シー・エス・イー 事業企画部 マーケティング課の阿久津茂郎氏は「ユーザーが語るSECUREMATRIXの可能性と展望」と題して、安全かつ現実的なパスワードの活用について語った。

古くからあるパスワードの問題

シー・エス・イー 事業企画部 マーケティング課 阿久津茂郎氏

パスワードとはそもそも何なのかと考えれば、システムを利用するために本人確認をするための合い言葉だ。しかし、合い言葉があまりにも簡単すぎると、当然その役割は果たされなくなる。これは数字にも現れており、阿久津氏によると「不正アクセスが非常に多くなっている。2008年の認知件数は1700件程度。ただし、これは氷山の一角にすぎない」という。

では、この問題を解決するにはどうすればよいのか。通常はパスワードを複雑にするという方法をとることが多いようだが、阿久津氏は「不正アクセスの心配をパスワードの複雑さで解決することは難しい」と指摘する。

例えば、IPAでは、理想的なパスワードについて、できれば8文字以上で、数字・英語・記号の大文字小文字を取り混ぜ、ユーザーに紐づく内容や辞書に載っている単語を避け、最低3ヶ月に1度変更しつつ、過去に使ったパスワードを再利用してはならないと説明している。これでは、どう考えても覚えられるものにはならないが、メモをとるのは禁じられており、もちろん他人に教えるのもいけない。

「よく利用するパスワードは覚えられても使用頻度の低いシステムのパスワードはどうしても忘れられてしまう。ある企業ではIT部門に対して生産管理のWebシステム上で使用頻度の低いパスワードの問い合わせや再発行依頼が多く、年間約300万円のコストが発生していたという例もある」(阿久津氏)

また、ITコンプライアンスの観点からは、問い合わせに対して簡単にパスワードを教えることができない。本当に本人からの依頼であることを確認し、再発行にあたってのフローを通す必要があるのだ。時間もかかり、その分コストもかかる。そこで出てくるのが、安全性の高いパスワードを簡単に発行したいという需要だ。

認証の安全性を高めるには

認証の安全性を高める方法というと、通常、ICカードを使った認証や、指紋や静脈を利用したバイオメトリクス認証が真っ先に出てくる。ただし、これらを採用するには、専用の読み取り装置が必要だ。USBキーを利用する方法もあるが、こちらもハードウェアを用意しなければならないことには変わりがない。

また、有効期間の短いワンタイムパスワードを利用するのも1つの手である。ただし、こちらに関しても、通常は、トークンと呼ばれるワンタイムパスワードを生成/表示する機器が必要になる。

ハードウェアが必要となると、デバイス購入の際に手間とコストが発生することになる。人員追加やハードウェアの破損時にも再購入が必要。遠隔地のオフィスに対しては配布にも相応の手間がかかり、拠点ごとにストックを作るならば資産管理の手間も増えることになる。

さらに、これらを使っても、ユーザー側がそれほど楽にならないのも問題だ。例えば、モバイル認証の安全性を高めるうえではワンタイムパスワードの導入が大きな選択肢の1つになるが、トークン方式を導入すると、一方の手にモバイル機器、もう一方の手にトークンという状態になり、両手がふさがってしまう。「電車内でつり革につかまりながら、あるいは荷物を持ったまま利用するのはほとんど不可能」(阿久津氏)で、モバイル機器のメリットを損なう結果になってしまう。

"形"で覚えるSECUREMATRIX

手軽に利用したいというユーザーと、セキュリティレベルを維持したいIT管理者。そして、コストを削減したいという経営者。この3者全てを納得させられる技術はないものか。

そこで登場してくるのがシー・エス・イーの「SECUREMATRIX」だ。SECUREMATRIXは、表示される乱数表の中からユーザーが決めた「形」で文字を拾うことでワンタイムパスワードを生成する認証方式。ユーザーは、例えば、「左上から右下に向かって一直線に下がり、再下段に至った後は右上に向かって一直線に上あがるV字型」というように"形"を覚えておくだけ良い。

「顔は覚えられても名前が出てこないという経験は、皆さんもお持ちでしょう。人間は文字列よりも形の方が覚えやすいのです。SECUREMATRIXでは、その特性を利用して、形から乱数を作る」(阿久津氏)。

導入事例 - 毎日コミュニケーションズのVPN

講演では、実際にSECUREMATRIXを利用しているユーザーの事例を、毎日コミュニケーションズ 業務システム統括部の薄井照丈氏が語った。

きっかけは、事業の拡大と従業員数の急増に応じて、社内情報を統合するポータルを制作したこと。スケジュールもポータル上で管理されているため、外出先や自宅からもアクセスしたいという要望が出始めた。そこで、社外からのアクセスを認める方向で検討を始めたが、「どのような認証をかけるべきかということが大きな問題になった」(薄井氏)という。

IDと固定パスワードではメモを持ち歩く可能性が出てくる。そうなるとパスワード漏洩リスクが高まることになる。「他システムと同じパスワードを利用するユーザーも少なくないだろうから、パスワード漏洩時の被害はかなりのものになる可能性がある」(薄井氏)。そこで、より性の高い認証方式を採用することにした。

「初期段階ではハードウェアトークンも検討したが、退社した人からの回収や故障時のサポートなど管理が難しい。生体認証は、指紋の薄い人もいるため動作の確実性に疑問があった。そこで浮上してきたのがSECUREMATRIXだった」(薄井氏)

SECUREMATRIXについて、「ハードウェアなしで強固な認証ができること、図形というユーザーへの説明しやすさが魅力だった」と薄井氏は振り返る。さらに、いずれ対応させたいと考えていた携帯電話からのアクセスでも有効。VPN装置との連携も問題ないということで、すんなりと採用に至ったようだ。

導入にあたっては2~3ヶ月の評価が行われたが、その比重はVPN装置の方が大きく、SECUREMATRIXについてはあまり時間がかからなかったという。「導入作業も難しくなく、運用負担も気にならないレベル。VPN装置との連携も期待通りで、自宅や外出先からのセキュアで運用負荷が少ないアクセスが実現された。今後はスマートフォンや携帯電話からの利用も考えている」と薄井氏は満足感を語った。

iPhoneアプリも提供開始

シー・エス・イーでは、「ジャーナルITサミット-2010 Webセキュリティセミナー」の開催日である6月30日付けで、iPhoneからSECUREMATRIXを利用できるようにしている。

「iPhoneの機動力を最大限に活かして運用できるよう、片手でも十分使えるようにした。ウォッチガード・テクノロジー・ジャパンの製品であるSSL100とを組み合わせたソリューションも提供していく予定」と阿久津氏。そのほか、講演では、Windowsログインとの連携や、APIによる組み込み連携など、様々な可能性が示された。