第1回 OATHが目指す“信頼”の形
相原 敬雄日本ベリサイン株式会社
マーケティング部 課長
2006/1/20
インターネットの出現により、過去の地政学的な障壁はここ数年の間に消え失せ、PtoP通信や、これまで考えられなかったような情報交換が可能になりました。インターネット、つまり“ネットワークのネットワーク”によって世界中の人々にもたらされた変化の顕著な例としては、Eコマースとメールの2つが挙げられます。
同時に、残念なことではありますが、ネットワークのユビキタス性や柔軟性によって、セキュリティ面の懸念が生じているのも現実であり、インターネットは危険な場所になりつつあります。
インターネットの発展を可能にした背景の技術的キーワードとして「オープン」「標準化」および「相互運用性」が挙げられます。しかし、認証システムおよび関連技術では「オープン」「標準化」および「相互運用性」はいまだにインターネット以前のコンピュータシステムと同等のレベルでしかないといえます。
あらゆるユーザー、あらゆるデバイス、あらゆるアプリケーション、あらゆるネットワークをまとめるインターネットの健全な発展を可能にするには、通信相手、使用しているデバイスおよびアプリケーション、そしてネットワークが「信頼」できる必要があります。
「信頼」の基本となるのが、「あなたは誰」ということがバーチャルの世界でもリアルの世界と同等のレベルで確立できる認証技術です。現在最も普及している認証方式であるユーザー名/パスワード方式はリアルの世界でいえば「開けゴマ」の合言葉と同等のレベルであり、当然、リアルの世界は必要に応じて、合言葉よりセキュアな認証手段を用途に応じて使い分けています。ユーザー名/パスワードより強固な認証技術の普及がインターネットの安心と安全を取り戻すための鍵の1つといえるのではないでしょうか。
今回の連載では強固な認証の必要性からそれを実現するために発足した「OATH(Initiative for Open AuTHentication)」の解説、そしてOATHからオープン化されたワンタイムパスワード技術、リファレンス・アーキテクチャを解説します。
強固な認証技術の必要性
強固な認証技術がなぜ必要なのかといえば、既存の認証技術であるユーザー名/パスワードの限界が挙げられます。ユーザー名/パスワードは認証技術として次のような問題を抱えています。
・漏えい可能であるが漏えい検知が困難
ユーザー名/パスワードは、キーボードで入力できる、紙に書ける、発声できる、照合するためのデータベースに保存されるなど漏えいする機会が多数存在します。しかし、それらが盗まれたことを把握することは困難です。
・推測およびクラック可能
利用者本人を知っていればユーザー名/パスワードは推測可能であるといわれています。また、コンピュータの性能向上により総当たりアタックを行うための時間とコストは下がる一方です。さらに、専門知識がなくても操作可能なクラックツール、ASPサービスなど多数存在します。
・強度にかかわる逆説
長さ、文字の組み合わせ、使用頻度の制限などを行いパスワードの強度を上げるとユーザーには覚えづらくなり、使い勝手も悪くなります。人間は自然と楽な行動を好むので、パスワードの強度は時間の経過とともに弱くなる可能性があります。
上記のような問題点に加えてユーザー名/パスワードによる認証は「知っていること=what you know」による単一要素の認証であることが最大の弱点です。リアルの世界でいえば名前と合言葉だけですべての取引を行っているような話です。
リアルの世界では対面取引、署名などの「体の特徴=what you are」という要素や、鍵、身分証明書(名刺、社員証、保険証、運転免許証)などの「持っているもの=what you have」などを組み合わせた多要素認証により信頼関係が維持されています。インターネット上で信頼関係を高めるには多要素認証により強固な認証を確立することが重要になっています。
フェデレーテッド・アイデンティティ・ネットワークの台頭
企業が保有するさまざまな情報、サプライチェーンデータ、顧客向けサービスなどの管理にネットワークアプリケーションが導入されるにつれ、企業ではますます、リモートアクセスを利用する社員、ビジネスパートナー、顧客などを含む極めて大規模で動的なエンドユーザーグループに対して、システムへのアクセスを提供することが求められるようになりました。
企業内/外システム全体のアイデンティティ管理の複雑さとコストといった問題に加え、データに対するアクセスを開放する必要性から、本人確認、身分証明書、属性といった情報をパートナー間で共有する「フェデレーテッド・アイデンティティ・ネットワーク」へのニーズが増えています。また、一般消費者の視点からも複数のサイトに個別に個人情報の登録や、ユーザー認証をしなければならないことがインターネットの利便性を阻害しているといえます。
このフェデレーテッド・アイデンティティ・ネットワークを実現するためにも強固な認証システムが必要となります。
|
1/3
|
 |
| Index | |
| OATHが目指す“信頼”の形 | |
 |
Page1 強固な認証技術の必要性 フェデレーテッド・アイデンティティ・ネットワークの台頭 |
| Page2 ネットワークに接続されたIPデバイスの急増 OATHの理念と歴史 |
|
| Page3 OATHのビジョン:ユニバーサルかつ強固な認証 OATHの目標とエコシステム |
|
OATH:オープンスタンダードな認証基盤 バックナンバー
- 第1回 OATHが目指す“信頼”の形
- 第2回 認証技術の複合化を目指すOATHのロードマップ
 |
Security&Trust記事一覧 |
TechTargetジャパン
- 実録、「Hardening Zero」の舞台裏 (2012/5/25)
コラムの更新頻度を落として何をやっていたかって? 「守る技術」に焦点を当てたこんなイベントを開催しました - 複雑化、巧妙化する脅威への対策は? (2012/5/23)
データ保護や標的型攻撃対策、クラウドセキュリティ……「第9回 情報セキュリティEXPO」の会場で見つけた製品を一挙に紹介 - 仮想化がはらむ新たなリスク (2012/5/17)
仮想化に伴って生じるセキュリティやパフォーマンスへの影響を慎重に考慮し、うまく制御していく方法を紹介します - 新入生も新入社員も勉強会に寄っといで! (2012/5/14)
週末ともなれば至るところでセキュリティ系勉強会やCTFなどのイベントがあり、ツイートも盛り上がりました
 |
|
|
|
|
キャリアアップ
スポンサーからのお知らせ
- - PR -
イベントカレンダー
- - PR -
お勧め求人情報
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
ホワイトペーパー(TechTargetジャパン)
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。