通信により、非接触ＩＣカード５０３が持つＳＥ識別子の真正性をチェックする第２の認証処理手続きを第２のサーバ１２２に対して実施する。

　また、図１では、第１のサーバ１２１と、第２のサーバ１２２と、紐付けデータベース１２３はそれぞれ異なる装置として描いているが、これらの装置の構成はこれに限定されない。第１のサーバ１２１内に紐付けデータベース１２３が装備されていてもよいし、第２のサーバ１２２内に紐付けデータベース１２３が装備されていてもよいし、第１のサーバ１２１と第２のサーバ１２２と紐付けデータベース１２３のすべてが単一の装置として構成されていてもよい。

Ｃ．第１のフェーズのシーケンス例
　本実施形態に係るユーザ認証システム１００において、セキュアエレメント１１３を利用して堅牢化した２要素及び２段階認証を実現するには、第１のフェーズでユーザアカウント情報とＳＥ識別子の紐付けを事前に行っていることが前提となる。ユーザアカウント情報とＳＥ識別子を紐付けする方法は、事前の運用で紐付けデータベース１２３に紐付け情報を登録する方法と、ユーザアカウントを作成し又はユーザアカウントでログインした上で紐付け処理を行う方法の２通りを挙げることができる。

　図６には、第１のフェーズのシーケンス例を示している。図示のシーケンス例では、事前の運用で紐付けデータベース１２３にユーザアカウント情報（ユーザＩＤなど）とＳＥ識別子の紐付け情報を登録する（ＳＥＱ６０１）。例えば、ユーザからの電話などによる申告や、セキュアエレメント１１３が搭載された機器（スマートフォンなど）を販売する際のオペレーション（窓口運用など）を通じて、ユーザアカウント情報とＳＥ識別子を紐付けする紐付け情報が入手されると、これが紐付けデータベース１２３に登録される。その際、申告するユーザや窓口で対応するユーザの本人確認をした上で、ユーザアカウント情報とＳＥ識別子を紐付けする。

　紐付けデータベース１２３では、ユーザアカウント情報とＳＥ識別子との対応関係は１対１には限定されない。１つのユーザ端末（又は、１つのユーザアカウント）を複数のＳＥ識別子に紐付けする場合や、複数のユーザ端末（又は、複数のユーザアカウント）を１つのＳＥ識別子に紐付けする場合も想定される。

　第１のサーバ１２１と第２のサーバ１２２は、紐付けデータベース１２３に登録されている紐付け情報を活用して認証を行うことができる。第１のサーバ１２１内に紐付けデータベース１２３が装備されていてもよいし、第２のサーバ１２２内に紐付けデータベース１２３が装備されていてもよい。あるいは、第１のサーバ１２１と第２のサーバ１２２と紐付けデータベース１２３のすべてが単一の装置として構成されていてもよい。

　図７には、第１のフェーズの他のシーケンス例を示している。図示のシーケンス例では、ユーザアカウントを作成する際に紐付け処理が行われる。また、図示のシーケンス例では、セキュアエレメント１１３へのアクセスの際に、ユーザの承認操作を行う。

　ユーザは、第１の認証手続き処理部１１１のウェブサイト操作（ブラウザなど）機能を介して、ユーザＩＤとパスワードからなるユーザアカウント情報を入力して、第１のサーバ１２１へのログインを試みる（ＳＥＱ７０１）。

　第１のサーバ１２１は、ユーザアカウント情報を保有するサーバであり、第１の認証手続き処理部１１１から送られてきたユーザＩＤとパスワードからなるユーザアカウント情報を認証処理する（ＳＥＱ７０２）。そして、第１のサーバ１２１はその認証結果を第１の認証手続き処理部１１１に返信し、第１の認証手続き処理部１１１は受け取った認証結果をユーザに提示する（ＳＥＱ７０３）。なお、認証処理に失敗した場合には、第１の認証手続き処理部１１１は、ユーザにユーザＩＤとパスワードの再入力を促すようにしてもよい。ここでは、簡素化のため、ユーザアカウント情報の認証に成功したものとして、説明を続ける。

　第１のサーバ１２１は、ログイン時のユーザアカウント情報の認証処理に成功すると、続いてＳＭＳやＰｕｓｈ通信などの一方向通信を利用した２段階認証の中で、第２の認証手続き処理部１１２に対して、ユーザのユーザアカウント情報とセキュアエレメント１１３のＳＥ識別子との紐付け処理の実施を要求する（ＳＥＱ７０４）。

　第２の認証手続き処理部１１２は、ユーザ端末１１０から第２のサーバ１２２へ通信できる機能へ連携する（ＳＥＱ７０５）。また、第２の認証手続き処理部１１２は、例えばユーザインターフェース（ＵＩ）を利用して「この端末を紐付けしてよいですか？」などのメッセージをユーザに提示したりして、ユーザに対して紐付け処理の承認を求める（ＳＥＱ７０６）。そして、ユーザが「はい」と回答するなど紐付け処理に対する承認が得られると（ＳＥＱ７０７）、第２の認証手続き処理部１１２は、セキュアエレメント１１３にアクセスしてＳＥ識別子を読み出すと（ＳＥＱ７０８）、セキュアエレメント１１３に内包された秘密鍵を用いたセキュア通信により、そのＳＥ識別子を第２のサーバ１２２に送る（ＳＥＱ７０９）。

　セキュアエレメント１１３のＳＥ識別子は、このタイミングで生成されてもよいし、セキュアエレメント１１３が製造される段階でセキュアエレメント１１３内に埋め込まれてもよい。

　第２のサーバ１２２は、セキュアエレメント１１３とＥ２Ｅで認証できる秘密鍵を保有している。第２のサーバ１２２は、第２の認証手続き処理部１１２からセキュア通信により送られてきたＳＥ識別子の真正性を、保有する秘密鍵を使ってチェックする（ＳＥＱ７１０）。そして、第２のサーバ１２２は、ＳＥ識別子の認証処理に成功すると、ログイン時に第１のサーバ１２１が取得したユーザアカウント情報（ユーザＩＤなど）と、２段階認証の中で第２のサーバ１２２が取得したＳＥ識別子を紐付けする紐付け情報を、紐付けデータベース１２３に登録する（ＳＥＱ７１１）。

　紐付けデータベース１２３に登録されている紐付け情報の管理は、第１のサーバ１２１と第２のサーバ１２２のいずれが行うようにしてもよい。

　図８には、第１のフェーズで、ユーザアカウントを作成し又はユーザアカウントでログインした上で紐付け処理を行う他のシーケンス例を示している。図示のシーケンス例では、セキュアエレメント１１３へのアクセスの際に、ユーザの承認操作を行わない。

　ユーザは、第１の認証手続き処理部１１１のウェブサイト操作（ブラウザなど）機能を介して、ユーザＩＤとパスワードからなるユーザアカウント情報を入力して、第１のサーバ１２１へのログインを試みる（ＳＥＱ８０１）。

