GMOグローバルサイン
細井淳氏
企業は自社システムやエンドユーザーのデータやさまざまな資産を、どのように防衛していくべきなのか。識者の講演やベンダーによるソリューション紹介を通じ考察した「ZDNet Japan ビジネスセミナー/認証セキュリティ」の講演に、GMOグローバルサイン プロダクトマーケティング部 プロダクトマネージャーの細井淳氏が登壇。
「クライアント証明書をもっと身近に - マネージドPKI と AEG -」と題し、情報漏えいのリスク対策として、アクセス認証やメールの署名/暗号化に利用可能な証明書一括発行・管理ツール「マネージドPKI Lite」、Microsoft CAを利用するActive Directoryでの証明書管理・運営を格段に簡略化・コストダウンできる「AEG(Auto Enrollment Gateway)」について解説した。
ITの世界での本人確認が可能な「クライアント証明書」
企業・組織などの情報システムは外部からのさまざまなサイバー攻撃を防ぐため、ID・パスワードによる認証でアクセス制御を実行してきた。ここで用いる文字列が誕生日や電話番号といった容易に類推されるものでは危険だが、長くて複雑さを伴うもの、複数回の認証などはエンドユーザーに過重な負担を強いる結果につながる。
そこで認証に関する従来の課題に対する有効な方策として、クライアント証明書の重要性が高まっているのだ。クライアント証明書は、いわば運転免許書やパスポートといった身分証明書で個人や組織を認証するような手法となる。あらかじめ許可された証明書の所有が確認されなければログインやアクセスができず、利便性とセキュリティの両立が可能となるわけだ。細井氏は「ID・パスワードは、漏えいしてしまえば意味がない。だが複雑なパスワードは記憶が困難。クライアント証明書はこれらの問題を解決でき、情報漏えいの危険性を大きく削減できる」と話す。
運転免許証は、都道府県が発行する公文書だ。電子証明書も同じように認証局の審査を受けて発行され、電子署名や通信の暗号化など多岐にわたる用途で、免許証と同じように特定のエンドユーザー情報を証明することができる。
ユーザーを認証する手続きは基本的に自動化されており、ウェブブラウザによるアクセスを実行すると、デバイスに組み込まれている電子証明書を認識し、アクセスの可否を判断する。他の認証方式のように、クラウド環境へのアクセス時、パスワード入力が必須、ということはなく、専用トークンや乱数表などを毎回用いる手間が省ける。
一対の"鍵"による暗号で、システムを防御するPKI
PKI(Public Key Infrastructure:公開鍵暗号基盤)は、公開鍵暗号方式と呼ばれる技術により、インターネット上で安全な通信ができるようにするための環境だ。基本的に、対になった異なる鍵を用いて暗号化と復号化を行う。片方の鍵で暗号化された情報はそれと対になっているもう一方の鍵でなければ復号化は不可能となる。
GMOグローバルサインの「マネージドPKI」はPKIを管理制御するためのツールで、企業、組織のアクセス認証やメールの署名・暗号化に利用することができる。主な用途としては、社内での使用を認可された端末を認証し、重要情報が含まれるサーバなどへのアクセスや、私的端末の持ち込み制限などがある。ここで基盤的技術の一つとなっているのは「二要素認証」だ。データ保全の強度をより高くするため、従来のID・パスワードに加え、認証のための手続きをもう一つ付加する手法である。
情報システムの安全性強化のため同社は、「AEG(Auto Enrollment Gateway)」も提供している。このAEGは、Active Directoryと同社のSaaS型認証局運営サービスの間で、ゲートウェイとして動作するソフトウェアだ。既存システムと同社のパブリック認証局を連携させることができ、証明書の更新漏れといったリスクを軽減できる。秘密鍵管理の厳格化などにユーザーが取り組む際、その負荷を低減させることも可能だ。
細井氏は最後に、「電子証明書の利用は容易です」としたうえで、「当社は、ユーザーがサービスにログインする際に必要となる、アイデンティティ管理のソリューションを提供する企業。今後も一層の技術革新に専心し、もっと信じられるインターネットを実現していきたい」と抱負を述べ、講演を終えた。