第2回 認証技術の複合化を目指すOATHのロードマップ

相原 敬雄
日本ベリサイン株式会社
マーケティング部 課長
2006/2/18

 第1回「OATHが目指す“信頼”の形」では、「OATH(Initiative for Open AuTHentication)」の理念と歴史、将来的なビジョンについて解説しました。OATHが動きだした背景には、一般的に利用されているユーザーID/パスワードによる認証システムが限界にきていることが挙げられます。

 OATHの目標には、ワンタイムパスワード(OTP)やPKI(Public Key Infrastructure:公開鍵基盤)、SIMカード(Subscriber Identity Module:加入者識別モジュール)を組み合わせた、オープンで低コストの多元的な認証デバイスの仕様を、ベンダからメーカーまであらゆる関係者に広めるというものがあります。今回は、OATHのロードマップに沿って、具体的な取り組みについて見ていきましょう。

 OATHは設立時にロードマップを開示しており、それを基に技術開発およびアーキテクチャの検討が行われています。ロードマップでは次の3つの領域においての提言が行われています。

  • クレデンシャルおよびセキュリティデバイス
  • 認証プロトコルフレームワーク
  • クレデンシャルのプロビジョニングと検証

 クレデンシャルおよびセキュリティデバイス

 OATHでは、次の3つのメジャーな認証方法を扱う必要があるとしています。

  • SIMベースの認証(GSM/GPRS SIM使用)
  • PKIベースの認証(X.509 v3証明書使用)
  • OTPベースの認証

 これら3つの方法で、クレデンシャルの中心セット(SIMシークレット、X.509証明書、OTP)を規定し、これらがデバイスやアプリケーションの隔たりがなく、共存や相互運用が可能なものになるよう要請します。これらはそれぞれ、オープンかつ相互運用可能な環境において、次の特定用途が想定されています。

SIMベースの認証

 SIMベースの認証方法は、通信分野で優位を占めています。また、パブリックWi-Fiネットワークの重要な認証方法として新たに台頭しています(GSM/GPRSおよびIEEE 802.11ネットワーク間での認証およびローミング)。

PKIベースの認証

 PKIは、認証および通信用の主なインターネットプロトコル(TLS、WSセキュリティ、IPSec IKE、802.1X、SIPなど)に使われている基本的なセキュリティコンポーネントです。強固な身分証明書としてX.509証明書を選択することは、エンタープライズマーケットや政府マーケットの発展動向とも一致します。さらに、認証だけでなく書類やメールへの電子署名、ファイル暗号化といった別のセキュリティ機能にも使えます。

OTPベースの認証

 この認証方法は、従来のアプリケーションと最新のアプリケーションとの架け橋になることを目的としています。OTPクレデンシャルは、ユーザーパスワードだけに頼るアプリケーション(例えばWebアプリケーション、メインフレームアプリケーション、ERPシステム)との統合を促進します。エンドユーザーはすでに固定的パスワードに慣れているので、デバイス生成方式のパスワードは強固な認証への移行をスムーズに促進することが期待できます。

 OTPのオープンな標準規格はまだ確立されていないので、ロードマップでは共有部分のOTPアルゴリズムを提案しています。このアルゴリズムが、ソフトウェアならびにハードウェアのセキュリティトークン用の基本OTPアルゴリズムとしてオープンソース化され、使用されることになります。OATHではHOTP(An HMAC-based One Time Password Algorithm)としてこのアルゴリズムを公開しています。

 オールインワンセキュリティデバイス

 ロードマップでは、基本認証方法をすべてでなくても多数組み込めるセキュリティデバイス(オールインワンセキュリティデバイス)の作成を推進しています。柔軟性と汎用性の極めて高いセキュリティデバイスにより、広範なネットワークやアプリケーションとのやりとりができるようになるからです。

 複数の認証方法を、1個のセキュリティデバイスに統合する利点を、リモートアクセスシナリオで説明しましょう。デバイスには、PKI対応のSIMチップを内蔵したUSBトークンや、OTPを表示するディスプレイ付きリーダーを内蔵したスマートカードなどが想定されます。

オールインワンセキュリティデバイスのイメージ

 ユーザーは、このようなハイブリッドデバイスを使用して、SIMベース認証対応のWi-Fiネットワーク上をローミングします。パブリックネットワークからは、トークンに保管されている自分のRSA秘密鍵と電子証明書を使用して、会社のゲートウェイにVPNによる接続ができます。VPNトンネルが確立されると、トークンが生成したワンタイムパスワードを使用して、Webインターフェイスを介して自分の会社のポータルへログオンし、アカウントにアクセスできる、というわけです。

 このシナリオに示されているように、ユーザーのあらゆる状況に対応できる、極めて用途の広いトークンやスマートカードを積極的に取り入れることで、専用デバイスによって築かれていた障壁を壊すことができます。

1/2

Index
認証技術の複合化を目指すOATHのロードマップ
Page1
クレデンシャルおよびセキュリティデバイス
オールインワンセキュリティデバイス
  Page2
認証プロトコルフレームワーク
クレデンシャルのプロビジョニングと検証

OATH:オープンスタンダードな認証基盤 バックナンバー


Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH