米CA Technologiesのユーザー認証ソフト「CA Arcot」には、デジタル証明書が盗難にあったとしても正しくユーザーを認証できるという特徴がある。2012年2月9日にはNECが、自社の認証基盤にCA Arcotを統合した製品を販売開始した。同日、NECによる販売に合わせて来日した米CA Technologies CA Arcotセキュリティ・ソリューション担当ジェネラル・マネージャ、ラム・バラダラジャン氏に製品の詳細を聞いた。
セキュリティにおけるCA Arcot製品の役割は何か。
Webアクセスのセキュリティのポイントは三つある。(1)Webサイトとユーザーをつなぐパイプ(コネクション)を保護すること、(2)パイプの先にいる人が誰かを知ること(認証)、(3)その人に与える権限を決めること――だ。CA Arcotの役割は、2番目の、通信相手が誰なのかを特定することだ。
CA Arcotの背景には、ITのコンシューマライゼーション(一般消費者向け製品が備える機能や操作性を、企業向け製品に適用する動き)がある。スマートフォンの普及など、コンシューマー化が進むことによって、企業ITへの要求が高まっている。同時に、保護すべきユーザー数も増えている。
しかし、ITへの要求やユーザー数が増える一方で、IT予算は縮小傾向にある。このギャップを埋めるために、コストパフォーマンスが優れるセキュリティ製品が必要になってきている。これこそが、CA Arcotである。ソフトウエアトークンによる認証ソフト「CA Arcot WebFort」と、リスクベース認証ソフト「CA Arcot RiskFort」を用意している。
CA Arcot製品の特徴は何か。
CA Arcotを代表する特徴の一つが、CA WebFortで用いるソフトウエアトークン「ArcotID」だ。ユーザー認証(クライアント認証)に用いるデジタル証明書の一種だが、盗難や紛失に強い特徴を備える。
従来、クライアント認証用のデジタル証明書は、盗難や紛失に弱かった。第三者の手に渡ってしまうと、その第三者も正規ユーザーとしてシステムにアクセスできてしまう危険性があった。
従来はこうした盗難や紛失への対策としてハードウエアトークンがよく用いられてきた。ハードウエアトークンは、物理的なプラスチックケースに証明書を格納しているうえに、トークン自体にセキュリティをかけることができる。このため、デジタル証明書を取り出されるリスクは低かった。
ただし、ハードウエアトークンには大きな弱点があった。まず、ソフトウエアトークンよりも高価である。配布にも手間がかかる。さらに、利便性も良くない。パソコン向けに作られたUSBメモリー型のトークンの場合、スマートフォンなどのモバイルデバイスで利用することができない。
ArcotIDが盗難/紛失に強い理由は何か。
デジタル証明書では、秘密鍵を第三者に知られないことが重要だ。ここで、ArcotIDでは、秘密鍵を暗号化するというやり方を採用した。あらかじめ設定しておいたパスワードを使わない限り、正しく秘密鍵を取り出せない。
ただし、普通に暗号化しただけであれば、パスワードを総当たりで試された場合に、時間はかかるものの、暗号は破られてしまう。
そこでArcotIDでは、正しくないパスワードを使った場合にも、秘密鍵を出力するようにした。ただし、誤ったパスワードによって得られる秘密鍵は偽りの秘密鍵であり、正しい秘密鍵ではない。ArcotIDでは、この技術を「Cryptographic Camouflage」(クリプトグラフィック・カモフラーシュ)と呼んでいる。
偽りの秘密鍵を用いて認証を受けようとしても、当然、認証はされず、警告を出されてしまう。つまり、デジタル証明書から正しい秘密鍵を取り出すためのパスワードさえ知られなければ、デジタル証明書そのものが盗難にあっても、秘密鍵を守れるというわけだ。
リスクベース認証ソフトのCA Arcot RiskFortの特徴は。
正規のユーザーからのアクセスかどうかを判断する材料として、デバイスのロケーション情報(GPSの位置情報や、MAC/IPアドレス、端末識別番号など)を利用できることだ。私の知る限り、他社のリスクベース認証ソフトの中には、GPSデータなどを利用できるものはない。
ロケーション情報を利用する際には、「自宅から5km以内かどうか」などの、細かい判定ルールを設定できる。これにより、いつもと違う場所からアクセスしている場合(かつ、ルールで定めた条件に合致する場合)に追加で認証を施す、となどの運用が可能になる。