第4回情報セキュリティEXPOレポート

ケータイからジュラルミンケースまで――
あらゆる機器にセキュリティを組み込め!


宮田 健
@IT編集部
2007/6/6



 2007年5月16日から18日までの3日間、東京ビッグサイトにて「第4回 情報セキュリティEXPO」が開催された。内部統制に関連する展示をはじめ、さまざまなものがセキュリティ技術と融合し、遍在する様子がうかがえた。その中でも特徴のある技術をいくつか紹介しよう。

【参考】
同時開催されたイベントの様子はこちらをご参照ください

@IT 組み込み開発フォーラム
組み込みイベントレポート モデル駆動型開発にSysML対応ツール登場!

(第10回 組込みシステム開発技術展(ESEC)イベントレポート)
http://www.atmarkit.co.jp/fembedded/trend/esec2007/esec07_01.html

@IT リッチクライアント & 帳票フォーラム
WCR Watch [18] リッチクライアントの潮流とFlexのオープンソース化
(ソフトウェア開発環境展(SODEC)イベントレポート)
http://www.atmarkit.co.jp/fwcr/rensai/wcrwatch18/wcrwatch18.html

@IT RFID+ICフォーラム
さまざまな分野で実運用が始まったRFIDシステム

(RFIDソリューションEXPO 2007レポート)
http://www.atmarkit.co.jp/frfid/special/rid2007/rid0701.html

 あなたのケータイを会社の入り口に

 PDAやスマートフォンではなく、携帯電話自体をビジネスツールにする動きが止まらない。携帯電話はほとんどのビジネスパーソンが手にしている端末であり、ノートPCのように持ち歩くことに抵抗を感じる人は少ない。しかし携帯電話からのネット接続では認証の仕組みに制限があることから、単純には企業のネットワークと接続することができない。

 そこで、携帯電話からでもセキュアに接続する仕組みを提供するシステムが登場していたので、それを紹介しよう。

 携帯電話での本人認証でまず頭に浮かぶのはワンタイムパスワードを生成するトークンではないだろうか。キーホルダーのようなトークンが生成するワンタイムパスワードを用い、安全にログインを行うという技術はすでに存在する。しかしトークンという物理的なデバイスを用意する必要があり、初期投資が無視できない。

 アイディーエスでは、トークンを利用せずに携帯電話のメールのみで完結する「MITS OTP」を開発した。これは携帯電話のブラウザからログインID、PINコードを入力すると、サーバ側にあらかじめ登録した携帯電話のメールアドレスに対しワンタイムパスワードが記載されたメールを送信し、社内に設置したポータルサイトへのログイン認証を行う。

 携帯電話からそのまま社内のネットワーク機器へとSSL-VPNを利用してログインしたり、PCからVPNにログインする際に、携帯電話に届いたワンタイムパスワードを入力してログインすることも可能である。

 このシステムでは社内のネットワークに接続するために、サーバに登録されている携帯電話のみにパスワードを送るため、携帯電話を持っていること自体も認証の要素となる。また携帯電話のアプリを利用していないため、キャリアの機能に依存せずにシステムの利用が可能であることが特徴だ。

ブラウザでPINコードを入力すると、ワンタイムパスワードがメールとして届く

【参考】
ワンタイムパスワード MITS OTP
http://www.ids.co.jp/product/OTP/index.html

 またNTTコミュニケーションズでも携帯電話を利用したリモートアクセスサービス「Mobile Connect」を展示していた。これは携帯電話からインターネットを経由せず、携帯電話キャリア網から直接専用線にて企業のシステムへと接続が行えるサービスである。そのサービスではワンタイムパスワード認証「MCOP」が利用されている。

 MCOPは、認証時に48個の数字と絵文字が含まれる文字列が、毎回ランダムに生成される。利用者はこの文字列での「位置」を認証に利用し、例えば「四隅の数字を左から順に抜き出す」というような方法でパスワードを決める。下記の写真の例では、四隅の数字を順に抜き出した「9575」を入力する。

任意の「位置」を認証情報として利用する

【参考】
個人認証システム(MCOP)
http://www.mobileconnect.jp/lineup/mcop.html


 FAX誤送信撲滅には承認フローを

 セキュリティは内部統制を避けては通れない。今回のイベントでも内部統制に関連するログ管理やメール管理ツールなどの展示が目立っていたが、メールアーカイブに対するソリューションや、オフィスで依然大きな役割を持つFAXに対するソリューションが展示されていた。

 ハンモックが販売する「MailWatcher」は、メールのアーカイブをネットワークのエッジ部分においてパケットを収集することで実現する製品である。アーカイブされたメールは自動的に圧縮保存され、専用のビューアを用いることで特定のキーワードを含むメールを一覧表示することができる。添付ファイルとして送受信されたテキストファイルやWord/Excelの内容を含めて横断的に検索することも可能である。

「在庫」を含むメールと添付書類が一括で検索されている(クリックすると拡大します)

 また、同社の「RightFAX」はFAXをあたかもメールのようにハンドリングし、既存のFAX機器と連携し誤送信防止などの情報保護を実現するFAXサーバである。公衆回線をRightFAXのサーバと接続することで、受信した情報をサーバ内に蓄積、クライアントPCにビューアを入れることでペーパレスのFAX環境が整う。

 既存のFAX機器をPBXを経由しRightFAXサーバに接続することで、FAX機器から送信した情報は、いったんRightFAXサーバ内にて保留された状態となり、実際に送信を行うためには上長などの承認を得る必要がある。この承認プロセスが介在することにより、誤送信を防ぐことが可能だ。

【参考】
RightFAX
http://www.hammock.jp/rightfax/
MailWatcher

http://www.hammock.jp/mailwatcher/

1/2

Index
あらゆる機器にセキュリティを組み込め!
Page1
あなたのケータイを会社の入り口に
FAX誤送信撲滅には承認フローを
  Page2
重要書類の移動と開封を「ログ」として記録
Webアプリケーションの脆弱性チェックはオンラインで行う時代
組み込み機器のセキュリティ、どうしていますか?

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH