米Lucent Technologiesの米Bell Labs(ベル研)は,ネットワーク向けの新しいセキュリティ・ソフトウエアを開発した。Lucent Technologies社が米国時間8月7日に明らかにしたもの。「ユーザーのプライバシを損なわず,より簡単かつ安全にネットワーク・サービス/アプリケーションにログインできる」(ベル研)
このソフトウエアは,「Secure Store」と「Factotum」という二つのプログラムで構成する。Secure Storeは個人情報を格納するリポジトリとして機能し,Factotumはログイン時の認証を処理するエージェントの役割を果たす。この二つを合わせて使うことで,オンライン・バンキングやオンライン・ショッピングといった,認証が求められるサービスを利用する際に,ユーザーの身元を証明することができる。
「現在商用利用されている認証方法のなかには,企業やサード・パーティがユーザーの情報を管理しているものがある。それに対しベル研のソフトウエアでは,個人情報をユーザーの管理下に置いている」(ベル研)。さらに同ソフトウエアはオープンなプラットフォームであるため,どのWebサイトにおいてもユーザー認証を実行できる。Webサイトで何らかのシングル・サインオン標準を導入する必要もないという。
同セキュリティ・ソフトウエアの安全性について,コロンビア大学コンピュータ科学学部教授のAl Aho氏(元ベル研コンピューティング科学研究担当副社長)は以下のように説明する。「この認証手法は,本質的に極めて安全である。それは,ユーザー自身が自分の情報を管理し,個人情報を“機器”でなく“ネットワーク”に保管し,最新のプロトコルを採用しているからだ」(同氏)
また同氏は,「同じ情報を何度も入力したり,アクセスするサービスによって異なるパスワードをいくつも覚えたりする必要がなくなる」と述べ,同ソフトウエアが利便性の面でも優れていると説明する。
Secure StoreとFactotumを使用するには,まずログイン対象のWebサイトで使うユーザー名とパスワードを入力しておく。ネットワーク上にあるSecure Storeサーバーは,この情報を最新の暗号化手法とAES(Advanced Encryption Standard:米国の次期標準暗号化技術)によって保護する。
認証を行うためパスワードなどの情報を提供する際には,ユーザーが使用しているノート・パソコンやPDAなどでFactotumを動作させ,鍵ファイルを取得する。鍵の交換は,ベル研が開発した「PAK」と呼ばれるプロトコルを使う。この手法では,パスワード処理でよく使われる「Challenge And Response」処理中の盗聴を不可能にすることで,いわゆる「辞書攻撃」によるパスワード破り行為に対抗できる。
Factotumがユーザーの鍵にアクセスするときは,保護したRAM内に情報を短時間保存する。「現在一般的なパスワード保存方法は情報をハード・ディスク装置に記録するので,安全ではない」(ベル研)
Factotumは,ユーザーのパソコンが動作しているあいだはRAMだけに情報を保管し,電源が入っていないときはSecure Storeだけに保管する。Secure Storeをユーザーのパソコンではなくネットワーク上に置くことで,安全性を高めているという。「ユーザーのパソコンが解析されたり盗まれたりしても,Secure Storeに保存した情報は安全なままだ」(ベル研)
なお,Secure StoreとFactotumはベル研のオープンソースUNIXである「Plan 9」用に書かれたプログラムだが,Linux,Windows,Solaris,UNIXなどほかのOSにも移植可能である。同プログラムのソース・コードは,ベル研のWebサイトから入手できる。
◎関連記事
■米IBMや米サンなどOASISメンバー企業がシングル・サイン・オンの仕様「SAML 1.0」準拠の相互操作性をデモ
■Liberty Alliance Projectが認証ソリューション仕様の初版を公開,米サンなどが対応を表明
■リバティが7月にシングル・サインオン仕様を公開,プライバシ保護などは先送り
■「MSの自由にはさせない」,米サン,ドコモ,ソニーなど33社がPassport対抗の認証技術で結集
■「米MSのPassport,ユーザー数は増えたが大部分は他のサービスが目的」と米ガートナーの調査
■米Microsoftが注力するPassport機能,未登録ユーザーの7割は「今後も利用せず」--米ガートナー調べ
■マイクロソフト vs. Liberty連合---あなたの個人情報を巡る両刃の剣
■「アカウント・アグリゲーション」を知っていますか?
[発表資料へ]
