携帯電話を使ったシステムのセキュリティ対策(後編)
斎藤松彦
株式会社ラック 不正アクセス対策事業本部
2001/7/26
前回「携帯端末を使ったシステム構築のセキュリティを考える(前編)」では、携帯端末を利用してサーバにアクセスする際には、どのような危険性があるのかを解説した。今回は、その危険性にどのように対応していくのかを解説する。
外部から、携帯端末を利用してサーバにアクセスする際の危険性には、どのように対応すればいいのだろうか。いくつかの手法があるが、それらの内容を解説すると共に、具体的な製品について簡単に紹介していこう。
■ワンタイムパスワード
認証さえクリアすれば、リモートから社内LANに直接アクセスが可能なRASサーバや、グループウェアサーバの認証には、その重要度を考慮して固定パスワードよりセキュリティレベルの高い手段を利用したい。例えばワンタイムパスワード(One
Time Password:OTP)サーバで1度きりのパスワードを生成して、サーバとクライアント間の認証に使うのが有効である。この場合、経路の途中でパスワードが盗聴されたとしても、そのパスワードは次回の認証には使えないからである。以下に特徴を示す。
- クライアント側にはトークンが必要
 |
| RSAセキュリティが提供しているトークンの一例 |
認証サーバのほかに、接続元にはトークンと呼ばれる小型の認証器が必要になる。トークンとサーバが同期をとることで、生成されたパスワードを一致させる。
- サーバとトークンの同期方式はいくつかある
時刻同期、カウンター同期、チャレンジレスポンス方式などがある。時刻同期であれば一定時間(例えば1分)ごとにトークンにパスワードが表示され、カウンター同期であればクライアントが認証を行うときにトークンのボタンを押すと表示される。表示されるパスワードの桁数は約6〜8桁である。念のために、これに4桁のPINコード(固定)を付加して強度を上げることも可能である。
- 総当り攻撃への対応
次のパスワードの入力受け付けを長くする、一定回数以上間違えた場合はパスワードをロックする、などの設定をサーバ側で行うことで防ぐことができる。
- バーチャルトークン
トークンを携帯するのが面倒だという場合、バーチャルトークン・サーバと呼ばれるものを使うこともできる。このサーバはインターネット上(あるいはLAN内に設置することも可能)にあって、認証サーバと同期をとってパスワードを生成し、クライアントへ発行する。
携帯端末からSSLでこのサーバへアクセスし、取得したパスワードを用いて、LAN内のサーバ(例えばWebサーバ)の認証を行う仕組みである。バーチャルトークンへの接続から最終的なLANのサーバへの認証まで、携帯電話の画面上の簡単な操作で行えるようになっており便利である(下記で紹介するメトロのSAFEWORDがこの機能を持った製品である)。
 |
| 図3 バーチャルトークンを利用した認証 |
| 製品紹介(ワンタイムパスワード) |
SecurID(RSAセキュリティ)
OTPによる認証システム。認証には認証サーバと個人が携帯するトークンとで同期を取って行う。LDAPをサポートしている。
SAFEWORD(メトロ)
OTPによる認証システム。携帯電話用にはバーチャルトークン・サーバと呼ばれるハードウェア・トークンの代わりにパスワードを生成・発行するサーバもある。これによりトークンを携帯する手間が省ける。LDAPをサポートしている。 |
|
■専用ゲートウェイ
メールの送受信、あるいはグループウェアを使うといった特定の要望に対して、それら特定の機能を持った専用のゲートウェイサーバを構築するという手もある。ゲートウェイ上ではメールやグループウェアの形式を、各種携帯電話で読める形式に変換しているため、PDAだけでなく携帯電話からでも使うことが可能である。以下に特徴を示す。
- 直接LAN内のサーバにアクセスさせない
機能上、携帯電話のプロトコル(WAP/iモード/EZWeb)はメールボックスなどにアクセスする機能を提供していないため、必然的にゲートウェイが必要になる。これにより、たとえゲートウェイが攻撃されても、LAN内にあるサーバが直接影響を受ける可能性は低い。この意味では、専用ゲートウェイをDMZ(DeMilitarized
Zone)に設置するなどして、LANと切り離す構成は有効である。
- 携帯電話の操作性を考慮
既存のPC用のコンテンツを修正して携帯電話用にしたものではなく、最初から携帯電話用に設計されているものの方が使いやすい。また、必要な前処理をゲートウェイ上で行うため、画面表示・処理能力に制限のある携帯電話に使いやすさを提供するという面でも効果的である。
