第2回 認証技術の複合化を目指すOATHのロードマップ
相原 敬雄日本ベリサイン株式会社
マーケティング部 課長
2006/2/18
第1回「OATHが目指す“信頼”の形」では、「OATH(Initiative for Open AuTHentication)」の理念と歴史、将来的なビジョンについて解説しました。OATHが動きだした背景には、一般的に利用されているユーザーID/パスワードによる認証システムが限界にきていることが挙げられます。
OATHの目標には、ワンタイムパスワード(OTP)やPKI(Public Key Infrastructure:公開鍵基盤)、SIMカード(Subscriber Identity Module:加入者識別モジュール)を組み合わせた、オープンで低コストの多元的な認証デバイスの仕様を、ベンダからメーカーまであらゆる関係者に広めるというものがあります。今回は、OATHのロードマップに沿って、具体的な取り組みについて見ていきましょう。
OATHは設立時にロードマップを開示しており、それを基に技術開発およびアーキテクチャの検討が行われています。ロードマップでは次の3つの領域においての提言が行われています。
- クレデンシャルおよびセキュリティデバイス
- 認証プロトコルフレームワーク
- クレデンシャルのプロビジョニングと検証
クレデンシャルおよびセキュリティデバイス
OATHでは、次の3つのメジャーな認証方法を扱う必要があるとしています。
- SIMベースの認証(GSM/GPRS SIM使用)
- PKIベースの認証(X.509 v3証明書使用)
- OTPベースの認証
これら3つの方法で、クレデンシャルの中心セット(SIMシークレット、X.509証明書、OTP)を規定し、これらがデバイスやアプリケーションの隔たりがなく、共存や相互運用が可能なものになるよう要請します。これらはそれぞれ、オープンかつ相互運用可能な環境において、次の特定用途が想定されています。
SIMベースの認証
SIMベースの認証方法は、通信分野で優位を占めています。また、パブリックWi-Fiネットワークの重要な認証方法として新たに台頭しています(GSM/GPRSおよびIEEE 802.11ネットワーク間での認証およびローミング)。
PKIベースの認証
PKIは、認証および通信用の主なインターネットプロトコル(TLS、WSセキュリティ、IPSec IKE、802.1X、SIPなど)に使われている基本的なセキュリティコンポーネントです。強固な身分証明書としてX.509証明書を選択することは、エンタープライズマーケットや政府マーケットの発展動向とも一致します。さらに、認証だけでなく書類やメールへの電子署名、ファイル暗号化といった別のセキュリティ機能にも使えます。
OTPベースの認証
この認証方法は、従来のアプリケーションと最新のアプリケーションとの架け橋になることを目的としています。OTPクレデンシャルは、ユーザーパスワードだけに頼るアプリケーション(例えばWebアプリケーション、メインフレームアプリケーション、ERPシステム)との統合を促進します。エンドユーザーはすでに固定的パスワードに慣れているので、デバイス生成方式のパスワードは強固な認証への移行をスムーズに促進することが期待できます。
OTPのオープンな標準規格はまだ確立されていないので、ロードマップでは共有部分のOTPアルゴリズムを提案しています。このアルゴリズムが、ソフトウェアならびにハードウェアのセキュリティトークン用の基本OTPアルゴリズムとしてオープンソース化され、使用されることになります。OATHではHOTP(An HMAC-based One Time Password Algorithm)としてこのアルゴリズムを公開しています。
オールインワンセキュリティデバイス
ロードマップでは、基本認証方法をすべてでなくても多数組み込めるセキュリティデバイス(オールインワンセキュリティデバイス)の作成を推進しています。柔軟性と汎用性の極めて高いセキュリティデバイスにより、広範なネットワークやアプリケーションとのやりとりができるようになるからです。
複数の認証方法を、1個のセキュリティデバイスに統合する利点を、リモートアクセスシナリオで説明しましょう。デバイスには、PKI対応のSIMチップを内蔵したUSBトークンや、OTPを表示するディスプレイ付きリーダーを内蔵したスマートカードなどが想定されます。
 |
| オールインワンセキュリティデバイスのイメージ |
ユーザーは、このようなハイブリッドデバイスを使用して、SIMベース認証対応のWi-Fiネットワーク上をローミングします。パブリックネットワークからは、トークンに保管されている自分のRSA秘密鍵と電子証明書を使用して、会社のゲートウェイにVPNによる接続ができます。VPNトンネルが確立されると、トークンが生成したワンタイムパスワードを使用して、Webインターフェイスを介して自分の会社のポータルへログオンし、アカウントにアクセスできる、というわけです。
このシナリオに示されているように、ユーザーのあらゆる状況に対応できる、極めて用途の広いトークンやスマートカードを積極的に取り入れることで、専用デバイスによって築かれていた障壁を壊すことができます。
|
1/2
|
 |
| Index | |
| 認証技術の複合化を目指すOATHのロードマップ | |
 |
Page1 クレデンシャルおよびセキュリティデバイス オールインワンセキュリティデバイス |
| Page2 認証プロトコルフレームワーク クレデンシャルのプロビジョニングと検証 |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
