第1回 OATHが目指す“信頼”の形
相原 敬雄日本ベリサイン株式会社
マーケティング部 課長
2006/1/20
インターネットの出現により、過去の地政学的な障壁はここ数年の間に消え失せ、PtoP通信や、これまで考えられなかったような情報交換が可能になりました。インターネット、つまり“ネットワークのネットワーク”によって世界中の人々にもたらされた変化の顕著な例としては、Eコマースとメールの2つが挙げられます。
同時に、残念なことではありますが、ネットワークのユビキタス性や柔軟性によって、セキュリティ面の懸念が生じているのも現実であり、インターネットは危険な場所になりつつあります。
インターネットの発展を可能にした背景の技術的キーワードとして「オープン」「標準化」および「相互運用性」が挙げられます。しかし、認証システムおよび関連技術では「オープン」「標準化」および「相互運用性」はいまだにインターネット以前のコンピュータシステムと同等のレベルでしかないといえます。
あらゆるユーザー、あらゆるデバイス、あらゆるアプリケーション、あらゆるネットワークをまとめるインターネットの健全な発展を可能にするには、通信相手、使用しているデバイスおよびアプリケーション、そしてネットワークが「信頼」できる必要があります。
「信頼」の基本となるのが、「あなたは誰」ということがバーチャルの世界でもリアルの世界と同等のレベルで確立できる認証技術です。現在最も普及している認証方式であるユーザー名/パスワード方式はリアルの世界でいえば「開けゴマ」の合言葉と同等のレベルであり、当然、リアルの世界は必要に応じて、合言葉よりセキュアな認証手段を用途に応じて使い分けています。ユーザー名/パスワードより強固な認証技術の普及がインターネットの安心と安全を取り戻すための鍵の1つといえるのではないでしょうか。
今回の連載では強固な認証の必要性からそれを実現するために発足した「OATH(Initiative for Open AuTHentication)」の解説、そしてOATHからオープン化されたワンタイムパスワード技術、リファレンス・アーキテクチャを解説します。
強固な認証技術の必要性
強固な認証技術がなぜ必要なのかといえば、既存の認証技術であるユーザー名/パスワードの限界が挙げられます。ユーザー名/パスワードは認証技術として次のような問題を抱えています。
・漏えい可能であるが漏えい検知が困難
ユーザー名/パスワードは、キーボードで入力できる、紙に書ける、発声できる、照合するためのデータベースに保存されるなど漏えいする機会が多数存在します。しかし、それらが盗まれたことを把握することは困難です。
・推測およびクラック可能
利用者本人を知っていればユーザー名/パスワードは推測可能であるといわれています。また、コンピュータの性能向上により総当たりアタックを行うための時間とコストは下がる一方です。さらに、専門知識がなくても操作可能なクラックツール、ASPサービスなど多数存在します。
・強度にかかわる逆説
長さ、文字の組み合わせ、使用頻度の制限などを行いパスワードの強度を上げるとユーザーには覚えづらくなり、使い勝手も悪くなります。人間は自然と楽な行動を好むので、パスワードの強度は時間の経過とともに弱くなる可能性があります。
上記のような問題点に加えてユーザー名/パスワードによる認証は「知っていること=what you know」による単一要素の認証であることが最大の弱点です。リアルの世界でいえば名前と合言葉だけですべての取引を行っているような話です。
リアルの世界では対面取引、署名などの「体の特徴=what you are」という要素や、鍵、身分証明書(名刺、社員証、保険証、運転免許証)などの「持っているもの=what you have」などを組み合わせた多要素認証により信頼関係が維持されています。インターネット上で信頼関係を高めるには多要素認証により強固な認証を確立することが重要になっています。
フェデレーテッド・アイデンティティ・ネットワークの台頭
