運用コストを削減し、高いセキュリティを維持できる「ワンタイムパスワード」
今回、特に注目してほしいのは、NetAttest EPSのオプションとして用意されている「ワンタイムパスワード(OTP)認証」機能である。高い水準のセキュリティが要求されるネットバンキングやオンラインサービスなどで使われる機会が多く、一般的な企業では若干「敷居が高い」印象を持たれることもあるOTP認証だが、この仕組みは「ユーザーの利便性を確保しつつ、運用管理の手間を下げ、なおかつ高いセキュリティレベルを継続的に維持するための認証方法」として、注目を集めつつあるのだ。
現在、多くの企業やネットサービスでは、認証システムとして基本的な「ID・パスワード認証」が用いられている。ユーザーごとに割りあてられたIDとパスワードを一対で入力させることによって認証を行うこの仕組みは、管理者によっては認証情報の通知が容易で、ユーザーにとっては親しみやすいというメリットがある一方で、ユーザーがパスワードを適切に運用できなければ、パスワードの漏えいによる「なりすまし」が発生しやすく、セキュリティ強度が低くなりがちであるといった課題も抱えている。
そうした課題を運用でフォローしようとすると、そのための運用コストは大幅に上昇しがちだ。例えば、認証の強度を維持するために「パスワードの桁数は12桁以上で、必ず数字と記号、大文字と小文字を混在させる」「1カ月に1度、パスワードの変更を行う」「過去3カ月以内に利用したパスワードと同一の新パスワードは設定できない」といったセキュリティポリシーを設けて、認証システム的に強制したとしよう。実際に、このポリシーに沿ったパスワード運用を行おうとすると、ユーザー側から大変な反発が起こるであろうことは想像に難くない。
こうした運用は、ユーザー側の負担となり利便性も大幅に低下する。あわせてユーザー側のリテラシが低ければ「パスワードを付せん紙に書いて、デスクに張り付けておく」といった状態が起こりうる。セキュリティの強度を高めようとした結果、逆にパスワード漏えいのリスクが高まるといった危険性さえあるのである。
そこで改めて見直されているのが、OTP認証である。OTP認証は、ハードウェアやソフトウェアとして提供される「トークン」と呼ばれるデバイスで、認証を行う際に「1回だけ」利用できるパスワードを発行する仕組みだ。一度ログアウトして、次回に再びログインする場合には、また別のパスワードが必要となるため、その時々で入力したパスワード文字列が漏えいしたとしても、不正アクセスを行われることはない。
また、毎回のパスワード生成は、サーバ(NetAttest EPS)で自動的に行われるため「定期的なパスワード変更」に関して、ユーザーや管理者側での作業は発生しない。ユーザーは、ログインする際に必要になるパスワードを、その都度トークンを見て入力する形になるので、ユーザー個々のセキュリティ意識やリテラシに依存せず、高いレベルでのパスワードセキュリティを、継続的に運用し続けることが可能になるのだ。
OTP認証の運用においては、常に参照すべきパスワードが表示される「トークン」が存在することも重要な意味を持つ。例えば、ハードウェアトークンが紛失や盗難などで、正統な所有者の手を離れた場合、その所有者はネットワークへのアクセスが不可能になる。その状況には、所有者自身がすぐに気づくため、比較的に早い段階で適切な対処をシステムの担当者に依頼することができる。
この「紛失や盗難にすぐに気づける」という状況によって、「知らないうちにパスワードが漏えいし、不正アクセスの形跡があってはじめて、そのことに気づく」といった事態が非常に起こりにくくなっているのである。これは、結果として情報漏えいなどが発生する可能性を下げるための重要な要素となる。
NetAttest EPSのOTPオプションでは、独自のパスワード生成アルゴリズムを用い、高い認証強度を持ったVASCOの技術が採用されている。全世界で既に8000万個以上のトークンを出荷している実績の高い技術だ。また、トークンはキーチェーンなどに付けて持ち歩けるハードウェアタイプに加え、iPhone(iOS)、Android、Windowsといったプラットフォームで使えるソフトウェアトークンも用意されている。
OTP認証と、NetAttest EPSに標準で用意されているデジタル証明書の発行・展開機能を組み合わせて、「人」と「端末」双方の認証を行う仕組みを構築すれば、一般的な企業で求められる、ほぼ最高水準の認証セキュリティを実現できると言っていい。もちろん、アプライアンス製品のため、導入や運用の手間は最低限に抑えることができる。