「フィッシングの流行により,欧米ではオンライン・バンキングやECサイトの利用を取りやめるユーザーが増えている。ネット事業者としてはフィッシング対策が急務。フィッシング対策には,ID/パスワードに加えて別の認証方法も利用する『ニ要素認証』が有効だ」――。カナダEntrustのプロフェッショナル・サービスおよびカナダ・日本・APACの営業責任者であるHans Downer上級副社長は7月21日,IT Proの取材に対して,二要素認証の重要性を強調した(写真)。
同社が提供するのは,乱数表を使ったニ要素認証ソリューション「Entrust IdentityGuard」。同ソリューションを利用する際には,まず,ユーザーごとに異なる乱数表を配布しておく。そして,IdentityGuardのサーバー・ソフトと連携したWebサーバーにユーザーがアクセスすると,サーバーでは,ユーザーID/パスワードに加えて,乱数表中の特定の行/列の数字を入力するよう要求する。つまり,ユーザーID/パスワードに加えて,そのユーザー固有の乱数表を持っていないとログインできないことになる。
ニ要素認証には,乱数表を使う方法以外にも,ワンタイム・パスワードやUSBキー/スマート・カードなどを使う方法がある。「他の方法と比較して,IdentityGuardは分かりやすく,コストが低いことが特徴。多数の一般ユーザーを対象とするオンライン・バンキングやECサイトでは,使いやすさとコストは最も重要なファクターだ」(Downer氏)。ユーザーに配布するものが乱数表だけなので,「各ユーザーにトークンを配布するワンタイム・パスワードと比べれば,コストは5分の1から10分の1」(同氏)。
加えてDowner氏によると,IdentityGuardはフィッシング対策にも使いやすいという。「乱数表を使って送信者認証を実現できる」(Downer氏)とするためだ。具体的には,事業者からユーザーに送るメールの中に,特定の行/列とそこに位置する数字の組み合わせ(例えば,「A列3行の数字は『4』」)をいくつか記載して送信する。乱数表の情報を知っているのは事業者とユーザーだけなので,この情報が正しければ,そのメールは事業者から送られてきたことが確認できる。
ただ,メールの送信者を認証できたとしても,ファーミング(関連記事)などの被害に遭う可能性はある。これはDowner氏も認める。「ファーミングも心配するような,より高度なセキュリティを求めるシステムには,PKIを利用したVPNソリューション『Entrust TruePass』を提案する」(同氏)。TruePassでは,デジタル証明書を使ってクライアントとサーバー間の認証およびデータの暗号化を行うので,ファーミング対策にもなるという。
◎参考資料
◆エントラストジャパン,Entrust IdentityGuard 7.1の提供を開始(プレスリリース)
◆エントラストジャパン、Entrust TruePass 8.0の提供を開始(プレスリリース)
(勝村 幸博=IT Pro)
