認証の常識を覆す!~「M-Pin」を導入した「TrustBind/MFA」が認証コストを劇的に削減

ビジネスに欠かせないID/パスワードベースの認証は末期状態にある。「パスワードは死んだ」と述べても過言ではない。既に多要素認証が主流になりつつあるが、その先を行くMIRACLの次世代オンライン認証「M-Pin」、そして多彩な認証システムの1つとしてM-Pinを採用した、NTTテクノクロスの多要素認証プラットフォーム「TrustBind/MFA」。その特徴を両社のキーマンに伺った。

多要素認証を超えるMIRACLの「M-Pin」

 会社の規模にかかわらず、セキュリティ対策は経営レベルの重要課題である。既にパスワードという認証システムは破綻しており、ID/パスワード流出による情報漏洩(ろうえい)は枚挙に暇がない。さらにスマートフォンの普及に伴い、本人確認を行うために複数手段での認証を利用者に求める多要素認証は広まりつつある。2016年8月には文部科学省も利用者の負担にならないことを前提に、校務や学習システムへ2要素認証を導入する緊急提言を行った。厚生労働省も同年12月に医療情報ネットワーク基盤において、2要素認証導入を原則としている。

 このように国内でも広まりつつある多要素認証だが、セキュリティ対策に能動的な欧州では、銀行や財務、決済サービスにおける多要素認証義務化を決めたPSD2(Payment Service Provider 2: 決済サービス指令)を2016年に発行。EU28カ国にノルウェーやアイスランド、リヒテンシュタインを加えたEEA(European Economic Area: 欧州経済領域)参加国は2018年1月13日にまで義務化する。さらに欧州は2018年5月からGDPR(General Data Protection Regulation:一般データ保護規則)を施行するなど、個人情報管理を強化しているが、生体認証の導入は限定的である。日本と違って企業が個人情報を保持しないという考え方が広まっている。このことだけを鑑みても、過去の認証システムはもちろん、サーバー側でデータ保持する昨今の認証システムも限界が訪れるのは時間の問題だろう。

 このように現状は刻々と進んでいるが、ゼロから自社の基幹システムや顧客向けソリューションに多要素認証を組み込むのは困難だ。そこで早期に強固な認証システムを導入したい企業担当者に注目してほしいのが、英MIRACLの次世代オンライン認証プラットフォーム「M-Pin」である。多要素認証は専用のセキュリティトークンデバイスか、スマートフォンに専用アプリケーションを導入し、認証を行うのが一般的だ。しかし、M-Pinは受信メールで有効化を行い、4桁の暗証番号を指定するだけで初回登録を完了。認証時もWebブラウザー上で暗証番号を入力するだけの容易性を備え、利用者から運用者への問い合わせも大幅に軽減できる。

M-Pinの主な特徴。高い安全性と幅広い利用シーンを実現する M-Pinの主な特徴。高い安全性と幅広い利用シーンを実現する
※クリックすると拡大画像が見られます
M-Pinの有効化手順。この3ステップで完了となる M-Pinの有効化手順。この3ステップで完了となる
※クリックすると拡大画像が見られます

MIRACL
日本代表
岡村一久氏

 たった4桁の暗証番号を入力するだけという操作性について、従来と比較すると直観的には不安を覚えるかもしれないが、セキュリティ強度は高く保っているのが特徴だ。暗証番号はサーバー側にも端末側にも保存せず、端末側ではM-Pinトークンという認証鍵の一部分のみを保持。さらに分散型鍵生成局(D-TA) より認証鍵を分割した状態で生成・送信するため、人が介在せずシステム管理者も内容を把握する必要がない。仮になりすましを行う場合は端末側で保持しているM-Pinトークン、そして暗証番号を用意しなければならず、攻撃者の負担は大きく増す。仮にサーバーが攻撃されても、パスワード漏洩のようなセキュリティリスクは未然に防ぐことができるだろう。MIRACLはM-Pinソリューションを実現する次世代認証プラットフォーム「MIRACL Trust ZFA(Zero-Factor Authentication)」を指して、「翌日から100万人の認証を実現できる」(MIRACL 日本代表 岡村一久氏)と語る。

関連ホワイトペーパー

提供:MIRACL株式会社/NTTテクノクロス株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2017年10月15日