 |
PKIアウトソーシングサービスとして多彩なソリューションを提供
「ベリサインマネージドPKIサービス」
第2回 ユーザーサイドのソリューション - (3)
|
| |
ベリサイン セキュアビジネス シリーズ:
システムニーズ 本人認証 ソリューション(WinSafe)との連携
|
 |
 |
WinSafeは、PCの情報を保護するために、ICカード、USBトークンなどのハードウェアを用いて利便性と安全性を提供する製品である。ハードウェアの形態としては、「通常のICカード」「ICカード型USBトークン」「指紋照合トークン」などがある。
●WinSafeの機能
WinSafeは、PCの利用者制限と機密データの保護に威力を発揮するソリューションで、VeriSign OnSiteと組み合わせることで、ICカードや指紋照合トークンに格納したデジタル証明書により、セキュアなWebサイトの構築、電子メールの暗号化・電子署名、申請書の電子署名などの用途に、より確実な本人確認の実現ができる。以下に主な機能を紹介する。
|
機 能
|
詳 細
|
| PC使用者起動制限(鍵) |
特定のセキュリティトークン(ICカード、または指紋照合トークン)でのみ、そのパソコンを起動できるように制限をかけることができる。
|
| 自動ログイン |
ICカードを挿入するだけ、または指を指紋照合トークンに置くだけで、Windowsネットワーク、NetWareネットワークに自動的にログインすることができる。また、自動ログイン後、各種アプリケーションのパスワード自動入力を行うシングルサインオン機能を搭載している。
|
| 自動暗号・復号 |
あらかじめ設定しておけば、使用するファイルをログイン時に自動で復号し、ログオフ時に自動暗号ができる機能。 |
| 随時暗号・復号 |
Internet Explorerから簡単に個人暗号・復号、グループ暗号・復号が可能。 |
| グループ暗号・復号 |
WinSafeシリーズを持っている人との間で、暗証キーを設定した暗号ファイルのやり取りが可能。 |
| スクリーンセーバロック |
処理の途中でPCの前を離れる場合、ICカードを抜くか、アイコンをダブルクリックするだけでスクリーンセーバによるロックをかけることができる。 |
| シングルサインオン機能付きパスワード・バンク |
さまざまなアプリケーションが要求するパスワードやデータを、セキュリティトークンのセキュアなメモリに記録して、要求に応じて自動でアプリケーションに引き渡す。
ロータスノーツ、メール、会計ソフト、会員制Webサイト、オンライントレード、インターネットバンキング、パソコンバンキングなどに対応。 |
| 不正侵入検知と防御 |
LANカードやモデムを経由して、PCに不正アクセスが行われた場合、自動的に検知する。 さらに、その発信元IPアドレスを自動的にフィルタリングし、その後のアクセスを許可しない。 |
●証明書の申請
今回は、「WinSafe with PKI」で、ハードウェアトークンにベリサインの証明書を格納する手順を紹介する。
まずは、証明書の申請時に「暗号化サービス・プロバイダ」を選択する。ここではWinSafeで使用するハードウェアトークン名を選択する。その際、秘密鍵・公開鍵の生成が行われ、公開鍵がCAに送信される。
| ※なお、「第1回
PKI運用の新しいかたち」の記事内の「証明書利用者が証明書を取得する場合の手順」において、証明書の申請が記載してあるので、詳しくはそちらを参照いただきたい。
|
 |
| 図22 暗号化サービス・プロバイダの選択(画像拡大) |
●証明書の取得
証明書の申請に対して、証明書の発行通知の電子メールが返信されてきたら、Digital ID取得ページに行き、電子メールで指定されたPINコードを入力する。ここで、[Submit]を押すとCAが署名した証明書がハードウェアトークンに直接ダウンロードされ、格納される。
 |
| 図23 Digatal IDの取得 |
格納された証明書はハードウェアトークンのユーティリティで確認できる。
 |
| 図24 証明書の格納場所 |
また、証明書の内容は以下のように表示される。
 |
| 図25 証明書の内容 |
以上で設定は終了した。これにより、ICカードやUSBトークンを物理的な“鍵”として使用することができ、この“鍵”を持っているユーザーだけが、PCやネットワークの利用やデジタル証明書の使用が可能となる。ユーザーも、ICカードをPCに接続したリーダーに差し込むだけでよい。
| |
広がりが期待できる本人認証ソリューション
|
|
|
証明書は、Webサイトでのクライアント認証や電子メールの暗号化、電子署名など、数々の証明書対応アプリケーションに使用できることがお分かりいただけたと思う。
この証明書とPUPPYやそのほかセキュリティ・トークンの併用は、本人認証を厳格に行いたいという場合、極めて有効であろう。証明書によるクライアント認証といっても、証明書が保存されているクライアントPCであることの証明に過ぎないため、PC自体の盗難やパスワードの流出といったリスクには対応しづらい。その点、PUPPYのようなバイオメトリクスソリューションは“本人認証”という意味では極めて厳密なシステムを構築できる。また、証明書の取得時はもとより、トークンデバイスの設定内容(鍵、証明書)を変更する場合にも認証が求められるため、トークンデバイス自体の紛失という場合も、PC紛失に比べれば比較的安心だ。さらに、その携帯性の良さが特徴で、外部からのモバイルアクセスで使用する際にも便利である。
さらに、パスワード管理という面からも推奨できる。社内の重要な情報を扱うシステム運用で、こんなことが問題になっていないだろうか?
- ユーザーにとって、扱うシステムが多く、パスワードが覚えきれない。
- ユーザーが他人から見えるところにパスワードを書き残している。
こうしたことがあれば、電子証明書による本人認証ソリューションを検討するとよい。
今回紹介したセキュリティ・トークンは、ユーザーにとって非常に扱いやすいデバイスである。PCやネットワークに不慣れなユーザーでも、物理的に目に見える“鍵”であれば、分かりやすいはずだ。
そして、本人認証という観点からすると現在のところ理想的に近いソリューションだといえる。今後、こうしたソリューションの使用範囲はよりさまざまな形で広がっていくだろう。
◇
次回は、ベリサインマネージドPKIサービス対応のソフトウェア・ソリューションであるセキュアビジネス シリーズの「日本電子公証機構 証跡管理
ソリューション」および「シヤチハタ 電子決裁 ソリューション」の実際の使用感を紹介していこう。
|
VeriSign
OnSite入門(速習コース)プレゼントは
好評のうちに、すべて受け付けを終了いたしました!
|
多数の資料請求をいただき、ありがとうございました。
(プレゼント当選者の方へは、ベリサインより直接ご連絡さしあげます)
資料請求をご希望の方は<こちら>へどうぞ
|
|
|
![@IT[FYI]](/ad/adindex/image/fyi_logo_s.gif){kind=logo}