　第１のサーバ１２１は、ユーザアカウント情報を保有するサーバであり、第１の認証手続き処理部１１１から送られてきたユーザＩＤとパスワードからなるユーザアカウント情報を認証処理する（ＳＥＱ８０２）。そして、第１のサーバ１２１はその認証結果を第１の認証手続き処理部１１１に返信し、第１の認証手続き処理部１１１は受け取った認証結果をユーザに提示する。なお、認証処理に失敗した場合には、第１の認証手続き処理部１１１は、ユーザにユーザＩＤとパスワードの再入力を促すようにしてもよい。ここでは、簡素化のため、ユーザアカウント情報の認証に成功したものとして、説明を続ける。

　図８に示すシーケンス例では、第１のサーバ１２１は、ログイン時のユーザアカウント情報の認証処理に成功すると、第１の認証手続き処理部１１１への認証結果の返信にセッションＩＤなどのワンタイム情報を付与する（ＳＥＱ８０３）。また、第１のサーバ１２１は、このワンタイム情報を第２のサーバ１２２との間で連携（共有）する（ＳＥＱ８０４）。

　第１の認証手続き処理部１１１は、第２の認証手続き処理部１１２に対して、セキュアエレメント１１３に対する処理の開始を指示する（ＳＥＱ８０５）。このとき、第１の認証手続き処理部１１１は、第１のサーバ１２１から付与されたワンタイム情報を、第２の認証手続き処理部１１２に通知する。

　図８に示すシーケンス例では、第２の認証手続き処理部１１２は、ユーザに承認を求めることなく、セキュアエレメント１１３に対する処理を開始する。すなわち、第２の認証手続き処理部１１２は、セキュアエレメント１１３にアクセスしてＳＥ識別子を読み出すと（ＳＥＱ８０６）、セキュアエレメント１１３に内包された秘密鍵を用いたセキュア通信により、ワンタイム情報を付与してＳＥ識別子を第２のサーバ１２２に送る（ＳＥＱ８０７）。

　第２のサーバ１２２は、セキュアエレメント１１３とＥ２Ｅで認証できる秘密鍵を保有している。第２のサーバ１２２は、第２の認証手続き処理部１１２からセキュア通信により送られてきたＳＥ識別子の真正性を、保有する秘密鍵を使ってチェックする（ＳＥＱ８０８）。また、第２のサーバ１２２は、ＳＥ識別子に付与されたワンタイム情報が、第１のサーバ１２１と連携するワンタイム情報と一致するかどうかを確認して、第三者のなりすましによる紐付け処理の要求でないことをチェックする。

　そして、第２のサーバ１２２は、第三者からの要求でないことを担保するとともにＳＥ識別子の認証処理に成功すると、ログイン時に第１のサーバ１２１が取得したユーザアカウント情報（ユーザＩＤなど）と、２段階認証の中で第２のサーバ１２２が取得したＳＥ識別子を紐付けする紐付け情報を、紐付けデータベース１２３に登録する（ＳＥＱ８０９）。

　紐付けデータベース１２３への紐付け情報の登録処理や、紐付けデータベース１２３に登録されている紐付け情報の管理は、第１のサーバ１２１と第２のサーバ１２２のいずれが行うようにしてもよい。

Ｄ．第２のフェーズのシーケンス例
　第２のフェーズでは、ユーザがユーザ端末１１０を使ってネットショッピングなどの決済を行う場合などにおいて、紐付けデータベース１２３で紐付けされたユーザアカウント情報及びＳＥ識別子を用いて、２要素及び２段階でバリューや個人の特定を行う。以下の説明では、既に第１のフェーズで、ユーザアカウント情報とＳＥ識別子の紐付け処理が完了していることを前提とする。

　図９には、第２のフェーズのシーケンス例を示している。但し、図示のシーケンス例では、第１の認証手続き処理部１２１と第２の認証手続き処理部１１２が同じ端末内に装備されていること（図３に示した構成例を含む）を想定し、且つ、ユーザに承認操作を求めないものとする。また、紐付けデータベース１２３に登録されている紐付け情報の管理は、第１のサーバ１２１と第２のサーバ１２２のいずれが行うようにしてもよい。

　第２のフェーズは、ネットショッピングなどの決済の前に実施される。ユーザは、第１の認証手続き処理部１１１のウェブサイト操作（ブラウザなど）機能を介して、ＵＩ画面上にユーザＩＤとパスワードからなるユーザアカウント情報を入力するなどして、第１のサーバ１２１へのログインを試みる（ＳＥＱ９０１）。

　第１のサーバ１２１は、ユーザアカウント情報を保有するサーバであり、第１の認証手続き処理部１１１から送られてきたユーザＩＤとパスワードからなるユーザアカウント情報を認証処理する（ＳＥＱ９０２）。そして、第１のサーバ１２１はその認証結果にセッションＩＤなどのワンタイム情報を付与して、第１の認証手続き処理部１１１に返信する（ＳＥＱ９０３）。また、第１のサーバ１２１は、このワンタイム情報を第２のサーバ１２２との間で連携（共有）する（ＳＥＱ９０４）。なお、認証処理に失敗した場合には、第１の認証手続き処理部１１１は、ユーザにユーザＩＤとパスワードの再入力を促すようにしてもよい。ここでは、簡素化のため、ユーザアカウント情報の認証に成功したものとして、説明を続ける。

　第１の認証手続き処理部１１１は、第２の認証手続き処理部１１２に対して、セキュアエレメント１１３に対する処理の開始を指示する（ＳＥＱ９０５）。このとき、第１の認証手続き処理部１１１は、第１のサーバ１２１から付与されたワンタイム情報を、第２の認証手続き処理部１１２に通知する。

　第２の認証手続き処理部１１２は、セキュアエレメント１１３に対する処理を開始する。すなわち、第２の認証手続き処理部１１２は、セキュアエレメント１１３にアクセスしてＳＥ識別子を読み出すと（ＳＥＱ９０６）、セキュアエレメント１１３に内包された秘密鍵を用いたセキュア通信により、ワンタイム情報を付与してＳＥ識別子を第２のサーバ１２２に送る（ＳＥＱ９０７）。

　第２のサーバ１２２は、セキュアエレメント１１３とＥ２Ｅで認証できる秘密鍵を保有している。第２のサーバ１２２は、第２の認証手続き処理部１１２からセキュア通信により送られてきたＳＥ識別子の真正性を、保有する秘密鍵を使ってチェックして、確実なＳＥ識別子を取得する（ＳＥＱ９０８）。また、第２のサーバ１２２は、ＳＥ識別子に付与されたワンタイム情報が、第１のサーバ１２１と連携するワンタイム情報と一致するかどうかを確認して、第三者のなりすましによるログインでないことをチェックする。

　そして、第２のサーバ１２２は、第三者からの要求でないことを担保するとともにＳＥ識別子の認証処理に成功すると、第１のサーバ１２１との連携により、同じワンタイム情報でログインしてきたユーザのユーザアカウント情報とＳＥ識別子の紐付け情報が紐付けデータベース１２３に登録されているかどうかをチェックする（ＳＥＱ９０９）。このチェックは、第１のサーバ１２１又は第２のサーバ１２２のいずれが実施してもよい。このチェック結果は、第１のサーバ１２１との間で連携される。

