pr

法整備対策にお困りの管理者に朗報 ユーザー任せの危険なパスワード管理はもう不要 DigitalPersona Proの実力

セキュリティ対策の最大の敵はユーザーによるID・パスワード管理

　 個人情報保護法や日本版SOX法がスタートし、企業には高い情報セキュリティが求められている。情報漏えいを水際で防ぐ上で重要なのは、システムにアクセスするIDやパスワードの管理である。

　英字や数字を必ず組み合わせるとか、文字数を多くする、定期的に変更するなどの対策を施せば、パスワードのセキュリティは高まる。だが、実際には管理を厳しくするほど、ユーザーの利便性や業務効率が阻害されることになる。場合によっては「パスワードを付せんでモニター上に張る」といった驚くべき抜け穴ができることもある。管理者が高いセキュリティポリシーを掲げても、スムーズに運用できなければ逆に大きなセキュリティホールにもなりかねない。

　ＩＤ・パスワードによる認証機構では、ユーザー本人がパスワードを紛失・忘却した場合、該当IDの利用停止や新たなIDの発行作業などといった、管理部門の作業コストも発生する。こうした問題への対策として、パスワードによるセキュリティを補助するためにUSBキーやカード認証などを組み合わせる場合もある。しかし、USBキーやカードのようなデバイスを利用する場合、貸し借りによる「なりすまし」を防ぐことはできない。指紋や掌紋、静脈、虹彩などを用いる生体認証以外に、なりすましを防ぐ手段はない。この中で最も精度が高く、かつ導入コストが低いのが指紋認証だろう。

高い指紋認識率だからできる全社員の指紋認証への移行

　指紋センサーを搭載するノートPCやUSBメモリなどは既に一般的に普及している。だが、通常の認証デバイスでは、乾燥した指の読み取り精度が低いという問題がある。

　オフィス環境で指紋認証を利用する場合、最も対策を必要とされるのが、乾燥した指の認証についてである。乾燥指をいかに正確に読み取るかが認証精度向上のカギとなる。精度が低いと乾燥指の人は利用できず、ID・パスワード認証を利用せざるを得なくなってしまう。

　指紋認証によるＩＤ・パスワード管理ソリューションのDigitalPersona Proは、米DigitalPersonaが開発した指紋リーダー「U.are.U 4000」を使用。表面にシリコンラバーの特殊なコーティングを施すことで、乾燥指の照合にも極めて強い構造となっている。

　その裏付けとして、同社担当者は「当社の指紋認証製品は2005年からマイクロソフト製品にもOEM供給されており、米国の市場シェア1位を誇っています。また、導入事例を見て分かるとおり、国防総省（ペンタゴン）のような、最上級のセキュリティが必要な機関でも採用されています。認識精度が高く、乾燥指の場合でもほどんどのケースで認識できるため、不用意にパスワードやIDそのものを利用者に知らせるリスクが減ります」と語る。

　加えて、DigitalPersona Proは、専用デバイスだけでなく、市販のノートPC内蔵の指紋センサーでも利用できる。専用の指紋リーダーにのみ対応するソリューションに比べ、低コストでの導入が可能だ。

Active Directoryとの完全統合
〜あらゆるアプリケーションに指紋認証シングルサインオンが可能

　DigitalPersona Proは、Active Directoryと完全統合している点が大きな特徴となっている。サーバソフトウエアはActive Directoryのドメインコントローラにインストールし、管理者はActive Directoryの組織情報や管理ツールをそのまま利用可能だ。

　安全に保管されているＩＤ・パスワードは、指紋認証（あるいは管理者が設定した認証方法）が成功したときにActive Directory内から取り出して、自動的にログオンプロセスに引き渡すことで、あらゆるアプリケーションを指紋認証に対応させられる。

　オフィスで指紋認証を導入する際の1つの大きな目的は、利便性の向上だろう。特にWindowsログオンから業務システムへのログオンまで指紋認証1つでアクセスできるシングルサインオンは、業務効率の向上に大きく寄与する。

　シングルサインオンで最も重要な要素は、実際に自社で利用しているアプリケーションに設定が可能かどうかだ。利用したいアプリケーションへの設定ができなければ、導入の必要性は低くなる。DigitalPersona Proは設定能力に関しても他製品との違いがはっきりと分かる興味深い事例がある。

　ここでは具体名は控えるが、ある国内エネルギー関連大手企業が、社内で利用する5つの業務・Webアプリケーションで実際に設定が可能かどうか、複数製品で検証したところ、5つすべてに対応できたのはDigitalPersona Proだけであったという。

　 このように、導入に手間がかからない点と、アプリケーション側の対応が全く不要な点がDigitalPersonaProの大きなメリットだ。

　RDPプロトコルやICAプロトコルにも対応するため、CitrixやWindowsリモートデスクトップなどを利用して遠隔地のコンピュータにアクセスする際にも、手元の指紋リーダーで認証を行える。特にシンクライアントを検討している企業では、有効な手段として注目を浴びている。

管理運用コストを抑制し、高いセキュリティを実現

　DigitalPersona ProはActive Directoryに完全統合し、ドメインコントローラへのインストールが可能なため、専用の指紋照合サーバを設置する必要がない。ユーザー管理にはActive Directoryの標準管理ツールを利用でき、利用ログはWindows標準のイベントビューアで確認できるため、運用に際して特別な教育や研修は不要だ（図）。

　パスワードの変更をDigitalPersona Proの設定を利用することで自動化する標準の機能も見逃せない。その他オプション機能で業務システムパスワードのランダム生成も可能だ。ユーザーにはパスワードを入力させず、指紋認証に一本化することで、より高い次元のセキュリティを実現できる。

　個人占有PCだけでなく、複数のユーザーが利用する共有PCにも対応する。パスワードを共有しているPC環境でも、指紋だけで、認証を行ったユーザーごとに個別に許可された業務システムにアクセスできるようになる。グループ内のだれでもコンピュータのロックを解除でき、ユーザーごとの認証ログをイベントビューアで確認することができる。

　情報セキュリティ犯罪の7割以上は内部犯といわれる。外部からの侵入を防ぐ入退室管理も重要だが、それだけでは情報漏えいを完全に防ぐことはできない。ID・パスワードのように使い回しが可能なものは極力排除し、生体認証によってユーザー任せにしない、管理者による確実なアプリケーションへのアクセスコントロールが最も有効な手段だ。

ホワイトペーパー

ユーザー任せのパスワード管理がセキュリティの落とし穴 　セキュリティ管理者が頭を悩ませている社内の情報管理。情報管理するための製品は、ID・パスワードによる管理をベースとしていることが多い。それは、Windowsのログオンに始まり、各業務アプリケーションへアクセスを考える際にID・パスワードの管理が必須になるためだ。ほかにも、シングルサインオンの導入や社員証とカードの一体化などさまざまな方法があるが、本当になりすましの危険性を排除できているといえるだろうか？ 　 このホワイトペーパーでは、Active Directoryと連携し、より強固なセキュリティを実現する統合パスワード管理システム「DigitalPersona Pro」を紹介する。ID・パスワードを使った場合や、カード認証による管理の管理の弱点を指摘し、その弱点を同システムがどのように補うかを解説する。実は、パスワードがセキュリティのアキレスけんとなる可能性があることにあなたは気付いているだろうか？

提供：株式会社ヒューマンテクノロジーズ
企画：アイティメディア 営業本部
制作：＠IT 編集部
掲載内容有効期限：2008年9月15日