Loading
|
@IT > NTTグループが目指すセキュアなブロードバンド・ユビキタス社会 |
|
ネットワークの利便性を最大化しつつ、安全を保つ方法 ブロードバンドネットワークはすでに基本インフラの域まで普及し、ユーザーにとってネットワーク上で稼働するサービスを利用することは当たり前になっている。しかしながら、ネットワークへ脅威を与える悪意は消え去ることはない。 少し前までは、利便性とセキュリティは排他的な関係にあるといわれていたが、今日では利便性とセキュリティが高い次元で両立するようなバランスを求めるソリューションが数多く登場している。 NTTグループによる安心・安全なネットワーク活用に向けた取り組みを見てみよう。 ●ビジネスケータイをもっと使いやすくする拡張パック NTTドコモが「ビジネスFOMA」と銘打って「M1000(モトローラ製)」をリリースしたのは2005年7月のこと。M1000の基本機能におけるセキュリティもビジネスに耐え得るしっかりしたものであったが、貪欲なユーザーはより高い利便性との両立を求めた。そこで登場したのが「M1000 セキュリティパック」だ。 M1000は携帯電話でありながらも、メールの送受信やWebブラウザ「Opera」によるブラウジング、オフィスで使用しているPCと電話帳やスケジュールの同期などができる。Dドライブとして認識される外部メモリを搭載しているほか、C++やJavaで作成したアドインアプリも利用できる。 つまり、M1000の中にビジネスで使う重要なデータや個人情報を保管することができるのだ。ということは、ノートPC同様に紛失や盗難にあった場合の情報漏えい対策が必要となる。セキュリティパックでは、6つの機能を追加することで第三者が勝手にM1000を利用できないようにする。そのうちのいくつかを紹介しよう。 まず、M1000をどこかに置き忘れてしまった場合。 ドコモが提供しているアドインアプリ、遠隔ロック用のサーバ、ビジネスmoperaアクセスプロのサービスなどを導入することでリモートロックをかけることはできたのだが、電波が届かないところに置き忘れてしまった場合はロックをかけることができない。セキュリティパックでは、ユーザーが設定した一定時間放置された場合、自動的に端末ロックがかかる。ロック解除のためのパスワード入力を一定回数間違えると内部のデータを消去させることも可能だ。 また、M1000にインストールされたアプリケーションの起動を抑止したり、パスワードによる起動制御を行ったりする機能も提供される。これにより、不正なアプリケーション利用を抑制することが可能だ。 セキュリティパックで強化されるパスワード機能は、管理者パスワード、ユーザーパスワード、アプリケーション起動用パスワードの組み合わせとなる。パスワードの更新を設定させるための機能も提供される。 ●ケータイでPKIを使った電子署名を実現 昨年に引き続き出展されるFOMAの電子認証サービス「FirstPass」に、電子署名機能が追加された。対象となるのはFOMA 902iシリーズ(DoJa 4.1以上)以降の端末。 追加されたのは携帯電話端末内でデータのハッシュ値を生成し、ICチップ(FOMAカード)で秘密鍵による暗号化をして電子署名を行う機能と、携帯電話端末内で公開鍵を使って電子署名を復号し、ハッシュ値を比較して電子署名を検証する機能であり、共にiアプリにより利用可能だ。 例えば損害保険業では、携帯電話のカメラで撮影した事故現場の写真に電子署名を施して報告するといった利用ができる。署名によって、報告者の本人性を確認できるだけでなく、事故現場を撮影した画像データに改ざんがないことも証明できる。 また、業種にとらわれず、決裁や稟議書に電子署名を施して携帯電話から承認するといった利用のほか、署名を検証する機能を使って、電子署名の施された決裁や稟議書を携帯電話から承認する際、誰がいつ申請・承認したのか、承認した内容に改ざんがないか確認するといった利用ができる。
●電子透かしでフィッシング詐欺を防ぐ NTTコムウェアが4月よりサービスを開始するのがフィッシング対策ソリューション「PHISHCUT(フィッシュカット)」だ。銀行などの金融機関向けのASPサービスとして提供される予定で、デジタル著作権管理で使われていた電子透かしを活用したソリューションとなる。 フィッシング詐欺を行うフィッシャー(フィッシング詐欺師)は本物のオンライン銀行そっくりのWebサイトを偽造し、ユーザーをそこへ誘導する。この場合、偽サイトには本物の画像が貼り付けられていることが多い。そこで、PHISHCUTでは、このような画像に専用の電子透かしを入れ、ユーザーがデータを送信しようとしているWebサイトが正規のサイトかどうかを検証するのだ。フィッシャーが電子透かしごと画像をコピーして偽サイトを作成しても、Webサイトの情報が正規サイトのものと一致しないため、ユーザーはそれが偽サイトだと気付く。 では、電子透かしがない偽サイトの場合、どのようにフィッシング詐欺を防ぐのだろうか。ユーザーのクライアントPCには、オンライン銀行のアカウントやクレジットカード番号などの「重要情報」が登録された専用ソフトウェアがインストールされているため、偽サイトに、この「重要情報」を送信しようとすると、そのサイトに電子透かしが存在しなければ情報を送信するかどうかを選択する警告を発する。 銀行などの金融機関は、Webサイトで利用している画像に電子透かしを入れるだけなのでシステムを変更する必要がない。ユーザー側のクライアントソフトも汎用の電子透かし検出ツールなので複数の金融機関に対応可能だ。NTTコムウェアによれば、すでにいくつかの金融機関から引き合いがあるとのことで、多くのサイトで導入が決まればフィッシング詐欺対策に効果を上げるだろう。
