米RSA Securityは「RSA Conference 2006」の展示会場において,同社の新製品「RSA SecurID Toolbar Token」や「RSA SecurID SID900 Transaction Signing Token」などのデモを実施した(関連記事)。いずれも,ワンタイム・パスワード(使い捨てパスワード)を生成するためのツールである。
RSA Conference 2006とは,米国時間2月13日から2月17日まで開催されている世界最大規模のセキュリティの国際会議/展示会。
RSA SecurID Toolbar Token(以下,Toolbar Token)は,Webブラウザ上でワンタイム・パスワードを生成するためのツール・バー。対応ブラウザは,FirefoxとInternet Explorer(IE)。基本的な仕組みは,同社が以前から提供しているソフトウエア・ベースのワンタイム・パスワード・トークン「RSA SecurID ソフトウエアトークン」と同じである。SecurID ソフトウエアトークンの“プラグイン(エクステンション)版”といえる。
Toolbar Tokenの使い方は以下のとおり。まず,同ツールを配布するサービス提供者のサイトへアクセスして,そのサイト用のツールをダウンロードし,FirefoxあるいはIEにインストールする。次に,ユーザーごとに異なる「シード(seed)ファイル」を入手し,ツールにインストールする(シード・ファイルを開くには,サービス提供者から別途提供されるパスワードが必要)。このシード・ファイルと時刻から,ユーザーごとに異なるワンタイム・パスワードが生成される。
インストール後は,そのツールを提供したサイトへアクセスすると,そのサイト用のToolbar Tokenがブラウザのツール・バー部分に自動的に表示される。同社の説明員によれば,異なるSecurID Toolbar Tokenを20個まで一つのブラウザに登録(インストール)できるという。
そのサイト用のToolbar Tokenが表示されると同時に,ログインに必要なワンタイム・パスワードが自動的に生成され表示される。そして,ツール上の「AutoFill」ボタンを押すと,Webページ上のパスワード・フィールドに表示されている乱数(ワンタイム・パスワード)がコピーされる。乱数のコピー時に,ユーザーのPIN(パスフレーズ)の入力を要求するように設定することも可能。
RSA SecurID SID900 Transaction Signing Token(以下,Signing Token)は,サービス提供側(Webサーバー)から送られる「チャレンジ・コード(ランダムな4桁の数字)」をもとにワンタイム・パスワードを生成するハードウエア・トークンである。
同社の既存製品「RSA SecurID ハードウエア トークン」は,時刻とユーザーのPINからワンタイム・パスワードを生成する。一方,Signing Tokenは,サービス提供者が送信する乱数とユーザーのPINからワンタイム・パスワードを生成する。つまり,従来製品とは異なり,チャレンジ・レスポンス型のユーザー認証が可能となる。
具体的な使い方は以下のとおり。サービス提供者は,あるトランザクション(例えば,オンライン・バンキング・サービスの送金処理)のユーザー認証用ページに4桁の乱数を表示する。ユーザーはその数字をSigning Tokenに入力する。Signing Tokenはその数字と時刻をもとに新たな乱数を生成。ユーザーはその乱数とPINを組み合わせた文字列をWebページに入力する。
Toolbar TokenとSigning Tokenのいずれについても,2006年第2四半期に全世界で利用可能とする予定。なお,日本法人のRSAセキュリティによれば,日本における販売開始時期や価格などについては未定。販売するかどうかを含めて検討中であるという。