企業が保有するさまざまな情報、サプライチェーンデータ、顧客向けサービスなどの管理にネットワークアプリケーションが導入されるにつれ、企業ではますます、リモートアクセスを利用する社員、ビジネスパートナー、顧客などを含む極めて大規模で動的なエンドユーザーグループに対して、システムへのアクセスを提供することが求められるようになりました。
企業内/外システム全体のアイデンティティ管理の複雑さとコストといった問題に加え、データに対するアクセスを開放する必要性から、本人確認、身分証明書、属性といった情報をパートナー間で共有する「フェデレーテッド・アイデンティティ・ネットワーク」へのニーズが増えています。また、一般消費者の視点からも複数のサイトに個別に個人情報の登録や、ユーザー認証をしなければならないことがインターネットの利便性を阻害しているといえます。
このフェデレーテッド・アイデンティティ・ネットワークを実現するためにも強固な認証システムが必要となります。
|
1/3
|
 |
| Index | |
| OATHが目指す“信頼”の形 | |
 |
Page1 強固な認証技術の必要性 フェデレーテッド・アイデンティティ・ネットワークの台頭 |
| Page2 ネットワークに接続されたIPデバイスの急増 OATHの理念と歴史 |
|
| Page3 OATHのビジョン:ユニバーサルかつ強固な認証 OATHの目標とエコシステム |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
||
|
||
|
注目のテーマ
Security & Trust 記事ランキング
- 「キミの部門で一番重大なセキュリティ脅威は何かね?」から始める“いまさら”アタックサーフェス管理のススメ
- 米国政府からの支援打ち切りを受け、CVE財団が発足 CVEプログラムの長期的な存続など狙い
- Microsoft、「Security Copilot」でインシデント対応を支援する11のAIエージェントを発表 どう役立つのか
- 無料で「ランサムウェアへの対応方法」を学び、学ばせることも可能な演習用教材 IPAが公開
- 年3回? 4回? 標的型攻撃メール訓練の効果を最大化する「黄金ルール」とは LRMが調査
- IPA「AIセーフティに関するレッドチーミング手法ガイド」改訂 何が変わったのか
- 対象はWindows Server 2025、2022、2019、2016 リモートでのコード実行が可能な脆弱性を修正した更新プログラムをMicrosoftが配布
- 2025年の世界のセキュリティ支出は12.2%増加、支出が増加する業界は? IDC
- SASEが成長の原動力、2024年ネットワークセキュリティ市場シェア2位はFortinet、1位は? Omdiaレポート
- ゼロトラストアーキテクチャへの変革におけるモダナイゼーションの重要性、移行への実践的なアプローチ
- Google Chromeのゼロデイ脆弱性を発見、悪用されると「リンクをクリックするだけで攻撃が成立」 Kaspersky
- 無料で「ランサムウェアへの対応方法」を学び、学ばせることも可能な演習用教材 IPAが公開
- SASEが成長の原動力、2024年ネットワークセキュリティ市場シェア2位はFortinet、1位は? Omdiaレポート
- Microsoft、「Security Copilot」でインシデント対応を支援する11のAIエージェントを発表 どう役立つのか
- 経験豊富なハッカーからサイバー犯罪の初心者まで網羅する「VanHelsing」の脅威が拡大中 チェック・ポイント・ソフトウェア・テクノロジーズ
- 対象はWindows Server 2025、2022、2019、2016 リモートでのコード実行が可能な脆弱性を修正した更新プログラムをMicrosoftが配布
- 米国政府からの支援打ち切りを受け、CVE財団が発足 CVEプログラムの長期的な存続など狙い
- 「RPKI」「DNSSEC」「DMARC」のガイドライン策定に込められた思い、内容のポイントとは 作成した有識者らが解説
- IPA「AIセーフティに関するレッドチーミング手法ガイド」改訂 何が変わったのか
- “闇バイト的ランサムウェア攻撃”にご用心 フィジカル空間の犯罪スキームがデジタル空間にも波及?
転職/派遣情報を探す