- Webサーバの脆弱性も考慮
携帯端末からは指定のURLへアクセスする形で使うものが多く、Webサーバと連携して動作するゲートウェイサーバの場合は、Webサーバの自体の脆弱性にも気を配る必要がある。製品によっては、複数のWebサーバとの連携が可能なものがある。この場合は、脆弱性によるバージョンアップの頻度なども考慮して、Webサーバを選ぶように心掛けたい。
- 認証はサーバとの連携
OTP認証サーバと連携することができるものもある。SSLを用いた暗号化通信が使えない場合には、これにより認証機能を強化することが可能である。もし既存の認証サーバ(例えば前述のRASサーバ用に)があるのであれば、これを利用することも検討したい。
| 製品紹介(専用ゲートウェイ) |
xGATE(オレンジソフト)
携帯電話からメールを読むためのゲートウェイサーバ。IMAP4で複数のメールサーバにアクセスし、効率的なメールの取り出しが可能。OTP認証やLDAPとの連携も可能。
ドミノ
フォンコネクト R2.1(ロータス)
携帯電話、PDA からノーツのアプリケーション(メール、カレンダー、アドレス帳など)にアクセスするためのソフトウェア。OTP認証サーバとの連携可能。
サイボウズ
ケイタイ4(サイボウズ)
携帯電話から「サイボウズ Office 4」のデータ(個人スケジュール、ToDoリストなど)にアクセスするためのソフトウェア。
Bizport(コンパック)
携帯電話からBizportへアクセスし、スケジュールや伝言管理機能などを利用することができる。
iLook
for Exchange(ソフトバンク・テクノロジー)
iモードからMicrosofta Exchange Serverへアクセスし、Outlookの持つ機能( メール、予定表、ToDo、連絡先など)を利用できる。 |
|
■IP閉域網(IP-CUG)
キャリアの中には、携帯電話からもアクセスできるIP閉域網(IP-CUG)のサービスを提供しているところがあり、これを利用する方法もある。これはインターネットから独立しており、LAN側とキャリア間でしか通信できないので安全性が高い。以下に特徴を示す。
- 通信経路が暗号化
認証や盗聴、改ざんといった問題はほぼクリアできる。ただし、VPN(Virtual Private Network)であっても万全ではないので注意が必要である。例えば、インターネット経由でVPNを設置する場合、いわゆるMan
In The Middle attackにより、経路上に悪意のあるユーザ管理のルータが設置され、ネゴシエーション時の鍵交換の暗号を読み取られ、セッションハイジャック、あるいはなりすましが行われる可能性もある。
- 携帯端末の種類が制限される
特定のキャリアのサービスであるため、携帯端末の種類が制限される。あくまでキャリア通信網とLANとの接続なので、ローミングサービスがある場合などは除き、基本的にこのサービスを提供していないキャリアの携帯端末からはアクセスはできない。
- アプリケーションサーバの導入が必要
IP-CUG自体は経路を安全にするだけなので、携帯電話を端末として使うのであれば、LAN内に別途携帯電話用のアプリケーションサーバの導入が必要である。
| 製品紹介(IP-CUG) |
CUNetsサービス(NTT
PCコミュニケーションズ)
CUNetsサービスは、一言でいえば以前のNNCSサービスをブローバンドに対応させたサービスである。IP閉域網を使っている点においては両者は同じなので、セキュリティ面で両者に大きな違いはない。すでにNNCSサービスを使用してるネットワークの構成でも、ルータのIPアドレスの書き換えといった程度の変更で、CUNetsサービスに切り替える事が可能。
|
|
■SSL
WAPには独自の認証・暗号化機能があるが、iモードでもSSL対応の端末(503iシリーズ)であれば、端末からインターネット上のWEBサーバまでSSLで通信することが可能である。以下に特徴を示す。
- 通信経路が暗号化
SSLにより認証、データの暗号化が可能である。最近の機種では、PCのWebブラウザと同様の128ビットの鍵長がサポートされている。
- サーバ認証
多少費用はかかるが、CA局から証明書を取得すれば、クライアントからのサーバ認証が可能である。これにより携帯端末からは、信頼できるWebサーバにアクセスしていることが保証される。
| 
