第3回 ICチップを搭載するUSBトークンの利点
長谷川 晴彦ペンティオ株式会社
代表取締役
2006/2/14
USBトークンのメリットとデメリット
さて、USBトークンが企業や大学で、実際に個人認証ツールとして使われている背景には、いくつかの運用上のメリットがあることが挙げられる。
まず、ラルクの植田氏も言及していたが、USBトークンをユーザーに配布するだけで、特別なトレーニングやITスキルを必要としないことが大きい。ユーザーはUSBトークンを抜き差ししてPIN入力をするだけで機密情報にアクセスできるようになる。
また、仮にUSBトークンを紛失した場合でも、管理者側の設定を変更することで、第三者によるなりすましを防ぐことができる。さらに、新しい設定に基づいたUSBトークンを再発行すれば、過去のUSBトークンを回収する必要がない。
だが、一方で注意を要する点や解決すべき課題もある。
最も注意すべき点は、例えば東大の事例のように大勢の学生にUSBトークンを配布する場合、「確実にアクセス権限者本人にUSBトークンを手渡せるかどうか」ということである。
このような課題に対しては、発行・再発行する際にUSBトークンを受け取りに来ている人間が、本当にアクセス権限者本人かどうかということを厳重にチェックする運用上の仕組みをつくる必要がある。
なお、PINに替えて指紋認証などの生体認証機能を持ったデバイスを採用することで、USBトークン発行時の課題をデバイス側で補完することも可能である。東大では将来的にそうしたことも視野に入れているという。
そのほかの課題としては、例えば東大のように身分証としてすでにICカードを持っているにもかかわらず「さらにUSBトークンを持たなければならない」という煩雑さの解決があるだろう。どちらもICチップを搭載しているので、原理的にはどちらか1つに集約することは可能なのだが、長く身分証の形態として親しんできた「カード型」デバイスにUSBトークンが取って代わるのは難しい。
逆にカードリーダの使用が必須という課題をクリアできれば、USBトークンがICカードに併呑されてしまう可能性もある。USBトークンがこの危機を乗り越えるには、デバイスのさらなる進化が必要だが、それについては次回述べることにする。
忘れてはならないことは、現在実社会で活用されているUSBトークンの使用例も、決して最終形ではなく、今後、運用方法やデバイスの形態も含めてさらに変化・進化していく余地を十分に残しているということである。提供者側も利用者側も、さらなる安全性、利便性を追求して、さまざまな工夫をしていく必要があるわけだ。
USBトークンの選び方
実際にUSBトークンを個人認証用のデバイスとして活用しようとする場合、どんな製品を選べばいいのかという点についても触れておこう。
現在、国内の市場で流通しているUSBトークンは主に3種類である。アラジンジャパンの「eToken Pro」、日本セーフネットの「iKey 2032」、そしてペンティオの「Pentio PKI USB Token type2100」だ。今回は取材のしやすさを考えて、ラルク、東大ともにペンティオ製品を使用しているユーザーを選んだが、基本的な性能は3種類とも大きな差はない。
 |
| 上から「iKey 2032」「eToken Pro」「Pentio PKI USB Token type2100」 |
では、どこに違いがあるのか。列挙してみよう。
1.容量の違い(16KB/32KB/64KB)
もちろん64KBの方が大容量である。これは各社製品の発売時期の違いが要因であって、近い将来32KB以上のものが主流になる。
2.内蔵暗号アルゴリズム(RSA1024bit/RSA2048bit)
RSA公開暗号方式のビット数の違いである。ビット数が多いほど解読が複雑になる。2048bit 対応のUSBトークンを利用する場合、認証で利用する機器も2048bitに対応していなければならないので注意が必要だ。
3.セキュリティレベル(FIPS140-1/FIPS140-2)
FIPS140は、暗号モジュールのセキュリティ要件に関する規格であり、FIPS140-1は1995年に制定された。ただし、5年ごとの見直しと新技術への対応が要求されているため、FIPS140-2が2001年に制定されている。
4.対応OS(Windows/Linux/MacOS)
USBトークンが対応可能なOS。LinuxやMacOSに対応していない製品もある。
5.デバイス搭載アルゴリズム
公開鍵暗号(RSA)、共通鍵暗号(DES、3DES)、ハッシュ関数(SHA-1、MD5)などがよく使われるアルゴリズムである。将来はハッシュ関数が増える傾向になるだろう。
6.シリアルナンバーの本体添付(あり/なし)
トークン筐体にシリアルナンバーが添付されているデバイスとされていないデバイスがある。必ずしもある方がいいとは限らない。なぜならば外見から誰の証明書・秘密鍵を含むデバイスか特定できることになる。
7.ソフトウエア(日本語/英語)
USBトークンを使用する前に、必ずドライバのインストールを行う。また、USBトークンを使用する際には、ユーティリティソフトウェアを利用する。これらのソフトウェアが日本語対応になっているかどうか。この点も利用者使い勝手を考えればポイントになる。
上記のような違いを確認したうえで、自社のニーズや環境に適合した製品を選ぶことが大切である。
この連載では便宜上、ICチップを搭載したUSBデバイスをUSBトークンと定義したが、実際にはこの言葉の定義はそれほど明確なものではない。USBトークンをうたいながら、ICチップが搭載されていないデバイスも世の中には流通しているのである。
残念ながらUSBデバイスの分類やそれぞれの特徴・存在意義について正確な理解を有している企業はまだまだ少ない。ユーザーの多くが「暗号化されていれば安全」というような漠然としたセキュリティ感覚しか持っておらず、鍵の持つ意味やその保管方法について熟知し、しかるべき施策を実施している企業はまれだ。
だが、ラルクや東大のように「安全性を担保するにはICチップを搭載したデバイス内部での処理が不可欠」という認識を持つユーザーが現れ始めた以上、われわれ供給者サイドももう一度製品の告知方法やカテゴライズ方法を見直し、正確な情報提供や製品告知を行うべきだ。
ユーザー側にもぜひ正確な理解を持っていただき、真に高い安全性が担保できる情報通信インフラの整備を、共に追求していければ、これに勝る幸せはない。
次回はいよいよ最終回である。USBデバイスそのものの進化だけでなく、連載中にも触れたデバイスの複合化、PINに変わるセキュアな認証技術対応などを展望してみたい。
 |
4/4
|
| Index | |
| ICチップを搭載するUSBトークンの利点 | |
| Page1 機密情報をUSBトークンによる個人認証で管理 |
|
| Page2 教職員にUSBトークンを配布しアクセス権限を認証する |
|
| Page3 高いセキュリティニーズにUSBトークンが応えられる理由 USBキーとUSBトークンのサーバとの通信方法の違い |
|
 |
Page4 USBトークンのメリットとデメリット USBトークンの選び方 |
 |
USBデバイスとセキュリティ 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