　ここで、ユーザアカウント情報とＳＥ識別子の紐付け情報を紐付けデータベース１２３で確認することができたならば、第１のサーバ１２１へのログインを行っているユーザが正しいセキュアエレメント１１３を所持していることが分かるので、２要素及び２段階認証に成功したものとする。他方、ユーザアカウント情報とＳＥ識別子の紐付け情報が紐付けデータベース１２３で確認することができなければ、第１のサーバ１２１にログインを行っているユーザが所持するセキュアエレメント１１３は正しくないので、２要素及び２段階認証は失敗に終わる。ここでは、２要素及び２段階認証に成功したものとして説明を続ける。

　その後、第２の認証手続き処理部１１２は、セキュアエレメント１１３に対する処理を終了したことを、ワンタイム情報を付与して第１の認証手続き処理部１２１に通知する（ＳＥＱ９１０）。第１の認証手続き処理部１２１は、この通知に応答して、第１のサーバ１２１に対して２要素及び２段階認証の結果の確認を行う（ＳＥＱ９１１）。これに対し、第１のサーバ１２１は、２要素及び２段階認証に成功したときには、ログインの許可を第１の認証手続き処理部１１１に返信する（ＳＥＱ９１２）。第１の認証手続き処理部１１１は、ログインに成功したことを、ＵＩなどを通じてユーザに通知する（ＳＥＱ９１３）。

　図９に示すような第２のフェーズのシーケンスによれば、ユーザから見て、ユーザ端末１１０を使った第１のサーバ１２１（ウェブサイト）への１回のログイン操作の中で、ユーザ端末１１０とクラウド１２０の間でＳＥ識別子の確認が行われる。したがって、ユーザは特別な操作を行う必要はなく、ユーザアカウント情報とセキュアエレメント１１３の２要素を使った認証が実現する。

　なお、ログイン操作中にユーザとクラウド１２０間で実施されるシーケンスや、ログイン画面やログイン成功画面などログイン操作中の画面遷移はさまざまなケースが考えられるが、ここでは詳細な説明を省略する。

　図１０には、第２のフェーズの他のシーケンス例を示している。但し、図示のシーケンス例では、第１の認証手続き処理部１２１と第２の認証手続き処理部１１２が同じ端末内に装備されていること（図３に示した構成例を含む）を想定し、且つ、ユーザに承認操作を求めるものとする。また、紐付けデータベース１２３に登録されている紐付け情報の管理は、第１のサーバ１２１と第２のサーバ１２２のいずれが行うようにしてもよい。

　第２のフェーズは、ネットショッピングなどの決済の前に実施される。ユーザは、第１の認証手続き処理部１１１のウェブサイト操作（ブラウザなど）機能を介して、ＵＩ画面上にユーザＩＤとパスワードからなるユーザアカウント情報を入力するなどして、第１のサーバ１２１へのログインを試みる（ＳＥＱ１００１）。

　第１のサーバ１２１は、ユーザアカウント情報を保有するサーバであり、第１の認証手続き処理部１１１から送られてきたユーザＩＤとパスワードからなるユーザアカウント情報を認証処理する（ＳＥＱ１００２）。なお、認証処理に失敗した場合には、第１の認証手続き処理部１１１は、ユーザにユーザＩＤとパスワードの再入力を促すようにしてもよい。ここでは、簡素化のため、ユーザアカウント情報の認証に成功したものとして、説明を続ける。

　次いで、第１のサーバ１２１は、その認証結果を第１の認証手続き処理部１１１に返信する（ＳＥＱ１００３）。第１の認証手続き処理部１１１は、第１のサーバ１２１から認証結果を受け取ると、ユーザに対して、ＵＩ画面などを通じて、セキュアエレメント１１３を利用した２要素及び２段階認証に遷移する旨を通知する（ＳＥＱ１００４）。

　また、第１のサーバ１２１は、コード値を生成すると（ＳＥＱ１００５）、このコード値を第２のサーバ１２２との間で連携（共有）する（ＳＥＱ１００６）。そして、第１のサーバ１２１は、ＳＭＳやＰｕｓｈ通信などの一方向通信を利用して、第２の認証手続き処理部１２２に対して、２段階認証のための処理の起動を指示する（ＳＥＱ１００７）。

　第２の認証手続き処理部１１２は、ＳＭＳやＰｕｓｈ通知を処理する機能から、ユーザ端末１１０から第２のサーバ１２２へ通信できる機能へ連携する（ＳＥＱ１００８）。そして、第２の認証手続き処理部１１２は、セキュアエレメント１１３にアクセスしてＳＥ識別子を読み出すと（ＳＥＱ１００９）、セキュアエレメント１１３に内包された秘密鍵を用いたセキュア通信により、ＳＥ識別子を第２のサーバ１２２に送る（ＳＥＱ１０１０）。

　第２のサーバ１２２は、セキュアエレメント１１３とＥ２Ｅで認証できる秘密鍵を保有している。第２のサーバ１２２は、第２の認証手続き処理部１１２からセキュア通信により送られてきたＳＥ識別子の真正性を、保有する秘密鍵を使ってチェックして、確実なＳＥ識別子を取得する。そして、第２のサーバ１２２は、ＳＥ識別子の認証処理に成功すると、ログインしてきたユーザのユーザアカウント情報とＳＥ識別子の紐付け情報が紐付けデータベース１２３に登録されているかどうかをチェックする（ＳＥＱ１０１１）。このチェックは、第１のサーバ１２１又は第２のサーバ１２２のいずれが実施してもよい。このチェック結果は、第１のサーバ１２１との間で連携される。

　第２のサーバ１２２は、ユーザアカウント情報とＳＥ識別子の紐付け情報を紐付けデータベース１２３で確認した後、第１のサーバ１２１と連携するコード値（前述）を第２の認証手続き処理部１１２に返送する（ＳＥＱ１０１２）。また、第２のサーバ１２２は、紐付け情報の確認結果を第１のサーバと連携（共有）する（ＳＥＱ１０１３）。

　第２の認証手続き処理部１１２は、例えばＵＩを利用して「コード値は１２３４です」のような、ＳＭＳやＰｕｓｈ通信で第１のサーバ１２１から送られてきたコード値の入力を促すメッセージをユーザに提示したりして、ユーザに対してコード値の入力による２段階認証処理の承認を求める（ＳＥＱ１０１４）。そして、ユーザがコード値１２３４を入力して、ユーザの承認が得られると（ＳＥＱ１０１５）、第１の認証手続き処理部１１１は、第１のサーバ１２１に対して、ユーザが入力したコード値を付与して、２要素及び２段階認証の結果の確認を行う（ＳＥＱ１０１６）。これに対し、第１のサーバ１２１は、２要素及び２段階認証に成功し且つユーザ端末１１０から返送されたコード値が正しいときには、ログインの許可を第１の認証手続き処理部１１１に返信する（ＳＥＱ１０１７）。第１の認証手続き処理部１１１は、ログインに成功したことを、ＵＩなどを通じてユーザに通知する（ＳＥＱ１０１８）。

