PKIアウトソーシングサービスとして多彩なソリューションを提供 　「ベリサインのマネージドPKIサービス：VeriSign OnSite」 　第2回 ユーザーサイドのソリューション （2）

	ベリサイン セキュアビジネス シリーズ： 　ソニー 指紋認証 ソリューション（PUPPY）との連携

　PKIがその有効性を発揮するには先に紹介したとおり、“秘密鍵は本人以外が持ち得ない”という形の運用を守ることが重要である。証明書や秘密鍵は通常、PCのHDD内に保管される。しかし、PCのHDD内は内容を簡単にコピーできるので、他人が証明書を不正に取得して使用することも不可能ではない。

　そこで、次に紹介する2つの製品のように証明書は、PC本体内に置かず、ハードウェアトークンという形で本人が肌身離さずに持っていることが望ましい。さらに、指紋などによる強固な本人認証をプラスすることで、より高度なセキュリティ環境が構築できる。

●ソニー 指紋認証 ソリューション

　まずは、ソニーのPUPPYを紹介する。この製品は「指紋認証デバイス」と「USBトークン」が一体となった指紋認証付きトークンである。

図10 指紋読み取りだけでなく、照合およびUSBトークンの機能が一体となったPUPPY

　指紋認証を使うメリットとしては、次のものがある。

• 本人証明が一層厳格になる。
• 証明書を使用するためのパスワードを入力する必要がなくなるため、パスワードを忘れる危険性が回避できる。

　またPUPPYには、内部的にICカードと同等の機能があるので、PUPPY内で生成された鍵ペアおよび、証明書はPUPPYの外部に出ることがなく、そのコピーも非常に難しい。さらに後述するが、指紋照合用データもPC側に保存されず、PUPPY内に保存されるので、この面での安全性も高い。

　例えば、Webサイトへアクセス要求をする際などに、サーバが要求するデジタル証明書はPUPPY内に格納されているので、PUPPYを持ち、かつ指紋が合う人でなければログインできない。より強固な本人認証をしたうえでWebサイトへのアクセスをすることができるのだ。正しい運用を行えば、安全性はICカードやUSBポートに挿入するトークンデバイス以上であるといえる。

　PUPPYのもう1つのメリットは、指紋の代わりに、パスワードを用いることが可能という点だろう（併用も可能）。ICカードやUSB接続型トークンデバイスは、証明書のパスワードとは別にトークンデバイス用のパスワードを記憶する必要がある。

　パスワードはおそらくほとんどのユーザーが数種類持っているため、忘れてしまうことが多い。厳格なセキュリティを構築・運用していくうえで、パスワード管理は難しい問題だ。これに対して指紋認証を始めとした生体認証（バイオメトリクス）は、そのような心配がなく、ユーザーにとっても認証自体が簡単に行える。PUPPYは、その特徴をうまく生かした製品であるといえる。

　続いて、実際にVeriSign OnSiteとPUPPYを使った場合の導入手順を見ていこう。

●PUPPYへの指紋の登録

　まず始めに、PUPPYに指紋を登録する。

図11 認証方法として指紋を指定

　PUPPYでは指紋とパスワードの組み合わせでも、認証を行うことができる。利便性という面からいえば指紋だけの方が便利だが、認証の精度を上げたいという場合には、指紋とパスワードの組み合わせを利用することもできる。

図12 指紋とパスワードの2重認証の形にすることもできる

　次に、登録する指を選択する。

図13 指紋を登録する指を選択する

　続いて、実際に指紋データの取り込みを行う。PUPPYでは指紋を6回取得して、その中の3つのサンプル画像データから、1つの認証用指紋データを作成する。指紋は、最初に登録したときと実際に認証に利用するときとで、微妙なずれが生じる可能性があるので、このように複数のサンプルを取得しておくのである。

図14 指紋の登録

図15 指紋の登録

●PUPPYを利用した証明書の申請

　PUPPYでは、その本体内で鍵ペアを生成し、Webブラウザ経由で証明書を申請し、取得した証明書もPUPPY内に格納できる。秘密鍵は、一切PUPPYから出ることはなく、PCに保存されないため、極めて高いセキュリティ環境を実現できる。

　PUPPY内に直接証明書を格納する場合は、証明書の申請時に使用する暗号化サービス・プロバイダでPUPPYと指定する。そのほか必要事項を入力して［Submit］ボタンを押すと、PUPPY対応のソフトウェアが指紋入力を要求してくるので、PUPPYで指紋照合を行う。正常に指紋認証が行われると鍵ペアの生成が行われ、公開鍵がCAに送信される。

図16 証明書、鍵ペアを格納する媒体のCPS（暗号化モジュールプロバイダ）を選択する（画像拡大）

●PUPPY内へ証明書を格納

　証明書の申請に対して、証明書の発行通知の電子メールが返信されてきたら、Digital ID取得ページに行き、電子メールで指定されたPINコードを入力する。ここで再び指紋照合を行うと、先に申請した公開鍵にCAが署名した証明書がダウンロードされ、PUPPY内に格納される。

図17 PUPPY内での証明書取得

●証明書の確認

　PUUPYには複数の証明書を格納できる。外部からPKCS#12形式での証明書インポートや、保存されている証明書の確認は、PUPPYの管理画面から行う。

図18 PUPPYの設定、証明書の管理を行うUserManager

図19 PUPPY内の証明書の一覧

●指紋認証

　設定が完了したら、証明書の使用が必要な場面（SSLクライアント認証によるWebサイトへの接続、暗号化メールなど）でPC画面に、下のようなメッセージが表示される。

図20 指紋の登録

　ここでPUPPYのシャッターを開け、登録した指を置くと、照合チェックが開始される。

図21 指紋の照合チェック

　指紋に異常がない場合は、正常な認証が行われたとしてアプリケーションへのログインなどの処理を行うことができるようになるが、他人の指など登録したものと違う指で照合を試みた場合エラーとなる。また、登録した指でも登録してある指紋画像データと違う画像（指を置く位置が大きくずれている場合など）となってしまった場合は、エラーメッセージが出るので、指の置く位置を調整するなどして再度認証を行う。

システムニーズ 本人認証 ソリューション（WinSafe）との連携

ロードマップ

■第1回 PKI運用の新しいかたち 　 （1） - PKIの使用用途 　 - マネージドPKIサービス「VeriSign OnSite」とは 　 （2） - VeriSign OnSiteの申請手順 　 - 認証局の設定 　 　 - 証明書利用者が証明書を取得する場合の手順 　 　 - 加入者の承認 　 - ベリサイン マネージドPKIサービスのまとめ ■第2回 ユーザーサイドのソリューション 　 （1） - 電子メール、Webブラウザでの利用 （2） - ソニー 指紋認証 ソリューション（PUPPY）との連携 　 （3） - システムニーズ 本人認証 ソリューション（WinSafe）との連携 　 - 広がりが期待できる本人認証ソリューション ■第3回 電子署名ソリューション 　 （1） - シヤチハタ 電子決裁 ソリューション（パソコン決裁）との連携 　 　 - VeriSign証明書取得からパソコン決裁で使用するまで 　 （2） - 日本電子公証機構 証跡管理 ソリューション（dPROVE）との連携 　 　 - dPROVEのサービスとは 　 　 - dPROVEサービスの申し込みおよび、証明書取得の手順 　 （3） - dPROVEのサービスの使用方法 - 連載の最後に