環境の変化や政府が求めるセキュリティ基準を踏まえ、ユーザーに制約を課すことなくセキュリティを強化するためのポイントとは何か。エントラストジャパンのカントリーマネージャーである堀川隆治氏が行った「NASAジェット推進研究所が選んだ認証セキュリティ」という講演からそのヒントを探る。
ITシステムの開発、運用に関わったことがある人なら「セキュリティと利便性は両立しない」という通説を聞いたことがあるだろう。
一口にセキュリティといっても、マルウェアや不正アクセス対策や脆弱(ぜいじゃく)性対策、ポリシー、ガバナンスに至るまで、カバーすべき範囲は幅広い。その中でも、20年にわたり一貫して認証セキュリティとその基盤となるPKI(Public Key Infrastructure)の領域でソリューションを提供してきたのが、エントラストジャパンとその本社であるEntrust Datacard(以下、Entrust)だ。広く普及したスマートフォンや生体認証を活用しながら、セキュリティとユーザーの利便性、双方を高めるソリューションを提供し、その通説をくつがえそうとしている。
2018年2月7日に開催された「@ITセキュリティセミナー」において「NASAジェット推進研究所が選んだ認証セキュリティ」というタイトルで講演を行ったエントラストジャパンのカントリーマネージャーである堀川隆治氏は、「米国で最先端のテクノロジー開発に取り組むNASAジェット推進研究所(JPL)がどういった課題を抱えており、どのように解決したか」を例に取りながら、これからの“認証”の在り方について解説した。
「今回紹介する認証ソリューションは、多くの組織や企業に共通する解決策だ。インターネットがインフラとして定着した現代社会においては、24時間365日、世界中どこからでも、従業員や顧客、システムやモノが垣根を越えてつながるようになった。その中で、果たして今まさにインターネットに接続しようとしている人、システム、モノが、本当に当人か、使いたいシステムか、つながってもいいモノかを確認することがますます重要になっている」
こうした状況に対してEntrustは、インターネット越しにつながる人やシステム、モノの間で「信頼できる接続の実現」に取り組んでいる。それも「ただ堅牢な認証ができればいい」というわけではない。ユーザーがさまざまな制限を強いられることなく、障壁なく利用できることがポイントになる。Entrustではその概念を「Taking “F” out of the Authentication」というスローガンで表し、認証にまつわる「フラストレーション(Frustration)」「摩擦(Friction)」「要素(Factor)」という3つの「F」をなくすことを追求している。
「技術革新に伴う新たなデバイスやビジネスモデルが生まれつつある今、大事なのは、ユーザーやチームがコラボレーションし、大きな成果を残すことだ。認証はそのために役立たなければならない。セキュリティと利便性は両立しないといわれているが、われわれはそれを“アンド”のアプローチで両立させ、革新を起こしていく」
同様にセキュリティと利便性の両立に取り組んでいる組織の1つが、NASAおよびカリフォルニア工科大学の一部門として、さまざまな宇宙探査を進め、そのための探査機や観測機器の開発に取り組んでいるジェット推進研究所(Jet Propulsion Laboratory:以下、JPL)だ。
米国で2017年11月に行われたイベントにおけるJPLのプレゼンテーションを受け、堀川氏が次の2点が印象に残ったそうだ。1つはJPLではクラウドコンピューティングやウェアラブルコンピューティングをはじめ、さまざまな最新技術のトレンドをいち早く捉え、10年単位で研究、活用してきたということ。もう1つは、それと同時に、米国政府が定めたサイバーセキュリティに関する基準に沿って、情報保護のためにさまざまな施策を実行しているということだ。
JPLでは、長年にわたってスマートカードとハードウェアトークンを用いたワンタイムパスワードで認証を行ってきた。だが、PCやデバイスの変革に伴い、カードリーダーがない端末、カードリーダーを差すスロットのないデバイスも増えてきた。またSaaSの普及に伴ってユーザーが利用するアプリケーションやクラウドは増加しており、サービスごとにスマートカードを使い分け、複数のカードを持たなければならないという不便さも生まれていた。
JPLがEntrustの認証ソリューションを採用した背景には、こんな事情があった。
一方、パスワードを中心とした認証を巡る状況は変わりつつある。
米国では2017年6月に、NISTが定めるセキュリティガイドライン「NIST SP 800-63」に改訂が加えられた。この改訂では、「パスワードの定期的な変更を求めない」という大きな変更があった他、パスワードの文字列についても、「Unicodeを利用可能にし、64文字までの長い文字列を設定できる」ように求める代わりに、「英数字や記号を利用するといった要件は求めない」ように変更。さらに、パスワードだけではなく「他の認証技術」の進化や普及にも言及するなど、これからの認証の在り方に大きな影響を与える内容となった(参照:セキュリティ関連NIST文書:IPA 独立行政法人 情報処理推進機構)。
では、日本の状況はどうだろうか。トレンドマイクロが2017年10月に行った調査によると、「ユーザーの8割がパスワードの使い回しを行っている」ことが明らかになった。