　図１０に示す第２のフェーズのシーケンスでは、ユーザが正しいセキュアエレメント１１３を所持していることを前提に、そのセキュアエレメント１１３の所有者であることを確認している。また、図１０に示す第２のフェーズのシーケンスによれば、ＳＭＳやＰｕｓｈ通知のような従来から行われている２段階認証におけるユーザ操作の手順やユーザエクスペリエンスを維持しながら、セキュアエレメント１１３を利用した認証機能を追加することができる。正しいセキュアエレメント１１３を所持しない第三者にはコード値が通知されないので、ＳＭＳやメール、Ｐｕｓｈを利用する２段階認証よりもセキュリティレベルは高い。また、図１０に示すシーケンス例においても、ユーザから見て、ユーザ端末１１０を使った第１のサーバ１２１（ウェブサイト）への１回のログイン操作の中で、ユーザ端末１１０とクラウド１２０の間でＳＥ識別子の確認が行われる。したがって、ユーザは特別な操作を行う必要はなく、ユーザアカウント情報とセキュアエレメント１１３の２要素を使った認証が実現する。

　図１１には、第２のフェーズのさらに他のシーケンス例を示している。但し、図示のシーケンス例では、第１の認証手続き処理部１２１と第２の認証手続き処理部１１２が同じ端末内に装備されていること（図３に示した構成例を含む）を想定し、且つ、ユーザに承認操作を求めるものとする。また、紐付けデータベース１２３に登録されている紐付け情報の管理は、第１のサーバ１２１と第２のサーバ１２２のいずれが行うようにしてもよい。

　第２のフェーズは、ネットショッピングなどの決済の前に実施される。ユーザは、第１の認証手続き処理部１１１のウェブサイト操作（ブラウザなど）機能を介して、ＵＩ画面上にユーザＩＤとパスワードからなるユーザアカウント情報を入力するなどして、第１のサーバ１２１へのログインを試みる（ＳＥＱ１１０１）。

　第１のサーバ１２１は、ユーザアカウント情報を保有するサーバであり、第１の認証手続き処理部１１１から送られてきたユーザＩＤとパスワードからなるユーザアカウント情報を認証処理する（ＳＥＱ１１０２）。なお、認証処理に失敗した場合には、第１の認証手続き処理部１１１は、ユーザにユーザＩＤとパスワードの再入力を促すようにしてもよい。ここでは、簡素化のため、ユーザアカウント情報の認証に成功したものとして、説明を続ける。

　次いで、第１のサーバ１２１は、その認証結果を第１の認証手続き処理部１１１に返信する（ＳＥＱ１１０３）。第１の認証手続き処理部１１１は、第１のサーバ１２１から認証結果を受け取ると、ユーザに対して、ＵＩ画面などを通じて、セキュアエレメント１１３を利用した２要素及び２段階認証に遷移する旨を通知する（ＳＥＱ１１０４）。そして、第１のサーバ１２１は、ＳＭＳやＰｕｓｈ通信などの一方向通信を利用して、第２の認証手続き処理部１２２に対して、２段階認証のための処理の起動を指示する（ＳＥＱ１１０５）。

　第２の認証手続き処理部１１２は、セキュアエレメント１１３にアクセスしてＳＥ識別子を読み出し（ＳＥＱ１１０６）、セキュアエレメント１１３に内包された秘密鍵を用いたセキュア通信により、ＳＥ識別子を第２のサーバ１２２に送る（ＳＥＱ１１０７）。

　第２のサーバ１２２は、セキュアエレメント１１３とＥ２Ｅで認証できる秘密鍵を保有している。第２のサーバ１２２は、第２の認証手続き処理部１１２からセキュア通信により送られてきたＳＥ識別子の真正性を、保有する秘密鍵を使ってチェックして、確実なＳＥ識別子を取得する。そして、第２のサーバ１２２は、ＳＥ識別子の認証処理に成功すると、ログインしてきたユーザのユーザアカウント情報とＳＥ識別子の紐付け情報が紐付けデータベース１２３に登録されているかどうかをチェックする（ＳＥＱ１１０８）。このチェックは、第１のサーバ１２１又は第２のサーバ１２２のいずれが実施してもよい。

　第２のサーバ１２２は、ユーザアカウント情報とＳＥ識別子の紐付け情報を紐付けデータベース１２３で確認した後、セッションＩＤなどのワンタイム情報（前述）を第２の認証手続き処理部１１２に返送する（ＳＥＱ１１０９）。

　第２の認証手続き処理部１１２は、例えばＵＩを利用して「認証を許可してよいですか？」などのメッセージをユーザに提示したりして、ユーザに対して紐付け処理の承認を求める（ＳＥＱ１１１０）。そして、ユーザが「はい」と回答するなど認証処理に対する承認が得られると（ＳＥＱ１１１１）、第２の認証手続き処理部１１２は、ワンタイム情報を付与して、ユーザが承認した旨を第２のサーバ１２２に通知する（ＳＥＱ１１１２）。

　第２のサーバ１２２は、第２の認証手続き処理部１１２から返信された承認通知に付与されたワンタイム情報が正しいかどうかを確認して、第三者のなりすましによる承認でないことをチェックする（ＳＥＱ１１１３）。また、第２のサーバ１２２は、ワンタイム情報の確認結果を、第１のサーバ１２１と連携する（ＳＥＱ１１１４）。

　ユーザ端末１１０側では、ユーザが認証を許可すると、第１の認証手続き処理部１１１は、第１のサーバ１２１に対して２要素及び２段階認証の結果の確認を行う（ＳＥＱ１１１５）。これに対し、第１のサーバ１２１は、２要素及び２段階認証に成功し且つユーザ端末１１０から返送されたワンタイム情報が正しいときには、ログインの許可を第１の認証手続き処理部１１１に返信する（ＳＥＱ１１１６）。第１の認証手続き処理部１１１は、ログインに成功したことを、ＵＩなどを通じてユーザに通知する（ＳＥＱ１１１７）。

　図１１に示す第２のフェーズのシーケンスでは、ユーザが正しいセキュアエレメント１１３を所持していることを前提に、そのセキュアエレメント１１３の所有者であることを確認している。また、図１１に示す第２のフェーズのシーケンスによれば、ＳＭＳやＰｕｓｈ通知のような従来から行われている２段階認証におけるユーザ操作の手順やユーザエクスペリエンスを維持しながら、セキュアエレメント１１３を利用した認証機能を追加することができる。正しいセキュアエレメント１１３を所持しない第三者にはワンタイム情報が通知されないので、ＳＭＳやメール、Ｐｕｓｈを利用する２段階認証よりもセキュリティレベルは高い。また、図１１に示すシーケンス例においても、ユーザから見て、ユーザ端末１１０を使った第１のサーバ１２１（ウェブサイト）への１回のログイン操作の中で、ユーザ端末１１０とクラウド１２０の間でＳＥ識別子の確認が行われる。したがって、ユーザは特別な操作を行う必要はなく、ユーザアカウント情報とセキュアエレメント１１３の２要素を使った認証が実現する。

　図１２には、第２のフェーズのさらに他のシーケンス例を示している。但し、図示のシーケンス例では、第１の認証手続き処理部１２１と第２の認証手続き処理部１１２が異なる装置に分かれて装備されていること（図４及び図５に示した構成例を含む）を想定し、且つ、ユーザに承認操作を求めるものとする。また、紐付けデータベース１２３に登録されている紐付け情報の管理は、第１のサーバ１２１と第２のサーバ１２２のいずれが行うようにしてもよい。

