第3回 ICチップを搭載するUSBトークンの利点

長谷川 晴彦
ペンティオ株式会社
代表取締役

2006/2/14

 今回はUSBトークンを取り上げる。USBトークンと前回「事例に見るUSBキーの利点と欠点」にて解説したUSBキーはその機能が似通っている。USBキーは単なる「PCの施錠」という機能だけでなく、ネットワークにアクセスするための個人認証ツールとして使われ始めている。また、PKI(Public Key Infrastructure)の秘密鍵を搭載できるタイプの製品の登場により、両者の区別がますます難しくなりつつある。

 しかし、両者には決定的な違いがある。それは「ICチップ搭載の有無」である。今回はUSBトークンをセキュリティデバイスとして実際に活用している企業や大学の事例を紹介しつつ、USBトークンの特徴とその存在意義について考えていきたい。

 機密情報をUSBトークンによる個人認証で管理

 デバイスや暗号方式についての話をする前に、まずUSBトークンが実際のビジネスの現場でどのように活用されているのかを紹介しよう。

 株式会社ラルクは新規株式公開を目指す企業に対して、公開準備の包括的なサポートを行うコンサルティング会社である。人事、財務、法務から事業計画、目論見書、経営者のプライバシー情報、公開前のディスクロージャー資料など、極めて機密性・重要性の高い情報を顧客企業との間で頻繁にやりとりする必要がある。

 従来、こうした機密情報は漏えい防止のためにメールでのやりとりができず、基本的にはすべて面談時に手渡すという方法で受け渡しをしていた。だが、現在ではこうした情報をWeb上のサーバに保管し、PKIによる個人認証によってアクセスを許された者のみが閲覧できる仕組みを構築している。

 同社取締役で公認会計士でもある植田俊道氏はいう。

 「顧客企業の数が増えると手渡しでやりとりしていては到底追いつかなくなり、Webを使ったリモートアクセスで、どこにいても自由に閲覧できる仕組みの必要性が増してきました。また、目論見書や事業計画書など、当社と顧客企業の間で原案を何度も検討して作り上げていく性格の書類は、旧バージョンもすべて記録・管理しておく必要があり、デジタル化してサーバ上にアップしておくことで利便性が高まります。

 とはいえ、われわれが顧客企業とやりとりしている情報はまさにトップシークレットで、競合企業や投資家、メディアなどには決して漏えいしてはならないものです。Web上でやりとりするには何よりも安全性をいかに確保するかということが重要でした」

 そこでラルクが注目したのがUSBトークンを使ったPKIによる個人認証(WebDAV認証)だった。ラルクが最も危ぐするリスクは、個人認証のための「鍵」が何らかの方法で第三者の手に渡り、アクセス権限者になりすまされてしまうことである。

 それを防ぐには「鍵」をどこかに厳重に格納して外部には出さないことが大切だ。そこで同社はPKIの秘密鍵をUSBトークン内部に格納し、それを外部に出さないというやり方でセキュアな通信を実現しようと考えたのである。

 前回の記事でも述べたとおり、デバイス内部にICチップを持たないUSBキーは、PKIの秘密鍵を格納できても、復号、判定のための演算機能を持たないために、一度秘密鍵をPCなどの外部機器に出す必要がある。これが秘密鍵の流出につながる可能性を否定できない。

 一方、ICチップを内蔵するUSBトークンは秘密鍵によるデジタル署名を内部で行うため、秘密鍵は常にデバイス内部にあり、外部に出されることはない。USBキーに比べれば、より安全性が高いといえるだろう。この点をラルクは評価し、USBトークンの採用を決めたのである。

 「USBトークンによる個人認証を採用した背景には、信頼に足る十分な安全性が得られるということに加え、管理が楽であるということもあります。顧客企業にはUSBトークンとPINを渡すだけで、特別なトレーニングも、ITスキルも必要ありません。顧客企業1社に対して1つのUSBトークンを渡し、それを管理部長や財務担当役員などに厳密に管理していただくという形でデータのやりとりをしています」(植田氏)

1/4

Index
ICチップを搭載するUSBトークンの利点
Page1
機密情報をUSBトークンによる個人認証で管理
  Page2
教職員にUSBトークンを配布しアクセス権限を認証する
  Page3
高いセキュリティニーズにUSBトークンが応えられる理由
USBキーとUSBトークンのサーバとの通信方法の違い
  Page4
USBトークンのメリットとデメリット
USBトークンの選び方


USBデバイスとセキュリティ 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間