●クラスライブラリを追加するだけでJavaのWebアプリをセキュアに NTTデータが出展する「SecureBlocker」は、入力パラメータを検証し、無害化するJavaクラスライブラリだ。チェック対象とするのは、クロスサイトスクリプティング、OSコマンドインジェクション、ディレクトリトラバーサル、SQLインジェクションといった世間をにぎわせている脆弱性である。 2005年の6月に登場したSecureBlocker だが、NTTデータの担当者によれば、近日中に新バージョンを公開するという。詳細についてはブースにて確認していただきたい。
次世代国際標準暗号に認められた唯一の国産ブロック暗号「Camellia」 「Camellia(カメリア)」は、NTTと三菱電機が2000年に共同開発した国産の128ビット共通鍵ブロック暗号だ。2001年より基本特許が無償で公開されている。非常にコンパクトな設計であるにも関わらず高い処理性能を持っており、暗号ルータや認証サーバといったネットワーク機器のみならず、ICカードや携帯電話、セットトップボックスなど幅広い適用分野が考えられる。 そして何よりも特筆すべきことは、国産暗号として数多くの国際的な標準暗号・推奨暗号として認定されている点である。例えば、ISO/IEC国際標準暗号(ISO/IEC18033-3)、欧州連合の推奨暗号規格であるNESSIE、日本の電子政府推奨暗号であるCRYPTRECなどで認定されており、世界のブロック暗号の次世代デファクトスタンダードであるAESに匹敵する評価を得ている。2005年には、インターネット標準化団体であるIETFにより、SSL/TLS、XML、S/MIME、IPsecの標準暗号としても承認されている。 NTTグループが取り組む次世代ネットワーク構想においてもCamelliaは重要な役回りを与えられている。今回出展されるものの中から、Camelliaに焦点を当てていくつか紹介してみよう。 ●NTTグループ唯一のハードウェアメーカーがCamelliaをLSI化<参考出展> NTTエレクトロニクスが出展するのは、小型で省電力な国産暗号LSI「Camellia LSI」だ。同社はNTTグループ唯一のハードウェアメーカーで、数多くのノウハウを蓄積している。 Camellia LSIは8ミリ四方の81ピンBGAと小型で、処理性能は200Mbps、ファームウェア処理に比べると約20倍以上のパフォーマンスを引き出すことが可能だ。インターフェイスもSRAMアクセスであり、制御が容易である。暗号処理部分を個別のLSIチップとしたことで、汎用CPUを搭載した機器に、簡単に暗号処理機能を追加することができる。ほかにもGHzオーダーの高速版も開発を始めている。 また、国産暗号Camelliaを搭載したLSIであるため、米国標準暗号を用いた製品に比べて国外(主に米国以外)への輸出時の許諾手続きがスムーズになるという利点がある。生産拠点が海外にあるメーカーにとってもメリットは大きい。 ●もはや平文のメールは見逃せない NTTソフトウェアが提供するCamellia暗号を用いたソリューションが「CipherCraft(サイファークラフト)」シリーズだ。このシリーズには持ち出す電子ファイルを暗号化する「CipherCraft/File」、メールの本文・添付ファイルを暗号化する「CipherCraft/Mail」、セキュアな通信路を提供する「CipherCraft/VPN」などが用意されている。 個別製品についてはブースで確認していただきたいが、今回はこの中からCipherCraft/Mailを紹介したい。この製品には、メール本文と添付ファイルを暗号化する機能、それに誤送信を防止する機能の2つが備わっている。 誤送信防止機能では、送信しようとするメールの内容をチェックし、危険度を3段階で評価する「総合評価」機能や、送信先のメールアドレスをチェックして、うっかりミスによる誤送信を防ぐ機能が提供される。 CipherCraft/Mailは、メールサーバとメールソフトの間で動作するプロキシソフトなので、既存のメール環境へ導入する場合でもメールソフトをそのままに簡単な設定で暗号メールと誤送信防止が導入できる。 大容量のファイルを暗号メールに添付して送受信してしまうと、メールサーバや端末のメールソフトに負荷がかかってしまう。そこでHTTPベースでファイルを送受信できる「大規模セキュアファイル流通システム(Scalable Secure Sharing system:SSS)」というものがある。ブロードバンドネットワークを介して100GBのファイルをセキュアに送受信できるインフラを作ろうというものだ。 今日でも大容量ファイルを送受信するサービスは存在しているが、大きくても1GBというものだ。しかも、ファイルの暗号化や盗聴対策、ファイルが確実に送信先の本人に届いたかどうかの確認などができず、バイク便を利用する企業も多い。 SSSでは、Camelliaで暗号化したファイルをSSLネットワークを介して送信する。中継するSSSサーバでも復号することはなく、エンド-エンドで暗号化されたままだ。ユーザー認証も電子証明書を利用し(従来のID/パスワード方式も選択可能)なりすましを防ぐ。時刻認証を用いた配達証明書の発行やリアルタイムでの転送状況を把握することもできる。このSSS、早ければ2006年度の第2四半期にはサービス化したいとのことだ。
本サイトに記載されている会社名、商品名は一般に各社の商標または登録商標です。 提供:NTTグループ 企画:アイティメディア 営業局 制作:@IT 編集部 掲載内容有効期限:2006年4月25日 |
|