　第２のフェーズは、ネットショッピングなどの決済の前に実施される。ユーザは、パーソナルコンピュータ（第１の認証手続き処理部１１１）のウェブサイト操作（ブラウザなど）機能を介して、ディスプレイなどのＵＩ画面上にユーザＩＤとパスワードからなるユーザアカウント情報をキーボードやマウスなどを用いて入力して、第１のサーバ１２１へのログインを試みる（ＳＥＱ１２０１）。

　第１のサーバ１２１は、ユーザアカウント情報を保有するサーバであり、パーソナルコンピュータから送られてきたユーザＩＤとパスワードからなるユーザアカウント情報を認証処理する（ＳＥＱ１２０２）。なお、認証処理に失敗した場合には、パーソナルコンピュータは、ユーザにユーザＩＤとパスワードの再入力を促すようにしてもよい。ここでは、簡素化のため、ユーザアカウント情報の認証に成功したものとして、説明を続ける。

　次いで、第１のサーバ１２１は、その認証結果をパーソナルコンピュータに返信する（ＳＥＱ１２０３）。パーソナルコンピュータは、第１のサーバ１２１から認証結果を受け取ると、ユーザに対して、ディスプレイなどのＵＩ画面などを通じて、セキュアエレメント１１３を利用した２要素及び２段階認証に遷移する旨を通知する（ＳＥＱ１２０４）。

　また、第１のサーバ１２１は、コード値を生成すると（ＳＥＱ１２０５）、このコード値を第２のサーバ１２２との間で連携（共有）する（ＳＥＱ１２０６）。そして、第１のサーバ１２１は、ＳＭＳやＰｕｓｈ通信などの一方向通信を利用して、多機能情報端末（第２の認証手続き処理部１２２）に対して、２段階認証のための処理の起動を指示する（ＳＥＱ１２０７）。

　多機能情報端末は、ＳＭＳやＰｕｓｈ通知を処理する機能から、第２のサーバ１２２へ通信できる機能へ連携する（ＳＥＱ１２０８）。そして、多機能情報端末は、セキュアエレメント１１３にアクセスしてＳＥ識別子を読み出すと（ＳＥＱ１２０９）、セキュアエレメント１１３に内包された秘密鍵を用いたセキュア通信により、ＳＥ識別子を第２のサーバ１２２に送る（ＳＥＱ１２１０）。なお、セキュアエレメント１１３が多機能情報端末に内蔵される場合には（図４を参照のこと）、多機能情報端末内の第２の認証手続き処理部１１２は内部の配線を経由してセキュアエレメント１１３にアクセスする。また、セキュアエレメント１１３が例えば非接触ＩＣカードのように多機能情報端末から分離したデバイスとして構成される場合には（図５を参照のこと）、多機能情報端末内の第２の認証手続き処理部１１２は、ＮＦＣ通信方式のような非接触通信を利用してセキュアエレメント１１３にアクセスする。

　第２のサーバ１２２は、セキュアエレメント１１３とＥ２Ｅで認証できる秘密鍵を保有している。第２のサーバ１２２は、多機能情報端末からセキュア通信により送られてきたＳＥ識別子の真正性を、保有する秘密鍵を使ってチェックして、確実なＳＥ識別子を取得する。そして、第２のサーバ１２２は、ＳＥ識別子の認証処理に成功すると、ログインしてきたユーザのユーザアカウント情報とＳＥ識別子の紐付け情報が紐付けデータベース１２３に登録されているかどうかをチェックする（ＳＥＱ１２１１）。このチェックは、第１のサーバ１２１又は第２のサーバ１２２のいずれが実施してもよい。このチェック結果は、第１のサーバ１２１との間で連携される。

　ここで、ユーザアカウント情報とＳＥ識別子の紐付け情報を紐付けデータベース１２３で確認することができたならば、パーソナルコンピュータから第１のサーバ１２１へのログインを行っているユーザが正しいセキュアエレメント１１３を所持していることが分かるので、２要素及び２段階認証に成功したものとする。他方、ユーザアカウント情報とＳＥ識別子の紐付け情報が紐付けデータベース１２３で確認することができなければ、パーソナルコンピュータから第１のサーバ１２１にログインを行っているユーザが所持するセキュアエレメント１１３は正しくないので、２要素及び２段階認証は失敗に終わる。ここでは、２要素及び２段階認証に成功したものとして説明を続ける。

　第２のサーバ１２２は、ユーザアカウント情報とＳＥ識別子の紐付け情報を紐付けデータベース１２３で確認した後、第１のサーバ１２１と連携するコード値（前述）を、多機能情報端末に返送する（ＳＥＱ１２１２）。また、第２のサーバ１２２は、紐付け情報の確認結果を第１のサーバと連携（共有）する（ＳＥＱ１２１３）。

　多機能情報端末は、例えばタッチパネル上に「コード値は１２３４です」のような、ＳＭＳやＰｕｓｈ通信で第１のサーバ１２１から送られてきたコード値の入力を促すメッセージを表示して、ユーザに対してコード値の入力による２段階認証処理の承認を求める（ＳＥＱ１２１４）。そして、ユーザがパーソナルコンピュータ上でキーボードやマウスを利用してコード値１２３４を入力して、ユーザの承認が得られると（ＳＥＱ１２１５）、パーソナルコンピュータは、第１のサーバ１２１に対して、ユーザが入力したコード値を付与して、２要素及び２段階認証の結果の確認を行う（ＳＥＱ１２１６）。これに対し、第１のサーバ１２１は、２要素及び２段階認証に成功し且つユーザ端末１１０から返送されたコード値が正しいときには、ログインの許可をパーソナルコンピュータに返信する（ＳＥＱ１２１７）。パーソナルコンピュータは、ログインに成功したことを、ディスプレイなどのＵＩを通じてユーザに通知する（ＳＥＱ１２１８）。

　図１２に示す第２のフェーズのシーケンスでは、ユーザが正しいセキュアエレメント１１３を内蔵した多機能情報端末を所持し、又は正しいセキュアエレメント１１３を搭載した非接触ＩＣカードを所持していることを前提に、そのセキュアエレメント１１３の所有者であることを確認している。また、図１２に示す第２のフェーズのシーケンスによれば、ＳＭＳやＰｕｓｈ通知のような従来から行われている２段階認証におけるユーザ操作の手順やユーザエクスペリエンスを維持しながら、セキュアエレメント１１３を利用した認証機能を追加することができる。正しいセキュアエレメント１１３を所持しない第三者にはコード値が通知されないので、ＳＭＳやメール、Ｐｕｓｈを利用する２段階認証よりもセキュリティレベルは高い。また、図１２に示すシーケンス例においても、ユーザから見て、ユーザ端末１１０を使った第１のサーバ１２１（ウェブサイト）への１回のログイン操作の中で、ユーザ端末１１０とクラウド１２０の間でＳＥ識別子の確認が行われる。したがって、ユーザは特別な操作を行う必要はなく、ユーザアカウント情報とセキュアエレメント１１３の２要素を使った認証が実現する。

