第1回 OATHが目指す“信頼”の形

相原 敬雄
日本ベリサイン株式会社
マーケティング部 課長
2006/1/20

 インターネットの出現により、過去の地政学的な障壁はここ数年の間に消え失せ、PtoP通信や、これまで考えられなかったような情報交換が可能になりました。インターネット、つまり“ネットワークのネットワーク”によって世界中の人々にもたらされた変化の顕著な例としては、Eコマースとメールの2つが挙げられます。

 同時に、残念なことではありますが、ネットワークのユビキタス性や柔軟性によって、セキュリティ面の懸念が生じているのも現実であり、インターネットは危険な場所になりつつあります。

 インターネットの発展を可能にした背景の技術的キーワードとして「オープン」「標準化」および「相互運用性」が挙げられます。しかし、認証システムおよび関連技術では「オープン」「標準化」および「相互運用性」はいまだにインターネット以前のコンピュータシステムと同等のレベルでしかないといえます。

 あらゆるユーザー、あらゆるデバイス、あらゆるアプリケーション、あらゆるネットワークをまとめるインターネットの健全な発展を可能にするには、通信相手、使用しているデバイスおよびアプリケーション、そしてネットワークが「信頼」できる必要があります。

 「信頼」の基本となるのが、「あなたは誰」ということがバーチャルの世界でもリアルの世界と同等のレベルで確立できる認証技術です。現在最も普及している認証方式であるユーザー名/パスワード方式はリアルの世界でいえば「開けゴマ」の合言葉と同等のレベルであり、当然、リアルの世界は必要に応じて、合言葉よりセキュアな認証手段を用途に応じて使い分けています。ユーザー名/パスワードより強固な認証技術の普及がインターネットの安心と安全を取り戻すための鍵の1つといえるのではないでしょうか。

 今回の連載では強固な認証の必要性からそれを実現するために発足した「OATH(Initiative for Open AuTHentication)」の解説、そしてOATHからオープン化されたワンタイムパスワード技術、リファレンス・アーキテクチャを解説します。

 強固な認証技術の必要性

 強固な認証技術がなぜ必要なのかといえば、既存の認証技術であるユーザー名/パスワードの限界が挙げられます。ユーザー名/パスワードは認証技術として次のような問題を抱えています。

・漏えい可能であるが漏えい検知が困難

 ユーザー名/パスワードは、キーボードで入力できる、紙に書ける、発声できる、照合するためのデータベースに保存されるなど漏えいする機会が多数存在します。しかし、それらが盗まれたことを把握することは困難です。

・推測およびクラック可能

 利用者本人を知っていればユーザー名/パスワードは推測可能であるといわれています。また、コンピュータの性能向上により総当たりアタックを行うための時間とコストは下がる一方です。さらに、専門知識がなくても操作可能なクラックツール、ASPサービスなど多数存在します。

・強度にかかわる逆説

 長さ、文字の組み合わせ、使用頻度の制限などを行いパスワードの強度を上げるとユーザーには覚えづらくなり、使い勝手も悪くなります。人間は自然と楽な行動を好むので、パスワードの強度は時間の経過とともに弱くなる可能性があります。

 上記のような問題点に加えてユーザー名/パスワードによる認証は「知っていること=what you know」による単一要素の認証であることが最大の弱点です。リアルの世界でいえば名前と合言葉だけですべての取引を行っているような話です。

 リアルの世界では対面取引、署名などの「体の特徴=what you are」という要素や、鍵、身分証明書(名刺、社員証、保険証、運転免許証)などの「持っているもの=what you have」などを組み合わせた多要素認証により信頼関係が維持されています。インターネット上で信頼関係を高めるには多要素認証により強固な認証を確立することが重要になっています。

 フェデレーテッド・アイデンティティ・ネットワークの台頭

 企業が保有するさまざまな情報、サプライチェーンデータ、顧客向けサービスなどの管理にネットワークアプリケーションが導入されるにつれ、企業ではますます、リモートアクセスを利用する社員、ビジネスパートナー、顧客などを含む極めて大規模で動的なエンドユーザーグループに対して、システムへのアクセスを提供することが求められるようになりました。

 企業内/外システム全体のアイデンティティ管理の複雑さとコストといった問題に加え、データに対するアクセスを開放する必要性から、本人確認、身分証明書、属性といった情報をパートナー間で共有する「フェデレーテッド・アイデンティティ・ネットワーク」へのニーズが増えています。また、一般消費者の視点からも複数のサイトに個別に個人情報の登録や、ユーザー認証をしなければならないことがインターネットの利便性を阻害しているといえます。

 このフェデレーテッド・アイデンティティ・ネットワークを実現するためにも強固な認証システムが必要となります。

1/3

Index
OATHが目指す“信頼”の形
Page1
強固な認証技術の必要性
フェデレーテッド・アイデンティティ・ネットワークの台頭
  Page2
ネットワークに接続されたIPデバイスの急増
OATHの理念と歴史
  Page3
OATHのビジョン:ユニバーサルかつ強固な認証
OATHの目標とエコシステム


Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間