「個人のパスワードを会社のシステムに使い回さないこと、というルールを定めている企業もあるが、実際には8割ものユーザーが使い回しを行っており、ここにセキュリティリスクがある」
こうした状況を踏まえて金融庁では、オンラインバンキングサービスを提供している金融機関向けの「金融検査マニュアル」(PDF:2015年11月)の中で、「固定式のID・パスワードのみに頼らない認証方式」「複数経路による取引認証」「トランザクション認証」「顧客が自ら取引内容を確認できる手段」といった対策を採るよう求めている。
Entrustでは、こうした課題を解決し、信頼できる接続を確立するための認証基盤を提供し、「相反すると言われてきたユーザーの操作性とセキュリティの強化を両立する、インテリジェントなセキュリティソリューション」も提供しているという。
同社の認証ソリューションには幾つかの特長がある。
1つは、20種類以上のさまざまな認証手法をサポートしていることだ。ハードウェアトークンだけではなく、スマートフォンを用いたスマートトークン、デジタル証明書やプッシュ認証に加え、生体認証(現在は顔、将来的に指紋や虹彩)を用いて本人かどうかを確認できる。またEntrust独自技術に基づく「仮想スマートカード」(Mobile Smart Credential)では、トランザクション認証も可能だ。これらの多様な手段の中から、用途や環境に応じて選択できる。
2つ目の特長は、インテリジェントなことだ。AIエンジンを用いた適応型認証によって、例えばユーザーのアクセス元の地理的情報を分析し、ほんの1時間のうちに移動不可能な距離からアクセスがあった場合には、疑わしいアクセスと判断する。同様に、アクセスに用いられたデバイスのプロファイリングやレピュテーションを通じて、悪意あるデバイスを検出することも可能だ。
インテリジェンスを活用した「リスクベース認証」も可能だ。アクセスルールを設定し、「デバイスは同じだが、いつもと違う場所からアクセスしている」といった具合に一定のしきい値に満たない場合は、追加の認証チャレンジを求める仕組みだ。アクセス状況、その時々のリスクレベルに基づいた認証を行うことで、極力利便性を損なうことなく、なりすましを防ぐ仕組みだ。
Entrustは、オンプレミスで利用できる「Entrust IdentityGuard」と、クラウドベースの「Entrust Datacard IntelliTrust」という2種類のソリューションを提供している。
「マルチクラウド、マルチサービスが当たり前になった現在、複数のクラウドを利用していると、ユーザーにパスワード管理の負担がかかってしまう。これに対しEntrust Datacard IntelliTrustでは、1つのIDで複数のクラウドに対する認証が行え、しかもその際、生体認証などを用いることでセキュリティを強化できる」
事例として紹介されたJPLも、こうしたメリットを評価し、「適応型認証によって透過的にセキュリティを強化したい」という狙いでEntrustの認証ソリューションを採用した。
「具体的には、スマートフォンや生体認証を活用して、ユーザーの利便性とセキュリティを向上させた。特に課題解決に寄与したのが、デジタル証明書を利用したMobile Smart Credential。JPLはWindowsデスクトップやVPNアクセスの認証に利用している。将来的にはオフィスの入退室など、物理的なアクセスにも利用する予定だ」
堀川氏はさらに、日本企業が抱える課題を解決するソリューションを紹介する幾つかのデモ動画を紹介した。
1つ目のデモは、スマートフォンと連携してPCへのログイン認証を強化する内容だ。PCにパスワードを入力すると、スマートフォンにプッシュ通知でPINコードが送られ、それを入力するとログインが完了する。PCとスマートフォンはBluetoothで接続されており、持ち主がスマートフォンを持ったまま離席すると自動的にログアウトする。
同じようにPCとスマートフォンを組み合わせ、オンラインバンキング利用時のセキュリティを強化するデモでは、サービスへのログインに加え、送金処理時には、スマートフォンが備える顔認証機能を活用して本人確認を行ったり、QRコードでワンタイムパスワードを読み取らせるといった追加認証を実施したり、不正な送金を防ぐ仕組みを披露した。
「多様な認証手段をサポートしているため、ユーザーの操作を妨げることがない。企業ならばその人の役職や働き方に応じて選択できる。履歴の確認も可能となっており、先に紹介した金融庁が求める金融検査マニュアルに対応したサービスを実現できる」
また、クラウドサービスに対するシングルサインオンと認証強化のデモも紹介された。Entrust Datacard IntelliTrustによって多様な認証手段でログインできる上、顧客情報などを扱う場合など、より厳密に本人確認を行いたい場合は、追加の認証を求めることができるという。
最後に堀川氏は「今後も新しいデバイス、新しいビジネスモデルが登場し、それを活用して各社各様のユースケースが生まれてくるだろう。一方で、政府機関によるセキュリティ基準も義務付けられる。Entrustでは、最新技術、最新のビジネスモデルに追随しつつ、セキュリティ強化とユーザーの利便性の両立を、これからも追求する」と強調し、講演を締めくくった。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:エントラストジャパン株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2018年3月30日