　図１３には、第２のフェーズのさらに他のシーケンス例を示している。但し、図示のシーケンス例では、第１の認証手続き処理部１２１と第２の認証手続き処理部１１２が異なる装置に分かれて装備されていること（図４及び図５に示した構成例を含む）を想定し、且つ、ユーザに承認操作を求めるものとする。また、紐付けデータベース１２３に登録されている紐付け情報の管理は、第１のサーバ１２１と第２のサーバ１２２のいずれが行うようにしてもよい。

　第２のフェーズは、ネットショッピングなどの決済の前に実施される。ユーザは、パーソナルコンピュータ（第１の認証手続き処理部１１１）のウェブサイト操作（ブラウザなど）機能を介して、ディスプレイなどのＵＩ画面上にユーザＩＤとパスワードからなるユーザアカウント情報を入力するなどして、第１のサーバ１２１へのログインを試みる（ＳＥＱ１３０１）。

　第１のサーバ１２１は、ユーザアカウント情報を保有するサーバであり、パーソナルコンピュータから送られてきたユーザＩＤとパスワードからなるユーザアカウント情報を認証処理する（ＳＥＱ１３０２）。なお、認証処理に失敗した場合には、パーソナルコンピュータは、ＵＩ画面上などでユーザにユーザＩＤとパスワードの再入力を促すようにしてもよい。ここでは、簡素化のため、ユーザアカウント情報の認証に成功したものとして、説明を続ける。

　次いで、第１のサーバ１２１は、その認証結果をパーソナルコンピュータに返信する（ＳＥＱ１３０３）。パーソナルコンピュータは、第１のサーバ１２１から認証結果を受け取ると、ユーザに対して、ディスプレイなどのＵＩ画面などを通じて、セキュアエレメント１１３を利用した２要素及び２段階認証に遷移する旨を通知する（ＳＥＱ１３０４）。そして、第１のサーバ１２１は、ＳＭＳやＰｕｓｈ通信などの一方向通信を利用して、多機能情報端末（第２の認証手続き処理部１２２）に対して、２段階認証のための処理の起動を指示する（ＳＥＱ１３０５）。

　多機能情報端末は、セキュアエレメント１１３にアクセスしてＳＥ識別子を読み出し（ＳＥＱ１３０６）、セキュアエレメント１１３に内包された秘密鍵を用いたセキュア通信により、ＳＥ識別子を第２のサーバ１２２に送る（ＳＥＱ１３０７）。なお、セキュアエレメント１１３が多機能情報端末に内蔵される場合には（図４を参照のこと）、多機能情報端末内の第２の認証手続き処理部１１２は内部の配線を経由してセキュアエレメント１１３にアクセスする。また、セキュアエレメント１１３が例えば非接触ＩＣカードのように多機能情報端末から分離したデバイスとして構成される場合には（図５を参照のこと）、多機能情報端末内の第２の認証手続き処理部１１２は、ＮＦＣ通信方式のような非接触通信を利用してセキュアエレメント１１３にアクセスする。

　第２のサーバ１２２は、セキュアエレメント１１３とＥ２Ｅで認証できる秘密鍵を保有している。第２のサーバ１２２は、多機能情報端末からセキュア通信により送られてきたＳＥ識別子の真正性を、保有する秘密鍵を使ってチェックして、確実なＳＥ識別子を取得する。そして、第２のサーバ１２２は、ＳＥ識別子の認証処理に成功すると、パーソナルコンピュータからログインしてきたユーザのユーザアカウント情報とＳＥ識別子の紐付け情報が紐付けデータベース１２３に登録されているかどうかをチェックする（ＳＥＱ１３０８）。このチェックは、第１のサーバ１２１又は第２のサーバ１２２のいずれが実施してもよい。このチェック結果は、第１のサーバ１２１との間で連携される。

　ここで、ユーザアカウント情報とＳＥ識別子の紐付け情報を紐付けデータベース１２３で確認することができたならば、パーソナルコンピュータから第１のサーバ１２１へログインを行っているユーザが正しいセキュアエレメント１１３を所持していることが分かるので、２要素及び２段階認証に成功したものとする。他方、ユーザアカウント情報とＳＥ識別子の紐付け情報が紐付けデータベース１２３で確認することができなければ、パーソナルコンピュータから第１のサーバ１２１にログインを行っているユーザが所持するセキュアエレメント１１３は正しくないので、２要素及び２段階認証は失敗に終わる。ここでは、２要素及び２段階認証に成功したものとして説明を続ける。

　第２のサーバ１２２は、ユーザアカウント情報とＳＥ識別子の紐付け情報を紐付けデータベース１２３で確認した後、セッションＩＤなどのワンタイム情報（前述）を多機能情報端末に返送する（ＳＥＱ１３０９）。

　多機能情報端末は、タッチパネルなどのＵＩを利用して「認証を許可してよいですか？」などのメッセージをユーザに提示したりして、ユーザに対して紐付け処理の承認を求める（ＳＥＱ１３１０）。そして、ユーザが「はい」と回答するなど認証処理に対する承認が得られると（ＳＥＱ１３１１）、多機能情報端末は、ワンタイム情報を付与して、ユーザが承認した旨を第２のサーバ１２２に通知する（ＳＥＱ１３１２）。

　第２のサーバ１２２は、多機能情報端末から返信された承認通知に付与されたワンタイム情報が正しいかどうかを確認して、第三者のなりすましによる承認でないことをチェックする（ＳＥＱ１３１３）。また、第２のサーバ１２２は、ワンタイム情報の確認結果を、第１のサーバ１２１と連携する（ＳＥＱ１３１４）。

　ユーザが認証を許可すると、パーソナルコンピュータは、第１のサーバ１２１に対して２要素及び２段階認証の結果の確認を行う（ＳＥＱ１３１５）。これに対し、第１のサーバ１２１は、２要素及び２段階認証に成功し且つ多機能情報端末から返送されたワンタイム情報が正しいときには、ログインの許可をパーソナルコンピュータに返信する（ＳＥＱ１３１６）。パーソナルコンピュータは、ログインに成功したことを、ディスプレイなどのＵＩを通じてユーザに通知する（ＳＥＱ１３１７）。

　図１３に示す第２のフェーズのシーケンスでは、ユーザが正しいセキュアエレメント１１３を所持していることを前提に、そのセキュアエレメント１１３の所有者であることを確認している。また、図１３に示す第２のフェーズのシーケンスによれば、ＳＭＳやＰｕｓｈ通知のような従来から行われている２段階認証におけるユーザ操作の手順やユーザエクスペリエンスを維持しながら、セキュアエレメント１１３を利用した認証機能を追加することができる。正しいセキュアエレメント１１３を所持しない第三者にはワンタイム情報が通知されないので、ＳＭＳやメール、Ｐｕｓｈを利用する２段階認証よりもセキュリティレベルは高い。また、図１３に示すシーケンス例においても、ユーザから見て、ユーザ端末１１０を使った第１のサーバ１２１（ウェブサイト）への１回のログイン操作の中で、ユーザ端末１１０とクラウド１２０の間でＳＥ識別子の確認が行われる。したがって、ユーザは特別な操作を行う必要はなく、ユーザアカウント情報とセキュアエレメント１１３の２要素を使った認証が実現する。

　以上、特定の実施形態を参照しながら、本開示について詳細に説明してきた。しかしながら、本開示の要旨を逸脱しない範囲で当業者が該実施形態の修正や代用を成し得ることは自明である。

　本開示は、ネットショッピングの決済を行うなどのさまざまなシーンにおいて、クラウド上のバリューや個人を特定する行為（ログイン）に適用して、セキュアエレメントを所持するユーザの認証を堅牢化することができる。

　本明細書では、ユーザアカウント情報による認証、セキュアエレメントを利用した認証の順で２段階認証を行う実施形態を中心に説明してきたが、順番は逆であってもよい。また、セキュアエレメントを利用した認証を、他の２以上の要素を組み合わせて、任意の順番で多段階認証を実施してもよい。

　要するに、例示という形態により本開示について説明してきたのであり、本明細書の記載内容を限定的に解釈するべきではない。本開示の要旨を判断するためには、特許請求の範囲を参酌すべきである。

　なお、本開示は、以下のような構成をとることも可能である。

（１）耐タンパ性のあるセキュアエレメントを用いて外部装置に対する認証手続きを行う認証手続き処理部と、
　前記認証手続きを含む前記外部装置に対する多段階認証のための処理を制御する制御部と、
を具備する情報処理装置。

（２）前記制御部は、ユーザアカウント情報を用いたログイン認証手続きと前記セキュアエレメントを用いた認証手続きを含む多段階認証のための処理を制御する、
請求項１に記載の情報処理装置。

（３）前記制御部は、前記ユーザアカウント情報に紐付けされた前記セキュアエレメントの識別情報を利用した第２の認証手続きの処理を制御する、
請求項２に記載の情報処理装置。

（４）前記制御部は、前記第２の認証手続きの処理において、事前の運用により前記ユーザアカウント情報に紐付けされた前記セキュアエレメントの識別情報を利用する、
請求項３に記載の情報処理装置。

（５）前記制御部は、前記第２の認証手続きの前に、前記ユーザアカウント情報と前記セキュアエレメントの識別情報の紐付けする処理を実施するように制御する、
請求項３に記載の情報処理装置。

（６）前記制御部は、前記ログイン認証手続きにおける操作の中で前記第２の認証手続きを実施するように制御する、
請求項３乃至５のいずれかに記載の情報処理装置。

（７）前記制御部は、前記第２の認証手続きに対するユーザの承認操作を求める処理をさらに制御する、
請求項３乃至６のいずれかに記載の情報処理装置。

（８）前記制御部は、前記紐付けを確認した外部装置から返送されたコード値をユーザに提示し、前記提示に対してユーザから入力されたコード値を前記外部装置に送信するように制御する、
請求項７に記載の情報処理装置。

（９）前記制御部は、前記紐付けを確認した外部装置から返送されたワンタイム情報を付けてユーザの承認操作の結果を前記外部装置に通知するように制御する、
請求項７に記載の情報処理装置。

（１０）前記ログイン認証手続きを行う第１の認証手続き処理部をさらに備える、
請求項２乃至９のいずれかに記載の情報処理装置。

（１１）前記セキュアエレメントをさらに備える、
請求項１乃至１０のいずれかに記載の情報処理装置。

（１２）前記セキュアエレメントと通信する通信部をさらに備える、
請求項１乃至１０のいずれかに記載の情報処理装置。

（１３）ユーザアカウント情報を用いたログイン認証手続きとの組み合わせで、耐タンパ性のあるセキュアエレメントを用いて外部装置に対する認証手続きを行うステップを有する、
情報処理方法。

（１３－１）前記ユーザアカウント情報に紐付けされた前記セキュアエレメントの識別情報を利用して、前記認証手続きを行う、
上記（１３）に記載の情報処理方法。

（１３－２）前記認証手続きの前に、前記ユーザアカウント情報と前記セキュアエレメントの識別情報の紐付けするステップをさらに有する、
上記（１３）に記載の情報処理方法。

（１４）耐タンパ性のあるセキュアエレメントを用いて外部装置に対する認証手続きを行う認証手続き処理部、
　前記認証手続きを含む前記外部装置に対する多段階認証のための処理を制御する制御部、
としてコンピュータを機能させるようにコンピュータ可読形式で記述されたコンピュータプログラム。

（１５）第１の装置にログインするユーザのセキュアエレメントを認証する認証部と、
　前記認証に成功した前記セキュアエレメントの識別情報と前記ユーザのユーザアカウント情報との紐付けを確認する確認部と、
を具備する認証装置。

（１５－１）前記セキュアエレメントの識別情報と前記ユーザのユーザアカウント情報との紐付けを確認できたときに、ユーザの前記第１の装置へのログインを許可する、
上記（１５）に記載の認証装置。

（１５－２）前記確認部は、ユーザのユーザアカウント情報とセキュアエレメントの識別情報の紐付け情報を記憶する管理装置に基づいて前記確認を行う、
上記（１５）に記載の認証装置。

（１５－３）前記第1の装置にログインするユーザのユーザアカウント情報とそのユーザのセキュアエレメントの識別情報の紐付け情報を前記管理装置に登録する登録部をさらに備える、
上記（１５－２）に記載の認証装置。

（１５－４）前記登録部は、ユーザアカウント情報の作成時に紐付け情報の登録を行う、
上記（１５－３）に記載の認証装置。

（１５－５）前記確認部は、セキュアエレメントを用いた認証に対するユーザの承認操作をさらに求める、
上記（１５）に記載の認証装置。

（１５－６）前記確認部は、ユーザアカウント情報とセキュアエレメントの識別情報の紐付けを確認できたときに、ユーザに入力を求めるコード値を送信し、ユーザから正しいコード値が返されたときに、ユーザの前記第１の装置へのログインを許可する、
上記（１５－５）に記載の認証装置。

（１５－７）前記確認部は、ユーザアカウント情報とセキュアエレメントの識別情報の紐付けを確認できたときに、ユーザにワンタイム情報を送信し、ユーザの承認結果に正しいワンタイム情報が付けられているときに、ユーザの前記第１の装置へのログインを許可する、
上記（１５－５）に記載の認証装置。

（１６）第１の装置にログインするユーザのセキュアエレメントを認証する認証ステップと、
　前記認証に成功した前記セキュアエレメントの識別情報と前記ユーザのユーザアカウント情報との紐付けを確認する確認ステップと、
を有する認証方法。

（１７）第１の装置にログインするユーザのセキュアエレメントを認証する認証部、
　前記認証に成功した前記セキュアエレメントの識別情報と前記ユーザのユーザアカウント情報との紐付けを確認する確認部、
としてコンピュータを機能させるようにコンピュータ可読形式で記述されたコンピュータプログラム。

（１８）耐タンパ性のあるセキュアエレメントを所有するユーザの情報端末と、
　前記ユーザを認証する認証装置と、
を具備し、前記認証装置は、前記ユーザが第１の装置にログインするときに、前記セキュアエレメントの認証と、前記セキュアエレメントと前記ユーザのユーザアカウント情報との紐付けを確認する、
認証システム。

（１８－１）前記セキュアエレメントの識別情報と前記ユーザのユーザアカウント情報との紐付けを確認できたときに、ユーザの前記第１の装置へのログインを許可する、
上記（１８）に記載の認証システム。

（１８－２）ユーザのユーザアカウント情報とセキュアエレメントの識別情報の紐付け情報を記憶する管理装置をさらに備え、
　前記認証装置は、前記管理装置に基づいて前記確認を行う、
上記（１８）に記載の認証システム。

（１８－３）前記認証装置は、前記第1の装置にログインするユーザのユーザアカウント情報とそのユーザのセキュアエレメントの識別情報の紐付け情報を前記管理装置に登録する処理を行う、
上記（１８－２）に記載の認証システム。

（１８－４）前記認証装置は、ユーザアカウント情報の作成時に紐付け情報の登録を行う、
上記（１８-３）に記載の認証システム。

（１８－５）前記認証装置は、セキュアエレメントを用いた認証に対するユーザの承認操作をさらに求める、
上記（１８）に記載の認証システム。

（１８－６）前記認証装置は、ユーザアカウント情報とセキュアエレメントの識別情報の紐付けを確認できたときに、ユーザに入力を求めるコード値を前記情報端末に送信し、前記情報端末から正しいコード値が返されたときに、ユーザの前記第１の装置へのログインを許可する、
上記（１８－５）に記載の認証システム。

（１８－７）前記認証装置は、ユーザアカウント情報とセキュアエレメントの識別情報の紐付けを確認できたときに、前記情報端末にワンタイム情報を送信し、前記情報端末からのユーザの承認結果に正しいワンタイム情報が付けられているときに、ユーザの前記第１の装置へのログインを許可する、
上記（１８－５）に記載の認証システム。

（１９）耐タンパ性のあるセキュアエレメントを所有するユーザの情報端末と前記ユーザを認証する認証装置を備えた認証システムにおける認証方法であって、
　前記認証装置が、第１の装置にログインするユーザのセキュアエレメントを認証する認証ステップと、
　前記認証装置が、前記認証に成功した前記セキュアエレメントの識別情報と前記ユーザのユーザアカウント情報との紐付けを確認する確認ステップと、
を有する認証方法。

　１００…ユーザ認証システム、１１０…ユーザ端末
　１１１…第１の認証手続き処理部、１１２…第２の認証手続き処理部
　１１３…セキュアエレメント、１１４…制御部、１１５…通信部
　１２０…クラウド、１２１…第１のサーバ、１２２…第２のサーバ
　１２３…紐付けデータベース
　３０１…多機能情報端末、３０２…非接触ＩＣカード
　４０１…パーソナルコンピュータ、４０２…多機能情報端末
　５０１…パーソナルコンピュータ、５０２…多機能情報端末
　５０３…セキュアエレメント

Claims

　耐タンパ性のあるセキュアエレメントを用いて外部装置に対する認証手続きを行う認証手続き処理部と、
　前記認証手続きを含む前記外部装置に対する多段階認証のための処理を制御する制御部と、
を具備する情報処理装置。
　前記制御部は、ユーザアカウント情報を用いたログイン認証手続きと前記セキュアエレメントを用いた認証手続きを含む多段階認証のための処理を制御する、
請求項１に記載の情報処理装置。
　前記制御部は、前記ユーザアカウント情報に紐付けされた前記セキュアエレメントの識別情報を利用した第２の認証手続きの処理を制御する、
請求項２に記載の情報処理装置。
　前記制御部は、前記第２の認証手続きの処理において、事前の運用により前記ユーザアカウント情報に紐付けされた前記セキュアエレメントの識別情報を利用する、
請求項３に記載の情報処理装置。
　前記制御部は、前記第２の認証手続きの前に、前記ユーザアカウント情報と前記セキュアエレメントの識別情報の紐付けする処理を実施するように制御する、
請求項３に記載の情報処理装置。
　前記制御部は、前記ログイン認証手続きにおける操作の中で前記第２の認証手続きを実施するように制御する、
請求項３に記載の情報処理装置。
　前記制御部は、前記第２の認証手続きに対するユーザの承認操作を求める処理をさらに制御する、
請求項３に記載の情報処理装置。
　前記制御部は、前記紐付けを確認した外部装置から返送されたコード値をユーザに提示し、前記提示に対してユーザから入力されたコード値を前記外部装置に送信するように制御する、
請求項７に記載の情報処理装置。
　前記制御部は、前記紐付けを確認した外部装置から返送されたワンタイム情報を付けてユーザの承認操作の結果を前記外部装置に通知するように制御する、
請求項７に記載の情報処理装置。
　前記ログイン認証手続きを行う第１の認証手続き処理部をさらに備える、
請求項２に記載の情報処理装置。
　前記セキュアエレメントをさらに備える、
請求項１に記載の情報処理装置。
　前記セキュアエレメントと通信する通信部をさらに備える、
請求項１に記載の情報処理装置。
　ユーザアカウント情報を用いたログイン認証手続きとの組み合わせで、耐タンパ性のあるセキュアエレメントを用いて外部装置に対する認証手続きを行うステップを有する、
情報処理方法。
　耐タンパ性のあるセキュアエレメントを用いて外部装置に対する認証手続きを行う認証手続き処理部、
　前記認証手続きを含む前記外部装置に対する多段階認証のための処理を制御する制御部、
としてコンピュータを機能させるようにコンピュータ可読形式で記述されたコンピュータプログラム。
　第１の装置にログインするユーザのセキュアエレメントを認証する認証部と、
　前記認証に成功した前記セキュアエレメントの識別情報と前記ユーザのユーザアカウント情報との紐付けを確認する確認部と、
を具備する認証装置。
　第１の装置にログインするユーザのセキュアエレメントを認証する認証ステップと、
　前記認証に成功した前記セキュアエレメントの識別情報と前記ユーザのユーザアカウント情報との紐付けを確認する確認ステップと、
を有する認証方法。
　第１の装置にログインするユーザのセキュアエレメントを認証する認証部、
　前記認証に成功した前記セキュアエレメントの識別情報と前記ユーザのユーザアカウント情報との紐付けを確認する確認部、
としてコンピュータを機能させるようにコンピュータ可読形式で記述されたコンピュータプログラム。
　耐タンパ性のあるセキュアエレメントを所有するユーザの情報端末と、
　前記ユーザを認証する認証装置と、
を具備し、前記認証装置は、前記ユーザが第１の装置にログインするときに、前記セキュアエレメントの認証と、前記セキュアエレメントと前記ユーザのユーザアカウント情報との紐付けを確認する、
認証システム。
　耐タンパ性のあるセキュアエレメントを所有するユーザの情報端末と前記ユーザを認証する認証装置を備えた認証システムにおける認証方法であって、
　前記認証装置が、第１の装置にログインするユーザのセキュアエレメントを認証する認証ステップと、
　前記認証装置が、前記認証に成功した前記セキュアエレメントの識別情報と前記ユーザのユーザアカウント情報との紐付けを確認する確認ステップと、
を有する認証方法。